Передача СНИЛС сотрудника по рабочей электронной почте по запросу от учебного учреждения: является ли это нарушением?

<h2 id="_1">Передача СНИЛС сотрудника учебному заведению без письменного согласия и по незащищенной электронной почте</h2> <p>На основании предоставленного описания, ваши действия по передаче СНИЛС сотрудника третьей стороне (учебному заведению) действительно сопряжены с рядом рисков нарушения законодательства о персональных данных. Давайте разберем ситуацию подробно.</p> <h4 id="1">1. Является ли СНИЛС персональными данными и как регулируется их передача?</h4> <p>Да, СНИЛС (страховой номер индивидуального лицевого счета) является персональными данными, так как это информация, относящаяся к прямо или косвенно определенному физическому лицу (сотруднику).</p> <p>В отношении передачи этих данных работодателем (который является оператором персональных данных) действует специальная норма Трудового кодекса:</p> <blockquote> <p>"не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами" (Источник: Трудовой кодекс Российской Федерации, Статья 88).</p> </blockquote> <p>Ваша ситуация (передача данных для оформления на обучение) не подпадает под указанные исключения. Следовательно, <strong>требовалось письменное согласие сотрудника</strong>.</p> <h4 id="2">2. Достаточно ли устного согласия? Каковы требования к согласию?</h4> <p>Нет, устного согласия в данном случае недостаточно. Закон устанавливает четкие требования.<br /> Согласно Федеральному закону "О персональных данных", согласие должно быть конкретным, информированным и сознательным. Более того, в случаях, предусмотренных федеральным законом (а Трудовой кодекс как раз такой случай), требуется согласие <strong>в письменной форме</strong>.</p> <blockquote> <p>"В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных" (Источник: Федеральный закон "О персональных данных", Статья 9).</p> </blockquote> <p>Таким образом, передача данных на основании только устной договоренности нарушает прямое требование закона.</p> <h4 id="3">3. Нарушает ли отправка по незащищенной почте требования безопасности?</h4> <p>С большой долей вероятности — да. Работодатель как оператор персональных данных обязан обеспечивать их безопасность.</p> <blockquote> <p>"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных" (Источник: Федеральный закон "О персональных данных", Статья 19).</p> </blockquote> <p>Отправка конфиденциальных данных (СНИЛС) по обычной электронной почте без использования средств криптографической защиты (шифрования) может быть расценена как непринятие необходимых технических мер для защиты от неправомерного доступа во время передачи. Оператор должен самостоятельно определять и применять достаточные меры безопасности, и отправка данных открытым текстом вряд ли соответствует этому требованию.</p> <h4 id="4">4. Какие меры должен был принять работодатель перед передачей?</h4> <p>Исходя из норм, перед передачей данных третьей стороне работодатель обязан был:<br /> 1. <strong>Получить письменное согласие сотрудника</strong> на передачу его СНИЛС конкретному учебному заведению для конкретной цели.<br /> 2. <strong>Предупредить лиц, получающих персональные данные</strong> (учебное заведение), о том, что данные могут быть использованы лишь в целях, для которых они сообщены.</p> <blockquote> <p>"предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено" (Источник: Трудовой кодекс Российской Федерации, Статья 88).<br /> 3. <strong>Обеспечить безопасный способ передачи</strong>, соответствующий внутренним организационно-техническим мерам защиты персональных данных, утвержденным работодателем.</p> </blockquote> <h4 id="5">5. Какие могут быть последствия для работодателя?</h4> <p>Нарушение законодательства о персональных данных влечет за собой несколько видов ответственности:</p> <ul> <li> <p><strong>Административная ответственность:</strong> Конкретные составы административных правонарушений (например, по ст. 13.11 КоАП РФ) в предоставленном контексте не указаны, однако закон прямо устанавливает такую возможность.</p> <blockquote> <p>"Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность" (Источник: Федеральный закон "О персональных данных", Статья 24).<br /> Это может выражаться в крупных штрафах для организации и должностных лиц по решению Роскомнадзора (уполномоченного органа).</p> </blockquote> </li> <li> <p><strong>Гражданско-правовая ответственность перед сотрудником:</strong> Сотрудник имеет право потребовать возмещения морального вреда.</p> <blockquote> <p>"Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных... подлежит возмещению" (Источник: Федеральный закон "О персональных данных", Статья 24).<br /> Аналогичная норма есть и в Трудовом кодексе (ст. 237).</p> </blockquote> </li> <li> <p><strong>Дисциплинарная ответственность:</strong> Виновные должностные лица работодателя могут быть привлечены к дисциплинарной ответственности.</p> <blockquote> <p>"Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом" (Источник: Трудовой кодекс Российской Федерации, Статья 90).</p> </blockquote> </li> </ul> <h4 id="6">6. Рекомендации по минимизации рисков и исправлению ситуации</h4> <ol> <li><strong>Немедленно оформить ретроспективное письменное согласие сотрудника.</strong> Разъясните сотруднику цель, для которой данные уже были переданы, и получите от него оформленное в соответствии со ст. 9 ФЗ "О персональных данных" согласие на эту конкретную обработку. Это не исправит прошлое нарушение, но зафиксирует волю сотрудника и может смягчить последствия.</li> <li><strong>Направить учебному заведению официальное письмо.</strong> В письме следует указать, что переданные данные (СНИЛС) предоставлены исключительно для целей оформления сотрудника на обучение/отчетности, и потребовать подтверждения, что данные будут использованы только в этих целях и будут защищены. Это частично исполнит требование ст. 88 ТК РФ.</li> <li><strong>Провести внутреннюю проверку и принять меры.</strong> Проанализируйте, кто принял решение о передаче данных, и при необходимости примите дисциплинарные меры. Это продемонстрирует, что нарушение не было санкционировано.</li> <li><strong>Усилить меры безопасности и обучить персонал.</strong> Пересмотрите внутренние процедуры передачи персональных данных. Установите правило, что передача конфиденциальных данных по электронной почте допускается только с использованием средств шифрования или через защищенные каналы связи. Ознакомьте ответственных сотрудников с требованиями законодательства.</li> <li><strong>Будьте готовы к реакции сотрудника или контролирующих органов.</strong> Если сотрудник обратится с жалобой или запросом, вы должны быть готовы дать ответ и предпринять действия по устранению нарушений, предусмотренные ст. 21 ФЗ "О персональных данных" (например, потребовать от учебного заведения уничтожить данные, если согласие не будет получено).</li> </ol> <p><strong>Важный вывод:</strong> В вашем случае имеет место <strong>комплексное нарушение</strong>: отсутствие требуемой законом письменной формы согласия и, с высокой вероятностью, ненадлежащее обеспечение безопасности данных при передаче. Риски административных штрафов и исков от сотрудника реальны. Настоятельно рекомендуется как можно быстрее принять меры по исправлению ситуации и в будущем строго следовать процедуре, установленной ст. 88 ТК РФ и ст. 9 ФЗ "О персональных данных". В сложных случаях, особенно если сотрудник начал проявлять недовольство, целесообразно обратиться за консультацией к адвокату, специализирующемуся на трудовом праве и защите персональных данных.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>