Защита персональных данных

2) налоговые органы (в  соответствии со ст. 24 Налогового  кодекса РФ, выступая в качестве  налогового агента работников, исчисляющего, удерживающего из средств, выплачиваемых  работникам, и перечисляющего в  бюджет соответствующие налоги, работодатель обязан представлять  в налоговый орган по месту  своего учета документы, необходимые  для контроля за правильностью исчисления, удержания и перечисления налогов);

3) органы прокуратуры  и другие правоохранительные  органы (в соответствии со ст. 23 Закона № 152-ФЗ они имеют  право запрашивать информацию  у работодателей в рамках проверки  для решения вопроса о возбуждении:  дела об административном правонарушении; уголовного дела по признакам  правонарушений (преступлений), связанных  с нарушением прав субъектов  персональных данных, в соответствии  с подведомственностью);

4) федеральная инспекция  труда (в соответствии со ст. 357 ТК РФ государственные инспекторы  труда при осуществлении надзорно-контрольной деятельности имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимую для выполнения надзорных и контрольных функций, включая персональные данные работников);

5) профессиональные союзы  (в соответствии с Федеральным  законом от 12.01.1996 № 10-ФЗ "О профессиональных  союзах, их правах и гарантиях  деятельности" и ТК РФ профсоюзы  имеют право на получение информации  от работодателей по социально-трудовым  вопросам для осуществления своей  уставной деятельности, а также  на осуществление общественного  контроля за соблюдением работодателями, должностными лицами трудового  законодательства);

6) другие органы и организации  в случаях, предусмотренных федеральным  законом. 

Права и обязанности  работников, связанные с обработкой и защитой их персональных данных

В соответствии с п. 8 ст. 86 ТК РФ работники и их представители  должны быть ознакомлены под роспись  с документами, устанавливающими порядок  обработки и защиты персональных данных, а также их права и обязанности  в этой области. Работники в соответствии со ст. 89 ТК РФ имеют право:

• на полную информацию о своих персональных данных и обработке этих данных;
• свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
• определение своих представителей для защиты персональных данных;
• доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
• требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
• требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Работники обязаны в разумный срок информировать работодателя об изменении персональных данных.

Ответственность за нарушение требований по защите персональных данных

В соответствии со ст. 24 лица, виновные в нарушении требований этого федерального закона, несут  гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную  законодательством Российской Федерации  ответственность Закона № 152-ФЗ

Неисполнение требований Закона № 152-ФЗ операторами баз данных может повлечь:

• гражданские иски со стороны работников;
• репутационные риски;
• приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований Закона № 152-ФЗ;
• направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
• привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного кодекса РФ и Кодекса РФ об административных правонарушениях.

В соответствии со ст. 90 ТК РФ, устанавливающей ответственность  за нарушение норм, регулирующих обработку  и защиту персональных данных работника, виновные в этом лица привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности  в порядке, установленном ТК РФ и  иными федеральными законами.

Так, к работнику, отвечающему  за хранение персональных данных в  силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ (замечание, выговор, увольнение).

Работодатель может расторгнуть  трудовой договор по своей инициативе по подп. "в" п. 6 ч. 1 ст. 81 ТК РФ при разглашении работником охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в т. ч. в случае разглашения персональных данных другого работника.

Помимо этого работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены к  материальной и уголовной ответственности.

Система государственного надзора и контроля в области  персональных данных

Система государственного надзора  и контроля в области персональных данных строится на функционировании трех регуляторов, ответственных за определенные области деятельности в сфере персональных данных.

Основным регулятором, осуществляющим контроль и надзор за соответствием  обработки персональных данных требованиям  законодательства РФ в этой области, является уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору  в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), территориальные органы которой действуют в каждом субъекте РФ. Зона ответственности и область проверок этого регулятора – все организационные мероприятия, включая акт классификации информационных систем персональных данных. Права и обязанности этого уполномоченного органа устанавливаются положением о нем в соответствии со ст. 23 Закона № 152-ФЗ.

Вторым регулятором, контролирующим осуществление мер по технической  защите информационных систем обработки  персональных данных, является Федеральная  служба по техническому и экспортному  контролю (ФСТЭК) и ее территориальные  органы. Сфера ответственности и  область проверок – технические  средства защиты информации, использующие некриптографические методы и способы защиты персональных данных.

Третьим регулятором является федеральный орган исполнительной власти, уполномоченный в области  обеспечения безопасности, – Федеральная  служба безопасности РФ (ФСБ России), которая устанавливает особенности  разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах и осуществляет контроль в  этой области.

Кроме того, следует иметь  в виду, что в соответствии со ст. 354 ТК РФ Федеральная инспекция  труда, состоящая из федерального органа исполнительной власти и его территориальных органов (государственных инспекций труда), является уполномоченным органом на проведение государственного надзора и контроля за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, в т. ч. и по вопросам защиты персональных данных работников.