что делать если разгласили мои персональные данные
Ответственность за нарушение закона о персональных данных
Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.
Таблица 1. «Виды ответственности за нарушение закона о персональных данных»
Вид ответственности
Нарушение
Санкция
Норма
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных
Предупреждение или административный штраф:
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных
Предупреждение или административный штраф:
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
Предупреждение или административный штраф:
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)
Предупреждение или административный штраф:
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов
Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде
Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ
То же деяние, совершенное с использованием служебного положения
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий
Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан
Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование
Причинение лицу убытков в результате нарушения правил обработки его персональных данных.
Под убытками при этом понимаются:
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных
Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)
Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей
Иные нарушения в области персональных данных при их обработке
Продается все о каждом
В ходе рассмотрения этого дела было наглядно продемонстрировано, как правильно поступать в подобных случаях. Ведь саму процедуру таких исков не всегда до конца понимают даже наши суды.
А подобных споров о защите персональных данных в последнее время стало так много, что на проблему приходится обращать внимание не только самим гражданам, но и правоохранителям, юристам, законодателям.
Поэтому имя человека, его адрес, паспортные данные и прочее с каждым днем становятся все дороже. В итоге сложился целый нелегальный рынок, на котором можно купить персональные данные, а их хозяева даже знать об этом не будут.
Между тем, сегодня, чтобы взыскать через суд убытки от утечки персональных данных, гражданин должен обладать железными нервами и здоровьем. Ему надо доказать не только факт нарушения, но и размер своих убытков от разглашения, а также причинно-следственную связь между нарушением и убытками. Да и штрафы Роскомнадзора за нарушение прав субъектов персональных данных доходят лишь до 75 000 рублей.
Но и такие суммы за последние годы не присуждали.
Наши суды ограничиваются 10-20 тысячами рублей компенсации. Хотя в Европе предусмотрены штрафы до 4 процентов оборота компании. А это заставляет организации ответственно подходить к вопросам защиты персональных данных.
Наша история началась на Дальнем Востоке, где гражданин написал заявление в местное управление Роскомнадзора. В заявлении было сказано, что в интернете без его разрешения некая фирма с Багамских островов распространяла его персональные данные.
В итоге всех споров дело дошло до Судебной коллегии по гражданским делам Верховного суда. И там с мнением дальневосточных судов не согласились.
Верховный суд начал с того, что напомнил: Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных. В том числе и неопределенного круга лиц. Это сказано в Законе «О персональных данных». Также ведомство имеет право представлять пострадавших в суде.
А еще Верховный суд указал на статью 26 Гражданского процессуального кодекса. Там сказано, что иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца. Поэтому заявление в защиту жителя Дальнего Востока надо было рассмотреть в порядке гражданского судопроизводства.
Как правило, истцом в судах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. Сам Роскомнадзор реже, чем простые граждане, обращается с исками в суд. Обычно ответчиком в таких спорах оказывается оператор персональных данных или тот, кто получил доступ к персональным данным гражданина.
Весной этого года стало известно, что Госдуме и Роскомнадзору предложили законодательно ужесточить ответственность за нарушения в сфере персональных данных. Если предложение пройдет, то за каждый доказанный случай утечки данных граждане смогут требовать от бизнеса и госорганов компенсацию от 500 000 до 5 миллионов рублей. Такую инициативу озвучила Ассоциация юристов России. Там подготовили предложения по изменению закона «О персональных данных». АЮР хочет обязать операторов персональных данных, в числе которых есть все госорганы, компании и физические лица, обрабатывающие такие сведения, по требованию граждан выплачивать им, по решению суда, в случае утечки компенсацию в размере от 500 000 до 5 миллионов рублей. Если утечка данных произошла по вине пользователя, то оператор освобождается от ответственности.
Возможность взыскать компенсацию с компании в случае утечки теоретически есть и сейчас, но, по мнению АЮР, она сильно затруднена.
_t_310x206.jpg "что делать если разгласили мои персональные данные. Смотреть фото что делать если разгласили мои персональные данные. Смотреть картинку что делать если разгласили мои персональные данные. Картинка про что делать если разгласили мои персональные данные. Фото что делать если разгласили мои персональные данные")
При этом иски о защите прав хозяина персональных данных, в том числе о возмещении убытков, компенсации морального вреда, могут предъявляться и в суд по месту жительства истца.
Требования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите.
В нашем случае Верховный суд отменил отказные решения дальневосточных коллег и велел рассмотреть требование гражданина.
Разглашение персональных данных
Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.
Содержание статьи:
Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.
Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ регулирует данные вопросы, а наш адвокат готов помочь разобраться в вопросе ответственности за разглашение персональных данных, объяснит как выстроить защиту виновному и как защитить права потерпевшей стороне: профессионально, сотрудничество на выгодных условиях и в срок.
В перечень персональных данных включается следующее:
По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.
Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности. Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина. Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.
Что делать при незаконном разглашении персональных данных?
Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.
В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности. Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.
Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.
Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.
Каким образом возможно законное использование персональных данных?
Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.
В соответствующем соглашение на персональные данные должно быть отмечено:
Последствия незаконного распространения персональных данных
Итогом нарушения любого из требований закона о персональных данных помимо денежной компенсации и возмещения возможных убытков является наличие публичной санкции в виде административного или уголовного наказания. При этом, ответственность возможна как за сбор, так и дальнейшую обработку, и распространение данных о личности.
Применение административная ответственность за разглашение персональных данных допускается в том случае, если не наступают последствия, связанные с уголовным преследованием. Размер санкции статьей 13.11 административного кодекса определяется в зависимости от того, кто выступает распространителем – физическое (в т.ч. должностное) либо юридическое лица. Также на размер штрафа влияет конкретный вид совершенного нарушения – выбор части приведенной статьи закона напрямую связан именно с объективной стороной нарушения.
Наступление уголовная ответственность за разглашение персональных данных происходит при незаконных действиях именно с сведениями о личной жизни. Примером в этой части может служить информация об образе жизни, здоровье человека и тому подобное. Читайте по ссылке, как наш адвокат по уголовным делам будет отстаивать ваши интересы в случае привлечения к ответственности за данное нарушение.
Наказание по рассматриваемому преступлению непосредственно зависит от исполнителя (отдельная санкция содержится для должностных лиц), а также от способа разглашения информации. Поскольку распространение сведений в СМИ или при публичном выступлении очевидно наносит больший вред, то и ответственность аналогична закреплена законом более суровая.
Помимо указанных наказаний по 137 статье УК РФ, штраф за нарушение 152 ФЗ предусмотрен и в следующей – 138 статье. Преступлением в таком случае также будет признаваться нарушение в области переписки лиц. Вид полученной переписки между гражданами не имеет значения. При решении вопроса какое наказание за разглашение персональных данных в случае переписки равнозначно нарушением тайны будет считаться сведения телефонного разговора, электронных или почтовых писем.
Образец жалобы на незаконное использование персональных данных
В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека
В Центральный банк Российской Федерации
От П.
Жалоба на использование персональных данных
Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.
В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.
В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.
Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.
Звонки поступают со следующих номеров телефонов: …
Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.
В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.
Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.
За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.
Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.
Исходя из вышеизложенного, мои конфиденциальные данные, которыми являются сведения о моем кредите, не должны были попасть к третьим лицам, т.е. к ООО «Первое коллекторское бюро», таким образом необходимо сделать вывод о существенном нарушении моих право ПАО «Бинбанк».
На основании изложенного и руководствуясь нормами действующего законодательства,
ПРОШУ:
Автор статьи:
© адвокат, управляющий партнер АБ «Кацайлиди и партнеры»
Что делать если разгласили мои персональные данные
УК РФ Статья 137. Нарушение неприкосновенности частной жизни
(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)
(см. текст в предыдущей редакции)
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)
(см. текст в предыдущей редакции)
наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
(в ред. Федеральных законов от 08.12.2003 N 162-ФЗ, от 22.12.2008 N 272-ФЗ, от 07.03.2011 N 26-ФЗ, от 07.12.2011 N 420-ФЗ)
(см. текст в предыдущей редакции)
наказывается штрафом в размере от ста пятидесяти тысяч до трехсот пятидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от восемнадцати месяцев до трех лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от трех до пяти лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет.
(часть 3 введена Федеральным законом от 28.12.2013 N 432-ФЗ)
Как защитить персональные данные от работодателя
Чтобы их никому не передали
В прошлых статьях я рассказала, как проверить потенциального работодателя до собеседования и во время собеседования, чтобы убедиться, что не будет проблем с зарплатой. Но это не вся проверка.
Работник имеет право на защиту своих персональных данных, а недобросовестный работодатель может обращаться с ними халатно: разглашать, терять и передавать в корыстных целях. Если персональные данные не защищены, работник может поплатиться репутацией и даже лишиться денег.
Поэтому нужно проверить, как потенциальный работодатель поступает с персональными данными. Давайте разберемся, как выбрать такого работодателя, который будет защищать ваши данные.
Зачем переживать о персданных на работе
Каждый работодатель — оператор персональных данных работников. Он обязан обрабатывать их в соответствии с законом: утверждать специальные локальные акты, устанавливать порядок допуска к ним и всячески защищать.
Плохо, если в компании нет специального человека, который организует обработку персданных, нет локального акта по обработке персданных и регламента допуска к ним. Когда ответственных нет и порядок работы четко не определен, высока вероятность, что персданные пойдут по рукам.
Если у работников не спрашивают согласия на обработку персданных и на работе, например, нет сейфов для трудовых книжек и шкафов на замке для кадровых документов — это тоже тревожный знак.
Все это может повлечь для работника разные негативные последствия: от дискомфорта, когда коллеги узнали что-то, что он не хотел рассказывать, до рисков, что персданные будут использовать мошенники в преступных целях.
Халатное обращение с персональными данными бьет по самоуважению и кошельку
Серафиме Ивановне устроили сюрприз: вывесили на входе в офис огромный поздравительный плакат с фото, ФИО и полной датой рождения. Теперь все знают ее настоящий возраст.
Геннадий подал в бухгалтерию заявление на матпомощь к свадьбе сына. Главбух вывесила копию заявления на стенд как образец. Теперь коллеги знают, что у Геннадия плохо с деньгами.
Предприимчивый рекрутер Ольга Петровна выгодно продала контакты работников. Теперь им названивают, чтобы продать то ли форекс, то ли увеличитель члена (говорят неразборчиво).
Секретарь Снежана покупала билеты для командировок: на ее столе лежали копии паспортов вперемешку с гламурными журналами. Проходимость в приемной была высокая, а внимательность Снежаны низкая. Поэтому копии втихаря прибрал к рукам непорядочный гость и оформил по ним кредиты.
То, как организации работают с персданными, контролирует Роскомнадзор. Работодатели уведомляют его об обработке данных, после чего их вносят в специальный реестр.
По закону работодатель может не уведомлять Роскомнадзор об обработке данных исключительно в рамках трудового законодательства и силами самой компании. Но таких работодателей крайне мало, поэтому в большинстве случаев компания все-таки должна отправлять уведомление.
Выявить нарушения правил обработки персданных могут и другие органы.
Например, прокуратура или трудовая инспекция могут выяснить, что в компании нет обязательного локального акта, который устанавливает порядок обработки персданных. Это нарушение закона.
Еще компании должны утверждать политику обработки персональных данных. Она касается не только работников, но и клиентов и контрагентов компании. По закону фирмы обязаны опубликовать такую политику или как-то иначе предоставить доступ к ней. Если у компании есть официальный сайт — политику обычно размещают там. Поэтому информацию о политике обработки персданных вы можете посмотреть на сайте потенциального работодателя.
Если работодатель злостно нарушает законодательство о персданных и работник уличил его в этом, дело может дойти до суда. Иногда после таких разбирательств справедливость восстанавливается: работнику возмещают моральный ущерб, а компания начинает соблюдать закон. Тогда потенциальным работникам уже нечего бояться. В противном случае существует риск, что с персданными новичка могут обращаться столь же небрежно и неаккуратно, как и с данными работника-истца.
Чтобы узнать это, следует посмотреть судебную практику по спорам потенциального работодателя, которые связаны с персданными. Нужно проверить, на что жаловались работники, отличаются ли текущие жалобы от прошлых. Еще стоит почитать отзывы работников о компании на специальных сайтах или пообщаться с ними лично.
Плохо, если у компании много трудовых споров по персональным данным: жалобы на незаконную обработку и передачу третьим лицам, утерю и разглашение.
Проверить прошедшие и текущие споры можно на сайте «Судебные и нормативные акты РФ », на сайтах с отзывами работников и «черными списками» работодателей в интернете. Такую информацию можно также поискать на сайте Роструда в разделе «События в регионах» по тегу «проверки» и на сайтах местных трудинспекций. Для проверки достаточно знать наименование и адрес компании — потенциального работодателя.
Например, в одном деле работодатель захотел провести почерковедческую экспертизу и передал заявления работника в экспертную организацию без его согласия. В итоге суд признал это нарушением и обязал компанию выплатить работнику компенсацию морального вреда.
В другом судебном споре работодатель допустил разглашение персональных данных работника: на стороннем сайте появилась статья, к которой было приложено дополнительное соглашение к трудовому договору истца. Доступ к статье получил неограниченный круг лиц. Суд обязал работодателя возместить работнику моральный вред.
В большинстве случаев на собеседовании с вас должны взять согласие на обработку персданных. Без него действия работодателя будут незаконны. Ответственный работодатель позаботится об этом заранее и предоставит бланк согласия без ваших напоминаний. Это уже показатель, что компания в какой-то мере соблюдает закон.
Когда требуется такое согласие. Потенциальный работодатель должен получить согласие на обработку персональных данных на период, когда он будет решать, брать ли соискателя на работу.
Но если вы размещали резюме в свободном доступе в интернете или от вашего имени действует кадровое агентство — согласие на обработку не требуется.
Какие персданные не имеют права узнавать. По общему правилу это данные, которые составляют личную или семейную тайну. Например, на вопросы потенциального работодателя о вероисповедании, интимной жизни, политических взглядах, быте и жилищных условиях можно не отвечать.
Но есть должности, при приеме на которые нужно предоставить более полную информацию о себе. Например, при приеме на госслужбу могут запросить данные о семье или поездках за границу.
Как заполнять согласие. Согласие нужно заполнять самому. Если потенциальный работодатель предложит для быстроты заполнить согласие за вас, не соглашайтесь.
Если вам дают на заполнение анкету, она должна соответствовать типовой форме, в том числе содержать поле для отметки о согласии на обработку персданных и информацию о сроке ее рассмотрения.
Что будет с персданными, если на работу не приняли. Потенциальный работодатель должен уничтожить персональные данные соискателей, которых не приняли на работу, в течение 30 дней. Если речь о госслужбе — персональные данные хранятся 3 года.
Непорядочный работодатель может оставить ваши данные в корыстных целях.
Допустим, на собеседовании вы разрешили снять копии с паспорта, диплома и всех страниц трудовой книжки. На работу вас в итоге не приняли, а данные решили применить с пользой для себя: пополнить вами список мертвых душ для важного тендера.
Компания подделывает вашу трудовую книжку: делает запись о приеме на работу в копии, снимает копию еще раз — и заверяет. После подделывает штатную расстановку, добавляет копию паспорта и диплома и вместе с пакетом других документов направляет в тендерную комиссию. Если проверяющие не слишком дотошны, компания имеет шансы выиграть тендер. Она обманет заказчика с реальным количеством персонала и получит деньги благодаря вашим бесплатным данным.
Что делать, если вас не приняли на работу. Для подстраховки лучше написать отзыв согласия на обработку персональных данных. Отзыв нужно направить на юридический адрес компании ценным письмом с описью вложения и уведомлением о вручении. Отзыв можно подать и лично с отметкой о принятии.
Отзыв согласия на обработку персданных не гарантирует, что их прекратят обрабатывать. Даже при наличии отзыва недобросовестные компании могут оставить их у себя. Вряд ли вы сможете об этом узнать.
Отзыв согласия на обработку персональных данных соискателя
Форма отзыва. Унифицированной формы нет, пишите в произвольной форме.
Запрос официального ответа. Подчеркните, что ждете от потенциального работодателя письмо, которое подтвердит окончание обработки данных.
Дата подачи отзыва. Отзыв можно подать в любое время.
Итак, вы проверили потенциального работодателя в реестре Роскомнадзора, изучили его отношения с работниками и подписали согласие на обработку пересданных. Но это не вся проверка.
Чтобы уточнить, как в компании работают с персональными данными, на собеседовании задайте потенциальному работодателю эти 4 вопроса.
До начала обработки персональных данных потенциальный работодатель в общем случае обязан уведомить Роскомнадзор. Порядочные компании знают об этом и о том, что с 1 июля 2017 года законодательство в области персданных ужесточилось.
👎 Не слышали о Роскомнадзоре
— Не нашла вашу компанию в реестре Роскомнадзора. А как вы работаете с персональными данными соискателей и работников?
— Реестр Роскомнадзора? А что это? Нас трудинспекция проверяла, ошибок не нашла. Этого разве недостаточно?
В компании должен быть сотрудник, который занимается организацией обработки персональных данных. Обычно это начальник отдела кадров или заместитель директора. Без организатора обработки персданных наступит хаос.
👎 Ответственного нет
— У вас есть сотрудник, ответственный за организацию обработки персональных данных?
— Нет. А зачем? У нас многие работают с персональными данными, назначить кого-то одного не получится.
У каждой компании должен быть локальный акт об обработке персональных данных. Он должен содержать мероприятия по их защите. Еще работодатель должен закрепить список сотрудников, которые работают с персональными данными, и тех, кто имеет к ним доступ.
Окиньте взглядом офис. Посмотрите, не лежат ли в свободном доступе бесхозные документы: трудовые книжки, личные дела, копии паспортов. Если вы заметили это, есть риск, что после трудоустройства с вашими документами могут обращаться так же безответственно.
👎 Доступ к персданным имеют все
— А кто у вас обрабатывает персональные данные, кто имеет доступ к ним? Только кадровики или кто-то еще? Порядок доступа закреплен в локальном акте?
— Кому нужно, тот и спрашивает. Если кому-то требуется копия диплома работника — приходит и получает. Все быстро, никаких локальных актов не надо.
Потенциальный работодатель должен разработать систему защиты персональных данных. Это могут быть технические или организационные меры: собственный защищенный сервер, запираемые шкафы и сейфы, охрана офиса. Если таких мер в компании нет — персданные могут потерять и украсть.
👎 Персданные никак не защищены
— Вы — филиал, а кадровый учет ведет головной офис? Как вы пересылаете туда копии документов сотрудников, по почте? Данные не может кто-нибудь перехватить? Сейчас много хакеров. Или у вас защищенный канал?
— Почтой России пересылаем, и никто еще не жаловался! У нас даже трудовые книжки хранятся так, без сейфа. Кто их украдет? Все свои.