Одна из самых опасных тем для работодателей сегодня – персональные данные. Опасной ее делают сразу несколько факторов: это последние изменения в законодательстве, возможный штраф до 6 млн рублей, возобновление проверок Роскомнадзора. А еще – риски жалоб от сотрудников и даже кандидатов. Выделим 5 самых распространенных ошибок работодателей в вопросах защиты персональных данных. И расскажем, что делать, чтобы их избежать. Это как раз те случаи, когда можно учиться на чужих ошибках.
1. Устаревшие понятия
Наша практика показывает, что в Положениях о персональных данных, которые действуют в компаниях, нередко используются устаревшие понятия. Чаще всего указано определение персональных данных, закрепленное в ст. 85 ТК РФ. Но эта статья утратила силу еще с 01.10.2018. Напомним старую формулировку: «персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника».
Однако лучше использовать определение, которое дает ныне действующий п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных». Согласно ему персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Часто в локальных актах работодателя встречаются и другие, уже устаревшие определения и термины, поэтому стоит регулярно организовывать ревизию ЛНА работодателя, чтобы их выявить и скорректировать тексты.
2. Нет указания, что базы данных расположены на территории России
Компании, особенно международные, зачастую не проверяют и не фиксируют, где именно находятся базы данных, в которых хранится и обрабатывается персональная информация. Кроме того, это не всегда указано и во внутренних документах компании. Согласно же ч. 5 ст. 18 Закона о персданных, работодатель при сборе персональных данных граждан РФ обязан обеспечить их запись, систематизацию, накопление, хранение и пр., используя только базы данных на территории нашей страны.
Кстати, если базы не расположены в России, то за это нарушение штрафы, установленные ч. 8 и 9 ст. 13.11 КоАП РФ, просто космические. Так, невыполнение указанной обязанности влечет наложение штрафа:
- на граждан в размере от 13 000 до 50 000 рублей;
- должностных лиц – от 100 000 до 200 000 рублей;
- юридических лиц и индивидуальных предпринимателей – от 1 000 000 до 6 000 000 рублей.
Повторное нарушение опасно еще большими суммами:
- для граждан штраф может составить от 50 000 до 100 000 рублей;
- должностных лиц – от 500 000 до 800 000 рублей;
- юридических лиц и индивидуальных предпринимателей – от 6 000 000 до 18 000 000 рублей.
3. Не прописан актуальный порядок распространения персданных
Не все компании успели прописать порядок распространения данных с учетом последних изменений в законе. Напомним, что из Закона о персданных исключили понятие общедоступных персональных данных. Вместо этого появилась категория персональных данных, разрешенных их субъектом (сотрудником, кандидатом, любым в общем-то гражданином) для распространения (ст. 10.1 Закона о персданных).
Если раньше обработка данных допускалась без согласия кандидата или работника, потому что он сделал их общедоступными (например, на сайте поиска работы или в соцсети), то теперь персональные данные прямо должны быть разрешены для распространения самим гражданином.
Здесь тоже не лишним будет напомнить про ответственность за нарушения в области персональных данных по ч. 2 и 2.1 ст. 13.11 КоАП РФ, которая ужесточилась с 27.03.2021. За обработку персданных без согласия в письменной форме штраф составит:
- для граждан – от 6000 до 10 000 рублей;
- должностных лиц и индивидуальных предпринимателей – от 20 000 до 40 000 рублей;
- юридических лиц – от 30 000 до 150 000 рублей.
За повторное нарушение штраф возрастет:
- для граждан – от 10 000 до 20 000 рублей;
- должностных лиц – от 40 000 до 100 000 рублей;
- индивидуальных предпринимателей – от 100 000 до 300 000 рублей;
- юридических лиц – от 300 000 до 500 000 рублей.
Не забудьте прописать это уточнение во внутренних документах и, самое главное, получить от работников необходимые согласия.
4. Не оформлено обязательство о неразглашении
Еще одна распространенная ошибка – отсутствуют подписанные обязательства о неразглашении персональных данных работников или не указано в ЛНА, что ответственные лица должны подписать такой документ. Между тем работодатель на основании п. 7 ст. 86 ТК РФ в любом случае обязан защитить персональные данные работников от их неправомерного использования или потери. Поэтому компании принципиально важно обязать работников, которые имеют доступ к персданным, не разглашать эту информацию. Иначе работодателя могут признать виновным и в нарушении Закона о персданных, и в нарушении ТК РФ.
Кроме того, наказание может понести и сам сотрудник. Пленум Верховного Суда РФ разъяснил, что привлечь сотрудника, разгласившего данные другого работника, к ответственности можно, если эта информация стала известна ему в связи с исполнением трудовых обязанностей и он обязался не разглашать такие сведения (п. 43 постановления от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации»). Поэтому оформление обязательства о неразглашении является не просто обязательным, а принципиально важным моментом.
5. Не включена норма о применении взысканий за нарушение правил защиты персданных
Эта ошибка тесно связана с предыдущей. Принимая все риски исключительно на себя, работодатели зачастую не прописывают в ЛНА ответственность своих сотрудников, в частности в Положении о персональных данных. В то же время, если сотрудник по своей вине не выполняет возложенные на него обязанности, к нему могут применять дисциплинарные взыскания. И работника, ответственного за обработку и защиту данных, стоит об этом письменно предупредить, что называется, на берегу. Чтобы он понимал, что работа с персональными данными возлагает на него дополнительные обязанности и влечет сербезную ответственность в случае их невыполнения (ненадлежащего выполнения).