ТОП-5 ошибок в сфере работы с персональными данными

Одна из самых опасных тем для работодателей сегодня – ​персональные данные. Опасной ее делают сразу несколько факторов: это последние изменения в законодательстве, возможный штраф до 6 млн рублей, возобновление проверок Роскомнадзора. А еще – риски жалоб от сотрудников и даже кандидатов. Выделим 5 самых распространенных ошибок работодателей в вопросах защиты персональных данных. И расскажем, что делать, чтобы их избежать. Это как раз те случаи, когда можно учиться на чужих ошибках.

1. Устаревшие понятия

Наша практика показывает, что в Положениях о персональных данных, которые действуют в компаниях, нередко используются устаревшие понятия. Чаще всего указано определение персональных данных, закрепленное в ст. 85 ТК РФ. Но эта статья утратила силу еще с 01.10.20181. Напомним старую формулировку: «персональные данные работника – ​информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника».

Однако лучше использовать определение, которое дает ныне действующий п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»2. Согласно ему персональные данные – ​это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Часто в локальных актах работодателя встречаются и другие, уже устаревшие определения и термины, поэтому стоит регулярно организовывать ревизию ЛНА работодателя, чтобы их выявить и скорректировать тексты.

2. Нет указания, что базы данных расположены на территории России

Компании, особенно международные, зачастую не проверяют и не фиксируют, где именно находятся базы данных, в которых хранится и обрабатывается персональная информация. Кроме того, это не всегда указано и во внутренних документах компании. Согласно же ч. 5 ст. 18 Закона о персданных, работодатель при сборе персональных данных граждан РФ обязан обеспечить их запись, систематизацию, накопление, хранение и пр., используя только базы данных на территории нашей страны.

Кстати, если базы не расположены в России, то за это нарушение штрафы, установленные ч. 8 и 9 ст. 13.11 КоАП РФ, просто космические. Так, невыполнение указанной обязанности влечет наложение штрафа:

  • на граждан в размере от 13 000 до 50 000 рублей;
  • должностных лиц – ​от 100 000 до 200 000 рублей;
  • юридических лиц и индивидуальных предпринимателей – ​от 1 000 000 до 6 000 000 рублей.

Повторное нарушение опасно еще большими суммами:

  • для граждан штраф может составить от 50 000 до 100 000 рублей;
  • должностных лиц – ​от 500 000 до 800 000 рублей;
  • юридических лиц и индивидуальных предпринимателей – ​от 6 000 000 до 18 000 000 рублей.

3. Не прописан актуальный порядок распространения персданных

Не все компании успели прописать порядок распространения данных с учетом последних изменений в законе. Напомним, что из Закона о перс­данных3 исключили понятие общедоступных персональных данных. Вместо этого появилась категория персональных данных, разрешенных их субъектом (сотрудником, кандидатом, любым в общем-то гражданином) для распространения (ст. 10.1 Закона о персданных).

Если раньше обработка данных допускалась без согласия кандидата или работника, потому что он сделал их общедоступными (например, на сайте поиска работы или в соцсети), то теперь персональные данные прямо должны быть разрешены для распространения самим гражданином.

Здесь тоже не лишним будет напомнить про ответственность за нарушения в области персональных данных по ч. 2 и 2.1 ст. 13.11 КоАП РФ, которая ужесточилась с 27.03.2021. За обработку персданных без согласия в письменной форме штраф составит:

  • для граждан – ​от 6000 до 10 000 рублей;
  • должностных лиц и индивидуальных предпринимателей – ​от 20 000 до 40 000 рублей;
  • юридических лиц – ​от 30 000 до 150 000 рублей.

За повторное нарушение штраф возрастет:

  • для граждан – ​от 10 000 до 20 000 рублей;
  • должностных лиц – ​от 40 000 до 100 000 рублей;
  • индивидуальных предпринимателей – ​от 100 000 до 300 000 рублей;
  • юридических лиц – ​от 300 000 до 500 000 рублей.

Не забудьте прописать это уточнение во внутренних документах и, самое главное, получить от работников необходимые согласия.

4. Не оформлено обязательство о неразглашении

Еще одна распространенная ошибка – ​отсутствуют подписанные обязательства о неразглашении персональных данных работников или не указано в ЛНА, что ответственные лица должны подписать такой документ. Между тем работодатель на основании п. 7 ст. 86 ТК РФ в любом случае обязан защитить персональные данные работников от их неправомерного использования или потери. Поэтому компании принципиально важно обязать работников, которые имеют доступ к персданным, не разглашать эту информацию. Иначе работодателя могут признать виновным и в нарушении Закона о персданных, и в нарушении ТК РФ.

Кроме того, наказание может понести и сам сотрудник. Пленум Верховного Суда РФ разъяснил, что привлечь сотрудника, разгласившего данные другого работника, к ответственности можно, если эта информация стала известна ему в связи с исполнением трудовых обязанностей и он обязался не разглашать такие сведения (п. 43 постановления от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации»). Поэтому оформление обязательства о неразглашении является не просто обязательным, а принципиально важным моментом.

5. Не включена норма о применении взысканий за нарушение правил защиты персданных

Эта ошибка тесно связана с предыдущей. Принимая все риски исключительно на себя, работодатели зачастую не прописывают в ЛНА ответственность своих сотрудников, в частности в Положении о персональных данных. В то же время, если сотрудник по своей вине не выполняет возложенные на него обязанности, к нему могут применять дисциплинарные взыскания. И работника, ответственного за обработку и защиту данных, стоит об этом письменно предупредить, что называется, на берегу. Чтобы он понимал, что работа с персональными данными возлагает на него дополнительные обязанности и влечет сербезную ответственность в случае их невыполнения (ненадлежащего выполнения).

Сноски 3

  1. В соответствии с Федеральным законом от 07.05.2013 № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” и Федерального закона “О персональных данных”». Вернуться назад
  2. Далее – Закон о персданных. Вернуться назад
  3. Федеральным законом от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”», вступившим в силу с 01.03.2021. Вернуться назад
Оценить статью
s
В избранное

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Внимание!
Ловите годовую подписку 2022 в сентябре!
Скидка становится меньше с каждым месяцем.

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Работник не сообщил об изменении персональных данных. Можно ли привлечь его к ответственности?

Можно ли привлечь к дисциплинарной ответственности работника за то, что он не сообщил об изменении своих персональных данных? Если можно, то где и как это прописать (в трудовом договоре, ЛНА)? Или прописывать ничего не нужно, ответственность по умолчанию у работника будет?

Согласие на распространение персональных данных: новые требования

В марте 2021 года вступили в силу изменения, связанные с использованием персональных данных граждан путем их распространения среди неопределенного круга лиц. Нововведения касаются в т.ч. и работодателей, которые так или иначе раскрывают персональные данные работников для неограниченного круга. Например, размещая краткую информацию о своих сотрудниках в интернете на корпоративном сайте или на доске информации в офисе. Новые правила требуют более внимательного и ответственного отношения со стороны компаний, которые в своей деятельности используют персональную информацию, защищаемую законом. Читайте обо всех ключевых изменениях, а также используйте в работе приведенные в статье образцы согласия на обработку персональных данных, разрешенных для распространения, и его отзыва.

Аудит работы с персональными данными

Изменения в законодательстве о персональных данных – повод провести аудит и актуализацию работы с персональными данными в организации. Какие приказы и ЛНА необходимо проверить? Формы каких документов утвердить? Приводим пример из практики работы с личными делами сотрудников с учетом защиты персональных данных. Рассказываем, кого стоит знакомить с личными делами, как это организовать и документировать; как хранить часть документов о работнике вне личного дела (чтобы после увольнения не изымать из него лишнее перед сдачей в архив); сколько и как хранить уведомления и согласия на обработку персданных.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Можно ли обязать держать зарплату в тайне?

Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Согласие на распространение персональных данных: новые требования

В марте 2021 года вступили в силу изменения, связанные с использованием персональных данных граждан путем их распространения среди неопределенного круга лиц. Нововведения касаются в т.ч. и работодателей, которые так или иначе раскрывают персональные данные работников для неограниченного круга. Например, размещая краткую информацию о своих сотрудниках в интернете на корпоративном сайте или на доске информации в офисе. Новые правила требуют более внимательного и ответственного отношения со стороны компаний, которые в своей деятельности используют персональную информацию, защищаемую законом. Читайте обо всех ключевых изменениях, а также используйте в работе приведенные в статье образцы согласия на обработку персональных данных, разрешенных для распространения, и его отзыва.

Аудит работы с персональными данными

Изменения в законодательстве о персональных данных – повод провести аудит и актуализацию работы с персональными данными в организации. Какие приказы и ЛНА необходимо проверить? Формы каких документов утвердить? Приводим пример из практики работы с личными делами сотрудников с учетом защиты персональных данных. Рассказываем, кого стоит знакомить с личными делами, как это организовать и документировать; как хранить часть документов о работнике вне личного дела (чтобы после увольнения не изымать из него лишнее перед сдачей в архив); сколько и как хранить уведомления и согласия на обработку персданных.