Személyes adatok 2019. július 1-jétől a felelősség és a büntetések megszigorítása
Személyes adatok: Különleges információk
A munkáltató (szervezet vagy IP) a munkavállalók személyes adatait, leggyakrabban személyes kártyák és személyes fájlok formájában foglalják össze. A személyzeti csapat vagy HR szakember szinte minden ügyvezetője tudja, hogy a személyes adatok csak személyesen fogadhatók az alkalmazottaktól. Ha a személyes adatokat csak harmadik féltől szerezheti be, az orosz törvény kötelezi magát arra, hogy erről értesíti a munkavállalót és megkapja az írásbeli beleegyezését (az Orosz Föderáció Munka Törvénykönyve 86. cikke 1. részének 3. szakasza).
A munkáltatóknak nincs joga arra, hogy olyan személyes adatokat fogadjanak és dolgozzanak fel, amelyek nem kapcsolódnak közvetlenül egy személy munkájához. Vagyis lehetetlen információt gyűjteni a dolgozó vallomásáról. Végül is az ilyen információ személyes vagy családi titok, és nem köthető a munkaügyi feladatok ellátásához (az Orosz Föderáció Munka Törvénykönyve 86. cikk 1. részének 4. szakasza).
A munkáltató kötelessége a személyes adatok védelme
A munkáltatót is hivatalosan kinevezik egy olyan alkalmazottnak, aki felelős a személyes adatok feldolgozásáért (5. rész, az RF RF 88. cikke). Például egy olyan humánerőforrás-tisztviselő lehet, aki a személyes ügyekkel kölcsönhatásban van, megkapja a dolgozók hozzájárulását a feldolgozáshoz, személyzeti kártyákat stb.
Milyen felelősség vonatkozik a munkáltatókra?
Fegyelmi felelősség
A személyes adatok feldolgozása során felmerülő jogsértésekkel kapcsolatos fegyelmi felelősségre vonható olyan büntetőeljárások ellen, akik a munkaügyi kapcsolatok alapján kötelesek a személyes adatokkal való munkavégzés szabályait betartani, de megsértették őket (az RF RF 192. cikke). Ez azt jelenti, hogy felelősséget vállalhat például a személyzeti osztály vezetőjéhez, akinek az adott munkájával megbízott. A személyes adatok gyűjtésének, feldolgozásának és tárolásának fegyelmi bűncselekménye miatt a munkáltató büntetheti munkavállalóját az alábbi büntetések valamelyikének alkalmazásával (az RF RF 1. részének 192. cikke):
anyagi felelősség
A munkavállaló anyagi felelőssége akkor fordulhat elő, ha a szervezet személyes adataival való munkavégzés szabályainak megsértésével közvetlen kár keletkezik (az LC RF 238. cikke). Tegyük fel, hogy a HR-részleg felelős munkatársa súlyos jogsértést követett el - a munkavállalók személyes adatait az interneten terjesztették. Az alkalmazottak ezt megtudták, hogy a munkáltató bíróság elé terjesztették, amely szerint: "a károsult munkavállalóknak kártérítést fizetniük, 50 ezer rubelt." Ilyen helyzetben a munkáltatónak lehetősége van korlátozott felelősséget szabni a személyzeti osztály bűnös munkavállalójára az átlagos havi kereseteinek keretei között (az LC RF 241. cikke). Az okozott károk megtérítését a kezelő utasításai szerint legkésőbb egy hónappal a munkavállaló által okozott kár összegének végleges megállapításától számítva lehet elvégezni. Ha a havi időszak lejárt, akkor a bíróságnak meg kell szereznie a kárt. Ezt az eljárást az Orosz Föderáció Munka Törvénykönyve 248. cikke szabályozza.
A teljes pénzügyi felelősségvállalással a munkavállalónak teljes körűen meg kell térítenie a szervezetet a személyes adatokkal kapcsolatos jogsértésekkel kapcsolatban felmerülő károk teljes összegére (az LC RF 242. és 243. cikke). Azonban a munkavállalók általában nem felelnek a személyes adatok feldolgozásáért.
A munkáltató fegyelmi és anyagi felelőssége (például kereskedelmi szervezet) kizárólag a saját belátása szerint alkalmazható. Az állami ellenőrző szervek (beleértve a Roskomnadzorot is) nem vesznek részt ebben a folyamatban.
Adminisztratív felelősség
A munkáltató és a tisztviselők személyes adatainak összegyűjtésére, tárolására, felhasználására vagy terjesztésére vonatkozó eljárás megsértése esetén a felügyeleti hatóságok pénzbírság formájában adminisztratív felelősségre vonhatják magukat, amely összegek a következők lehetnek:
- tisztviselők (például általános igazgató, főkönyvelő, személyzeti tisztviselő vagy egyéni vállalkozó): 500-1000 rubel;
- a szervezet számára: 5000-10 000 rubel.
Büntetőjogi felelősség
Büntetőjogi felelősség a cég vagy a személyes adatok feldolgozásáért felelős személy vezetője, főkönyvelője vagy a humán erőforrás osztály vezetője számára jogellenes cselekményekért:
- a személyi vagy családi titkát alkotó munkavállaló magánéletének gyűjtése vagy terjesztése, beleegyezése nélkül;
- a munkavállalóval kapcsolatos tájékoztatás nyilvános beszédben, nyilvánosan megjelenő műben vagy a médiában.
A személyes adatok kezelésére vonatkozó ilyen jogsértések esetén a következő büntetőjogi intézkedések megengedettek:
- legfeljebb 200 000 rubel bírságot (vagy az elítélt személy 18 hónapos időtartamú jövedelmének összegét);
- legfeljebb 360 óra kötelező munka;
- korrekciós munkát legfeljebb egy évig;
- a kényszermunka legfeljebb két évig, a vagyon nélkül, vagy anélkül, hogy megfosztanák bizonyos pozíciókat vagy bizonyos tevékenységeket legfeljebb három évig folytathatnak;
- legfeljebb négy hónapos letartóztatás;
- legfeljebb két évig terjedő szabadságvesztés, a bizonyos pozíciók betöltésére vonatkozó jogának megfosztása vagy bizonyos tevékenységek folytatása legfeljebb három évig.
A hivatalos álláspontot használó személy által elkövetett cselekmények súlyosabb büntetést tesznek:
1. megsértés: a személyes adatok feldolgozása "egyéb" célokra
a polgárokra - 1000-3000 rubel összegben;
a tisztviselőkre - 5000-10 000 rubel;
a szervezeteknél - 25 000-ről 50 000 rubelre.