Осторожность в работе с персональными данными не помешает — снова ужесточение штрафных санкций
В 2023 году Роскомнадзор (РКН) зафиксировал 168 утечек персональных данных (ПД), в результате которых в открытый доступ попало более 300 млн записей россиян.
Всего в 2023 году суды рассмотрели 87 составленных РКН протоколов по факту утечек ПД и назначили штрафы на общую сумму более 4,6 млн рублей. Только за первое полугодие 2024 года из-за «сливов» в открытый доступ попало более 600 млн записей. Все это заставляет нас посмотреть на работу с ПД, как на процесс, требующий особого внимания, профессионализма и конфиденциальности.
Персональные данные (ПД) работника сегодня — любая информация о человеке, имеющаяся у работодателя.
Самые распространенные и востребованные ПД — документальные, включающие ФИО, паспортные данные, ИНН, СНИЛС, сведения об образовании (ст. 3 ФЗ № 152 от 27.07.2006, письмо Минкомсвязи № ЛБ-С-074-24059 от 28.08.2020). И менее распространенные ПД — биометрические, то есть уникальные физические характеристики человека, которые используются для его идентификации (фотографии, отпечатки пальцев, голос, радужная оболочка глаза).
Первое, что нужно сделать работодателю при работе с ПД — оповестить Роскомнадзор (РКН) о начале обработки ПД работников. Проверяем на сайте РКН, включена ли организация в общероссийский реестр операторов ПД. Кстати, на сегодняшний день реестр содержит сведения уже о 932 128 операторах.
Если в реестре компании нет, работодатель уведомляет РКН о начале обработки ПД. Сформировать и направить уведомление можно на сайте РКН. Оно составляется на бланке по утвержденной форме (приказ РКН № 180 от 28.10.2022). Важно — если в сведениях появились изменения, необходимо сообщить об этом РКН до 15 числа следующего месяца. Не забываем, что РКН уведомляется и в случаях прекращения работы с ПД.
Во всех ли случаях уведомляется РКН? Во всех, кроме 3 законодательных исключений (ч. 2 ст. 22 ФЗ № 152):
- ПД включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка.
- Работодатель осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации.
- Обработка ПД происходит в случаях, предусмотренных законодательством о транспортной безопасности.
С какого момента начинается обработка ПД? Когда работодатель запрашивает сведения у работников при заключении договора. А зачастую даже раньше — процесс обработки ПД происходит уже при подборе кандидата.
Обработка ПД включает сбор, запись, накопление, хранение, уточнение, использование, передачу, уничтожение и другие действия с ними (п. 3 ст. 3 ФЗ № 152).
По общему правилу работодатель вправе обрабатывать ПД работника с его письменного согласия (ч. 1 ст. 6, ч. 4 ст. 9 ФЗ № 152). Есть случаи, когда оно не требуется. К примеру, согласие не нужно, если компания сообщает ПД работника третьей стороне, чтобы предупредить угрозу его жизни и здоровью, или обрабатывает такие данные для осуществления и выполнения обязанностей, возложенных на работодателя законом (ч. 1 ст. 6 ФЗ № 152, ст. 88 ТК).
Требования к обработке ПД работников (как субъектов ПД) определены не только в ФЗ № 152 «О персональных данных», но и в ТК. Выделим основные:
- Обрабатывать ПД можно только в определенных целях (например, для трудоустройства работника) (п. 1 ст. 86 ТК).
- Получать ПД нужно исключительно у работника. Если их возможно получить только у третьих лиц, необходимо сообщить об этом работнику и заручиться его письменным согласием (п. 3 ст. 86 ТК).
- Ознакомить работников под подпись с ЛНА, устанавливающими порядок обработки персональных данных (п. 8 ст. 86 ТК).
- Выработать совместно с работниками меры по защите персональных данных (п. 10 ст. 86 ТК).
Итак, работодатель предполагает использование ПД работников и их хранение. Закон обязывает его принимать необходимые и достаточные меры для обеспечения сохранности ПД (ст. 18.1 ФЗ № 152). Отметим, что работодатель самостоятельно определяет состав и перечень таких мер с учетом обязательных требований:
- Назначение в компании лица, ответственного за организацию обработки ПД.
- Издание необходимых ЛНА. Основные, встречающиеся на практике — политика об обработке и защите ПД; регламент (порядок) обработки ПД; положение об обработке ПД работников; перечень должностей сотрудников, имеющих доступ к ПД; формы согласия на обработку ПД; уведомление о прекращении обработки ПД; приказ о назначении ответственного лица за организацию обработки ПД.
- Применение правовых, организационных и технических мер по обеспечению безопасности ПД (в соответствии со ст. 19 ФЗ № 152).
- Осуществление внутреннего контроля и аудита в компании на соответствие обработки ПД требованиям законодательства.
- Оценка вреда, который может быть причинен работникам в случае разглашения и несанкционированного доступа к их ПД третьими лицами, а также соотношение указанного вреда и принимаемых работодателем мер, направленных на обеспечение выполнения его законных обязательств. Здесь стоит отметить, что оценка проводится уполномоченным сотрудником (либо комиссионно) в соответствии с Требованиями, утвержденными приказом РКН № 178 от 27.10.2022. По итогам оценки составляется акт, определяющий степень вреда (высокая, средняя или низкая), который может быть причинен в случае нарушения ФЗ № 152. Проигнорировать этот документ не получится, ведь его результаты отражаются среди обязательных сведений при первичном уведомлении РКН. Также акт обязан быть предоставлен по запросу РКН и может понадобится в случае, если ПД неправомерно или случайно переданы (предоставлены, распространены и тд.) и это нарушило права работника.
- Ознакомление работников, непосредственно осуществляющих обработку ПД, с актуальными положениями законодательства о ПД.
Какие можно выделить инновации в работе с ПД? Они касаются, например, более частого использования биометрических ПД на практике. Но пока законодательно этот вопрос отрегулирован лишь в пользу работника. Так как он может отказаться их предоставлять, что не будет являться препятствием к его оформлению на работу.
Также из актуального — реакция работодателя на запросы со стороны РКН и работников по вопросам обработки ПД стала более быстрой — нужно ответить до 10 дней. Если работодатель планирует передать ПД работника за рубеж, уведомление РКН обязательно.
Предположим, что работник уволился и надобность в хранении его ПД отпала. В таком случае ПД подлежат уничтожению. Если обработка ПД осуществлялась без использования средств автоматизации, то их уничтожение подтверждается актом, если с использованием — актом и выгрузкой.
Установленного образца документов об уничтожении ПД нет. Их разрабатывает сам работодатель. Основное требование — содержание документов должно соответствовать требованиям приказа РКН № 179 от 28.10.2022.
Также можно наблюдать ужесточение ответственности за несанкционированный доступ к ПД, их утечку и раскрытие третьим лицам.
Помним — работодатель не вправе раскрывать и распространять персональные данные своих работников без их согласия. За нарушение этой обязанности работодателя могут привлечь к ответственности (ст. ст. 7, 24 ФЗ № 152, ст. 90 ТК).
Основной вид ответственности при подобных нарушениях — административная. Она установлена:
- За нарушение правил обработки ПД.
- За неисполнение обязанностей при взаимодействии с субъектом ПД.
- За невыполнение требований по защите ПД.
- За неисполнение обязанностей при взаимодействии с РКН.
Основной вид административного наказания за подобные нарушения — штраф. Его размер зависит от конкретного нарушения. Так, например, сейчас максимальный штраф для организации за обработку ПД без письменного согласия гражданина, когда согласие требуется, или за отсутствие в нем всех необходимых сведений составляет 700 000 руб., за повторное правонарушение — 1 500 000 руб. (ч. 2, 2.1 ст. 13.11 КоАП).
В настоящее время Госдума рассматривает законопроект № 502104-8 «О внесении изменений в КоАП (в части усиления ответственности за нарушение порядка обработки персональных данных), в котором размеры штрафа увеличены в разы.
Нарушение законодательства в области ПД может повлечь и гражданско-правовую ответственность в форме компенсации морального вреда, возмещения убытков, взыскания неустойки.
Работодатель несет материальную ответственность перед своими работниками, если, нарушив по своей вине законодательство в области ПД, причинил им материальный ущерб и (или) моральный вред (ст. 90, ч. 1 ст. 232, ч.1 ст. 233 ТК). Например, такое возможно, если работодатель не обеспечил защиту ПД работника (не организовали особый режим доступа, хранение в особых местах), из-за чего они стали доступны посторонним лицам. В таком случае работодатель обязан возместить работнику ущерб в полном объеме, а моральный вред — в той сумме, о которой договорится с работником или которую определит суд (ч. 1 ст. 235, ст. 237 ТК).
Дисциплинарная ответственность для работодателя законодательством не предусмотрена. А вот работодатель может привлечь работника к дисциплинарной и материальной ответственности, если он по своей вине нарушил нормы, регулирующие обработку и защиту ПД других работников.
Так, работника можно привлечь к дисциплинарной ответственности, если он виноват в неисполнении своих трудовых обязанностей по обработке ПД (ч. 1 ст. 192 ТК). Например, такое возможно, если работник отдела кадров разгласит ПД других лиц, которые стали ему известны в связи с исполнением своих трудовых обязанностей и которые он обязался не разглашать. Такие действия могут быть признаны однократным грубым нарушением работником трудовых обязанностей. И в этом случае работодатель вправе применить к нему дисциплинарное взыскание вплоть до увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК.
Действия лица, нарушившего правила работы с ПД, могут образовать состав преступления из числа предусмотренных УК. В частности, уголовная ответственность установлена:
- За незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1. ст. 137 УК).
- За неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (ч. 1. ст. 272 УК).
- За неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК).
Уголовные санкции указанных статей предусматривают вплоть до 2 лет лишения свободы.
Отметим — к уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК). Однако привлечение виновного лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3. ст. 2.1 КоАП).
Резюмирую, подчеркнем, что сохранность ПД работников — это краеугольный камень в работе любой организации. Сегодня государство пристально следит за тем, чтобы личная жизнь каждого человека была неприкосновенна, а его персональные сведения не стали достоянием общественности.
Устраиваясь на работу, работник хочет быть уверен, что его личные данные не всплывут на просторах интернета и не окажутся в руках мошенников. Именно поэтому государство выстраивает эффективную модель взаимодействия работодателя и работника при строгом надзоре со стороны РКН в вопросах обработки ПД. Важность этого подчеркнута и постоянно ужесточающийся ответственностью, начиная от штрафов, заканчивая ограничением свободы для виновных лиц.
Разработать эффективные ЛНА в сфере обработки ПД работников, пройти регистрацию в Роскомнадзоре и грамотно организовать обработку персональных данных Вам помогут специалисты компании «ПрощеБизнес».