Защита персональных данных работника

Защита персональных данных работника: права и обязанности по закону
Беспокоитесь о сохранности ваших персональных данных на работе? Разберём права работников, обязанности  работодателей и как юристы помогут защитить информацию, если ваши данные используются незаконно.
Правовая основа
Основные нормы закреплены в:
  • Федеральном законе от 27.07.2006 № 152‑ФЗ «О персональных данных»;
  • Трудовом кодексе РФ (ст. 86–90 ТК РФ);
  • Федеральном законе от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации»;
  • иных нормативных актах, регулирующих обработку персональных данных.
Что относится к персональным данным работника?
К персональным данным относятся любые сведения, которые прямо или косвенно относятся к работнику:
  • Ф. И. О.;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации и фактического проживания;
  • контактные данные (телефон, e‑mail);
  • семейное положение, состав семьи;
  • образование, квалификация, опыт работы;
  • сведения о воинском учёте;
  • ИНН, СНИЛС;
  • банковские реквизиты для перечисления зарплаты;
  • медицинская информация (если требуется по должности);
  • биометрические данные (отпечатки пальцев, фото, голос и т. д.);
  • иные сведения, позволяющие идентифицировать личность.
Права работника в отношении его персональных данных
Работник имеет право:
  • получать информацию о том, какие данные обрабатываются, с какой целью и как долго;
  • знакомиться со своими персональными данными, хранящимися у работодателя;
  • требовать исправления неточных или неполных данных;
  • требовать удаления данных, если они больше не нужны для заявленных целей;
  • отзывать согласие на обработку данных (если оно было дано);
  • требовать прекращения неправомерной обработки данных;
  • обжаловать действия работодателя в Роскомнадзоре, ГИТ или суде;
  • требовать компенсации морального вреда и возмещения убытков при нарушении прав.
Обязанности работодателя при обработке персональных данных
Работодатель обязан:
  • обрабатывать данные только с согласия работника (за исключением случаев, предусмотренных законом);
  • использовать данные исключительно для целей, указанных в согласии или законе;
  • обеспечивать конфиденциальность и безопасность данных;
  • назначать ответственного за обработку данных;
  • разрабатывать и внедрять локальные акты по защите данных (политику обработки, инструкции);
  • ограничивать доступ к данным только для уполномоченных лиц;
  • принимать меры защиты от несанкционированного доступа, утечки, уничтожения;
  • уведомлять Роскомнадзор о начале обработки персональных данных (в установленных случаях);
  • своевременно удалять или обезличивать данные после достижения целей обработки.
Порядок обработки персональных данных на предприятии
Шаг 1. Получение согласия работника
  • оформляется письменно или в электронной форме с электронной подписью;
  • содержит цель, перечень данных, срок действия, способы обработки.
Шаг 2. Разработка локальных актов
  • политика обработки персональных данных;
  • положение о защите персональных данных;
  • инструкция для ответственных лиц;
  • перечень лиц, имеющих доступ к данным.
Шаг 3. Организация хранения и защиты
  • разграничение доступа к электронным базам;
  • использование паролей, шифрования;
  • хранение бумажных носителей в запираемых шкафах;
  • назначение ответственного за обработку и защиту данных.
Шаг 4. Уничтожение данных
  • по достижении цели обработки;
  • по истечении срока хранения;
  • по требованию работника (если нет законных оснований для хранения).
Типичные нарушения со стороны работодателя
  • обработка данных без согласия работника;
  • передача данных третьим лицам без разрешения;
  • размещение фото сотрудников на сайте компании без согласия;
  • вывешивание списков должников с Ф. И. О. и суммами долгов;
  • несоблюдение мер защиты (слабые пароли, открытый доступ);
  • отсутствие локальных актов по защите данных;
  • непредоставление работнику информации о его данных;
  • отказ в исправлении или удалении данных по требованию;
  • хранение данных дольше установленного срока;
  • утечка данных из‑за ненадлежащей защиты.
Ответственность за нарушение защиты персональных данных
1. Административная (ст. 13.11 КоАП РФ):
  • штрафы для граждан — 1–3 тыс. руб.;
  • для должностных лиц — 5–10 тыс. руб.;
  • для юрлиц — 30–50 тыс. руб.
2. Дисциплинарная (для ответственных работников) — замечание, выговор, увольнение.
3. Гражданско‑правовая:
  • возмещение убытков;
  • компенсация морального вреда (ст. 24 ФЗ № 152‑ФЗ).
4. Уголовная (ст. 137 УК РФ — нарушение неприкосновенности частной жизни):
  • штраф до 200 тыс. руб.;
  • обязательные, исправительные или принудительные работы;
  • лишение свободы до 2 лет.
Когда нужна юридическая помощь?
Обращайтесь к нам, если:
  • ваши данные обрабатываются без согласия;
  • работодатель передаёт ваши данные третьим лицам без разрешения;
  • ваши фото или данные размещены в открытом доступе (сайт, соцсети, стенды);
  • вам отказали в ознакомлении с вашими персональными данными;
  • данные не исправлены или не удалены по вашему требованию;
  • произошла утечка данных из‑за халатности работодателя;
  • вас принуждают дать согласие на обработку избыточных данных;
  • работодатель не принял меры защиты данных, что привело к ущербу;
  • вы хотите взыскать компенсацию за нарушение прав;
  • требуется проверить локальные акты работодателя на соответствие закону.
Наши услуги по защите персональных данных работников
Мы поможем:
  • проконсультировать по правам работника и обязанностям работодателя;
  • подготовить согласие на обработку персональных данных с учётом ваших интересов;
  • составить запрос работодателю о предоставлении информации о ваших данных;
  • оспорить незаконную обработку данных в досудебном порядке;
  • представить ваши интересы в Роскомнадзоре и ГИТ;
  • подготовить жалобу в Роскомнадзор на нарушение обработки данных;
  • составить исковое заявление в суд о прекращении незаконной обработки, удалении данных, компенсации вреда;
  • взыскать компенсацию морального вреда и убытков;
  • провести аудит локальных актов работодателя на соответствие ФЗ № 152‑ФЗ;
  • защитить от давления работодателя при обращении с жалобами.
Документы для первичной консультации
Для начала работы предоставьте:
  • трудовой договор;
  • согласие на обработку персональных данных (если подписывали);
  • локальные акты работодателя по защите данных (политика, положение);
  • доказательства нарушения (скриншоты, копии документов, переписка);
  • ответы работодателя на ваши запросы (если направляли);
  • документы, подтверждающие ущерб (если есть);
  • описание ситуации и ваших требований.
Не допускайте нарушения ваших прав! Закон гарантирует защиту персональных данных каждого работника. Грамотная  юридическая помощь поможет пресечь незаконную обработку, добиться удаления данных и получить компенсацию за  причинённый ущерб.