Какие могут быть проблемы с целями обработки персональных данных? Когда нужно оформлять письменные согласия на обработку и распространение персональных данных, как их составить грамотно? Когда нужна Политика обработки персданных и где она должна быть опубликована? Когда и какую информацию следует предоставить по запросу человека о его персональных данных? Когда оператор обязан уточнить, заблокировать или уничтожить персональные данные? Как должно производиться обезличивание персональных данных? Когда и о чем следует уведомлять Роскомнадзор?
Объясняем, как выполнить перечисленные задачи грамотно и какие штрафы грозят за ошибки.
С начала действия Трудового кодекса РФ 1, с 01.02.2002, и до настоящего времени одним из самых сложных вопросов для практиков остается вопрос о применении норм главы 14 ТК РФ «Защита персональных данных работника». В совокупности с нормами специального Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» 2 практики получили сложное правовое регулирование порядка работы с персональными данными 3, начиная с их получения от граждан и заканчивая уничтожением или хранением.
При этом в геометрической прогрессии за последние 9 лет росли размеры штрафов за нарушения в области обработки ПД: от штрафа в 10 000 рублей (самого большого до 01.07.2017) до многомиллионных штрафов с 30.05.2025.
Впечатляет и количество статей Кодекса РФ об административных правонарушениях 4, в которых предусмотрены штрафы за те или иные неправомерные действия в сфере представления информации, содержащей ПД, или за конкретные нарушения в работе с ней: 5.39, 5.63, 13.11, 13.11.3, 13.12, 13.14, 19.7.
Напомним, что незаконные действия с ПД могут привести и к уголовной ответственности по ст. 137, 140, 155, 173.2, 272, 272.1 Уголовного кодекса РФ, а также к гражданско-правовой ответственности по ст. 15 и 151 Гражданского кодекса РФ, по ст. 24 Закона № 152-ФЗ. Дисциплинарная и материальная ответственность за нарушение норм, регулирующих обработку и защиту ПД работника, предусмотрены в ст. 90, 192 и подп. «в» п. 6 ч. 1 ст. 81 ТК РФ.
Чтобы не получать штрафы, организация не должна допускать нарушений законодательства РФ в области ПД. В этой статье разберем нарушения в документировании работы с ПД, за которые штрафуют по ст. 13.11 КоАП РФ, и подскажем, как их избежать на основе последней актуальной практики работы! В следующей статье разберем штрафы за утечку ПД.
Если проверяющие обнаружат разнотипные ошибки, подпадающие под разные части ст. 13.11 КоАП РФ, то оштрафуют по каждой из них. Глядя на размеры штрафов (см. Таблицы 1–7), возникает еще один важный вопрос: если одно и то же правонарушение совершено несколько раз (например, отсутствует несколько согласий на обработку ПД или организация несколько раз не ответила одному человеку на его запрос о ПД), то умножается ли размер штрафа на количество однотипных нарушений? Теория и практика здесь не всегда совпадают, поэтому простого ответа на данный вопрос не существует: много тонкостей, которые надо учитывать. Следующий интересный вопрос: кого оштрафуют – организацию и/или должностное лицо и кто окажется этим «лицом»? Разбираться в том, как Роскомнадзор применяет штрафы за ошибки в работе с ПД и как их оспорить, будем в ближайших номерах журнала.
Итак, планы у нас грандиозные. Давайте приступим. Для начала определимся с ключевыми терминами:
Фрагмент документа
Статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)...
2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных... действия (операции), совершаемые с персональными данными;
3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1. Проблемы с целями обработки ПД
Первое правонарушение включает 2 ошибки (ч. 1 ст. 13.11 КоАП РФ):
1.а. обработка персональных данных в случаях, не предусмотренных законодательством РФ в области ПД, либо
1.б. обработка ПД, несовместимая с целями сбора ПД (за исключением случаев, предусмотренных ч. 2, 11–18 ст. 13.11 и ст. 17.13 КоАП РФ), если эти действия не содержат уголовно наказуемого деяния.
Размер штрафов за них перечислен в Таблице 1.
Таблица 1. Санкции по ч. 1 и 1.1 ст. 13.11 КоАП РФ
|
Состав нарушения
(с указанием номера части статьи)
|
Размер штрафа
|
|
для
граждан
|
для ИП
|
для должностных лиц
|
для
организаций
|
|
1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо несовместимая с заявленными целями
|
от 10 000 до 15 000 рублей
|
- - -
|
от 50 000 до 100 000 рублей
|
от 150 000 до 300 000 рублей
|
|
1.1. Повторное нарушение ч. 1 ст. 13.11
|
от 15 000 до 30 000 рублей
|
от 300 000 до 500 000 рублей
|
от 100 000 до 200 000 рублей
|
от 300 000 до 500 000 рублей
|
Для устранения ошибки 1.а, т.е. для обработки ПД исключительно в случаях, предусмотренных законодательством, необходимо обратиться к ч. 1 ст. 6 Закона № 152-ФЗ. Именно здесь перечислены все законные случаи обработки ПД. Следовательно, недопустимо выходить за эти рамки.
Законным случаем обработки ПД является наличие согласия субъекта ПД на обработку (согласно п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Но обработка ПД является законной даже без оформления согласия, если она необходима для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Получается, что надо четко определиться, когда необходимо получать у человека / работника согласие на обработку его ПД, а когда это согласие не требуется, потому что реализуются цели, предусмотренные соответствующими законами.
Если организация использует ПД своих работников только для самостоятельного ведения предусмотренных законодательством кадрового, налогового и бухгалтерского учета, то брать на это их согласия нет необходимости, хотя на всякий случай это делают.
Если же работодатель передает ПД работников другой организации (например, когда ведение налогового и бухгалтерского учета передается на аутсорсинг или когда оформляется договор медицинского страхования), то на такую передачу ПД письменные согласия у работников брать необходимо (см. Пример 5).
При передаче ПД работника в образовательную организацию, названную в предъявленном им дипломе, с целью проверки подлинности этого документа, согласие требуется, т.к. ПД работника будут передаваться третьей стороне. А согласно п. 3 ч. 1 ст. 86 ТК РФ «если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие».
При передаче ПД работника в налоговую инспекцию, СФР, военкомат, суд, полицию, следственные органы и т.п. согласие работника не требуется, т.к. соответствующими законами и конкретизацией их норм в подзаконных актах предусмотрена обязательная отчетность и передача сведений по запросам в определенные государственные органы (ст. 226, глава 34 Налогового кодекса РФ; письмо ФНС России от 05.05.2023 № КВ-3-14/6303@; Положение о воинском учете, утв. постановлением Правительства РФ от 27.11.2006 № 719; ст. 17 Федерального закона от 07.02.2011 № 3-ФЗ «О полиции» и др.).
Следует обратить внимание на то, что ненужные, «лишние» согласия работника на обработку его ПД – не мелочь, на которую Роскомнадзор не обратит внимания. Наоборот, обработка ПД на основании согласия субъекта в случаях, когда федеральным законом не предусмотрена обязанность получения такого согласия, является одним из критериев отнесения объектов контроля к определенной категории риска!
Таким образом, наличие «лишних» согласий с 05.09.2025 приводит к повышению категории риска и более частым проверкам 5. В связи с этим рекомендуем выявить эти «лишние» согласия и «избавиться» от них. Эти согласия могут быть отозваны работниками и им возвращены. Полагаем, что если работникам все это правильно объяснить и показать, что поменялись определенные нормы, содержащиеся в постановлении Правительства РФ, то работники не будут возражать и напишут заявления об отзыве «лишних» согласий.
Для исключения ошибки 1.б, т.е. для достижения полной совместимости обработки ПД с целями сбора ПД, необходимо соблюдать один из закрепленных в Законе № 152-ФЗ принципов: «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и...
