Рассматриваем нарушения при работе с персональными данными (ПД) и размеры штрафов за них по ст. 13.11 КоАП РФ. Говорим о нарушениях, связанных с целями обработки ПД, оформляемыми согласиями, а также обязанностями по публикации Политики обработки ПД, представлению человеку информации, касающейся его ПД, обезличиванию, уточнению или уничтожению ПД, уведомлению Роскомнадзора.
Подсказываем, какие штрафы понесет должностное лицо, а какие работодатель за выявленные проверяющими нарушения, как их избежать. Приводим образцы оформления согласий работника на обработку и распространение ПД.
С начала действия ТК РФ, с 01.02.2002, и до настоящего времени одним из самых сложных вопросов для практиков остается вопрос о применении норм главы 14 ТК РФ «Защита персональных данных работника». В совокупности с нормами специального Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» 1 практики получили сложное правовое регулирование порядка работы с персональными данными 2, начиная с их получения от граждан и заканчивая уничтожением или хранением.
При этом в геометрической прогрессии за последние 9 лет росли размеры штрафов за нарушения в области обработки ПД: от штрафа в 10 000 рублей (самого большого до 01.07.2017) до многомиллионных штрафов с 30.05.2025.
Впечатляет и количество статей Кодекса РФ об административных правонарушениях, в которых предусмотрены штрафы за те или иные неправомерные действия в сфере представления информации, содержащей ПД, или за конкретные нарушения в работе с ней: 5.39, 5.63, 13.11, 13.11.3, 13.12, 13.14, 19.7.
Напомним, что незаконные действия с ПД могут привести и к уголовной ответственности по ст. 137, 140, 155, 173.2, 272, 272.1 Уголовного кодекса РФ, а также к гражданско-правовой ответственности по ст. 15 и 151 Гражданского кодекса РФ, по ст. 24 Закона № 152-ФЗ. Дисциплинарная и материальная ответственность за нарушение норм, регулирующих обработку и защиту ПД работника, предусмотрены в ст. 90, 192 и подп. «в» п. 6 ч. 1 ст. 81 ТК РФ.
Чтобы не получать штрафы, организация не должна допускать нарушений законодательства РФ в области ПД. В этой статье разберем нарушения в документировании работы с ПД, за которые штрафуют по ст. 13.11 КоАП РФ, и подскажем, как их избежать на основе последней актуальной практики работы. В одной из следующих статей разберем штрафы за утечку ПД.
Если проверяющие обнаружат разнотипные ошибки, подпадающие под разные части ст. 13.11 КоАП РФ, то оштрафуют по каждой из них. Глядя на размеры штрафов (см. Таблицы 1–7), возникает еще один важный вопрос: если одно и то же правонарушение совершено несколько раз (например, отсутствует несколько согласий на обработку ПД или организация несколько раз не ответила одному человеку на его запрос о ПД), то умножается ли размер штрафа на количество однотипных нарушений? Теория и практика здесь не всегда совпадают, поэтому простого ответа на данный вопрос не существует: много тонкостей, которые надо учитывать. Следующий интересный вопрос: кого оштрафуют – организацию и/или должностное лицо и кто окажется этим лицом? Разбираться в том, как Роскомнадзор применяет штрафы за ошибки в работе с ПД и как их оспорить, будем в следующих номерах журнала.
Итак, планы у нас грандиозные. Давайте приступим. Для начала определимся с ключевыми терминами.
Фрагмент документа
Статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)...
2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных... действия (операции), совершаемые с персональными данными;
3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1. Проблемы с целями обработки ПД
Первое правонарушение включает 2 ошибки (ч. 1 ст. 13.11 КоАП РФ):
1.а. обработка персональных данных в случаях, не предусмотренных законодательством РФ в области ПД, либо
1.б. обработка ПД, несовместимая с целями сбора ПД (за исключением случаев, предусмотренных ч. 2, 11–18 ст. 13.11 и ст. 17.13 КоАП РФ), если эти действия не содержат уголовно наказуемого деяния.
Размеры штрафов за них для должностных лиц и организаций 3 перечислены в Таблице 1.
Таблица 1. Санкции на должностных лиц и организации по ч. 1 и 1.1 ст. 13.11 КоАП РФ
Состав нарушения
(с указанием номера части статьи) |
Размер штрафа |
для должностных лиц |
для
организаций |
1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо несовместимая с заявленными целями |
от 50 000 до 100 000 рублей |
от 150 000 до 300 000 рублей |
1.1. Повторное нарушение ч. 1 ст. 13.11 |
от 100 000 до 200 000 рублей |
от 300 000 до 500 000 рублей |
Для устранения ошибки 1.а, т.е. для обработки ПД исключительно в случаях, предусмотренных законодательством, необходимо обратиться к ч. 1 ст. 6 Закона № 152-ФЗ. Именно здесь перечислены все законные случаи обработки ПД. Следовательно, недопустимо выходить за эти рамки.
Законным случаем обработки ПД является наличие согласия субъекта ПД на обработку (согласно п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Но обработка ПД является законной даже без оформления согласия, если она необходима для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Получается, что надо четко определиться, когда необходимо получать у человека / работника согласие на обработку его ПД, а когда это согласие не требуется, потому что реализуются цели, предусмотренные соответствующими законами.
Если организация использует ПД своих работников только для самостоятельного ведения предусмотренных законодательством кадрового, налогового и бухгалтерского учета, то брать на это их согласия нет необходимости, хотя на всякий случай это делают.
Если же работодатель передает ПД работников другой организации (например, когда ведение налогового и бухгалтерского учета передается на аутсорсинг или когда оформляется договор медицинского страхования), то на такую передачу ПД письменные согласия у работников брать необходимо (см. Пример 5).
При передаче ПД работника в образовательную организацию, названную в предъявленном им дипломе, с целью проверки подлинности этого документа, согласие требуется, т.к. ПД работника будут передаваться третьей стороне. А согласно п. 3 ч. 1 ст. 86 ТК РФ «если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие».
При передаче ПД работника в налоговую инспекцию, СФР, военкомат, суд, полицию, следственные органы и т.п. согласие работника не требуется, т.к. соответствующими законами и конкретизацией их норм в подзаконных актах предусмотрена обязательная отчетность и передача сведений по запросам в определенные государственные органы (ст. 226, гл. 34 Налогового кодекса РФ; письмо ФНС России от 05.05.2023 № КВ-3-14/6303@; Положение о воинском учете, утв. постановлением Правительства РФ от 27.11.2006 № 719; ст. 17 Федерального закона от 07.02.2011 № 3-ФЗ «О полиции» и др.).
Следует обратить внимание на то, что ненужные, лишние согласия работника на обработку его ПД – не мелочь, на которую Роскомнадзор не обратит внимания. Наоборот, обработка ПД на основании согласия субъекта в случаях, когда федеральным законом не предусмотрена обязанность получения такого согласия, является одним из критериев отнесения объектов контроля к определенной категории риска.
Таким образом, наличие лишних согласий с 05.09.2025 приводит к повышению категории риска и более частым проверкам 4. В связи с этим рекомендуем выявить эти лишние согласия и избавиться от них. Они могут быть отозваны работниками и им возвращены. Полагаем, что если работникам все это правильно объяснить и показать, что поменялись определенные нормы, содержащиеся в постановлении Правительства РФ, то работники не будут возражать и напишут заявления об отзыве лишних согласий.
Для исключения ошибки 1.б, т.е. для достижения полной совместимости обработки ПД с целями сбора ПД, необходимо...
