Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Кадровая служба
  3. Правовое обеспечение деятельности

ТОП-5 ошибок в сфере работы с персональными данными

0
Журнал «Кадровая служба и управление персоналом предприятия» № 8 / 2021
Елена Кожемякина
управляющий партнер юридической компании BLS
Одна из самых опасных тем для работодателей сегодня – ​персональные данные. Опасной ее делают сразу несколько факторов: это последние изменения в законодательстве, возможный штраф до 6 млн рублей, возобновление проверок Роскомнадзора. А еще – риски жалоб от сотрудников и даже кандидатов. Выделим 5 самых распространенных ошибок работодателей в вопросах защиты персональных данных. И расскажем, что делать, чтобы их избежать. Это как раз те случаи, когда можно учиться на чужих ошибках.

1. Устаревшие понятия

Наша практика показывает, что в Положениях о персональных данных, которые действуют в компаниях, нередко используются устаревшие понятия. Чаще всего указано определение персональных данных, закрепленное в ст. 85 ТК РФ. Но эта статья утратила силу еще с 01.10.20181. Напомним старую формулировку: «персональные данные работника – ​информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника».

Связанный материал
Какие данные являются персональными: позиция суда
№ 05 / 2021

См. статью «Какие данные являются персональными: позиция суда» в № 5’ 2021

Однако лучше использовать определение, которое дает ныне действующий п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»2. Согласно ему персональные данные – ​это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Часто в локальных актах работодателя встречаются и другие, уже устаревшие определения и термины, поэтому стоит регулярно организовывать ревизию ЛНА работодателя, чтобы их выявить и скорректировать тексты.

Связанный материал
Роскомнадзор выпустил рекомендации работодателям по работе с персданными
01 сентября 2023
Связанный материал
Документы по персональным данным, которые проверит Роскомнадзор
№ 04 / 2024

2. Нет указания, что базы данных расположены на территории России

Компании, особенно международные, зачастую не проверяют и не фиксируют, где именно находятся базы данных, в которых хранится и обрабатывается персональная информация. Кроме того, это не всегда указано и во внутренних документах компании. Согласно же ч. 5 ст. 18 Закона о персданных, работодатель при сборе персональных данных граждан РФ обязан обеспечить их запись, систематизацию, накопление, хранение и пр., используя только базы данных на территории нашей страны.

Кстати, если базы не расположены в России, то за это нарушение штрафы, установленные ч. 8 и 9 ст. 13.11 КоАП РФ, просто космические. Так, невыполнение указанной обязанности влечет наложение штрафа:

  • на граждан в размере от 13 000 до 50 000 рублей;
  • должностных лиц – ​от 100 000 до 200 000 рублей;
  • юридических лиц и индивидуальных предпринимателей – ​от 1 000 000 до 6 000 000 рублей.

Повторное нарушение опасно еще большими суммами:

  • для граждан штраф может составить от 50 000 до 100 000 рублей;
  • должностных лиц – ​от 500 000 до 800 000 рублей;
  • юридических лиц и индивидуальных предпринимателей – ​от 6 000 000 до 18 000 000 рублей.

3. Не прописан актуальный порядок распространения персданных

Не все компании успели прописать порядок распространения данных с учетом последних изменений в законе. Напомним, что из Закона о перс­данных3 исключили понятие общедоступных персональных данных. Вместо этого появилась категория персональных данных, разрешенных их субъектом (сотрудником, кандидатом, любым в общем-то гражданином) для распространения (ст. 10.1 Закона о персданных).

Связанный материал
Согласие на распространение персональных данных: новые требования
№ 06 / 2021

Как составить согласие на распространение персональных данных и его отзыв, читайте в статье «Согласие на распространение персональных данных: новые требования» в № 6’ 2021

Если раньше обработка данных допускалась без согласия кандидата или работника, потому что он сделал их общедоступными (например, на сайте поиска работы или в соцсети), то теперь персональные данные прямо должны быть разрешены для распространения самим гражданином.

Здесь тоже не лишним будет напомнить про ответственность за нарушения в области персональных данных по ч. 2 и 2.1 ст. 13.11 КоАП РФ, которая ужесточилась с 27.03.2021. За обработку персданных без согласия в письменной форме штраф составит:

  • для граждан – ​от 6000 до 10 000 рублей;
  • должностных лиц и индивидуальных предпринимателей – ​от 20 000 до 40 000 рублей;
  • юридических лиц – ​от 30 000 до 150 000 рублей.

За повторное нарушение штраф возрастет:

  • для граждан – ​от 10 000 до 20 000 рублей;
  • должностных лиц – ​от 40 000 до 100 000 рублей;
  • индивидуальных предпринимателей – ​от 100 000 до 300 000 рублей;
  • юридических лиц – ​от 300 000 до 500 000 рублей.

Не забудьте прописать это уточнение во внутренних документах и, самое главное, получить от работников необходимые согласия.

4. Не оформлено обязательство о неразглашении

Еще одна распространенная ошибка – ​отсутствуют подписанные обязательства о неразглашении персональных данных работников или не указано в ЛНА, что ответственные лица должны подписать такой документ. Между тем работодатель на основании п. 7 ст. 86 ТК РФ в любом случае обязан защитить персональные данные работников от их неправомерного использования или потери. Поэтому компании принципиально важно обязать работников, которые имеют доступ к персданным, не разглашать эту информацию. Иначе работодателя могут признать виновным и в нарушении Закона о персданных, и в нарушении ТК РФ.

Связанный материал
Организуем работу с персональными данными сотрудников
№ 02 / 2015

Текст обязательства о неразглашении персональных данных и другие образцы документов см. в статье «Организуем работу с персональными данными сотрудников» в № 2’ 2015

Кроме того, наказание может понести и сам сотрудник. Пленум Верховного Суда РФ разъяснил, что привлечь сотрудника, разгласившего данные другого работника, к ответственности можно, если эта информация стала известна ему в связи с исполнением трудовых обязанностей и он обязался не разглашать такие сведения (п. 43 постановления от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации»). Поэтому оформление обязательства о неразглашении является не просто обязательным, а принципиально важным моментом.

Связанный материал
Чем грозит разглашение информации о работнике
№ 12 / 2018

Всех ли сотрудников можно привлечь к ответственности за разглашение персданных коллег и как зафиксировать нарушение, читайте в статье «Чем грозит разглашение информации о работнике» в № 12’ 2018

5. Не включена норма о применении взысканий за нарушение правил защиты персданных

Эта ошибка тесно связана с предыдущей. Принимая все риски исключительно на себя, работодатели зачастую не прописывают в ЛНА ответственность своих сотрудников, в частности в Положении о персональных данных. В то же время, если сотрудник по своей вине не выполняет возложенные на него обязанности, к нему могут применять дисциплинарные взыскания. И работника, ответственного за обработку и защиту данных, стоит об этом письменно предупредить, что называется, на берегу. Чтобы он понимал, что работа с персональными данными возлагает на него дополнительные обязанности и влечет сербезную ответственность в случае их невыполнения (ненадлежащего выполнения).

Связанный материал
Чем грозит разглашение информации о работнике
№ 12 / 2018

К какой ответственности можно привлечь работника, ответственного за обработку персональных данных, читайте в статье «Чем грозит разглашение информации о работнике» в № 12’ 2018

Сноски 3

  1. В соответствии с Федеральным законом от 07.05.2013 № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” и Федерального закона “О персональных данных”». Вернуться назад
  2. Далее – Закон о персданных. Вернуться назад
  3. Федеральным законом от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”», вступившим в силу с 01.03.2021. Вернуться назад
Оценить статью
0 Коментариев
s
В избранное
Версия для печати
Отправить по почте

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Правила уничтожения персональных данных

Кадровая служба
№ 04 / 2024
Практические рекомендации

В каких ситуациях и в какие сроки необходимо уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).

Марина Дячук
частнопрактикующий юрист

Должен ли в компании быть специалист по информационной безопасности?

Кадровая служба
№ 03 / 2024
Правовое обеспечение деятельности

Закон о персональных данных требует от работодателей назначить ответственного за организацию обработки персданных. Это может быть сам генеральный директор, а также HR или другое уполномоченное лицо. Но многие не в курсе, что часто одним ответственным не обойтись. Все дело в постановлении Правительства РФ от 01.11.2012 № 1119, которым утверждены требования к защите персональных данных при их обработке в информационных системах персональных данных. Согласно документу обеспечивать такую защиту в определенных случаях должен либо специально уполномоченный работник, либо отдельное структурное подразделение. Автор объясняет, когда в организации такой ответственный сотрудник может быть один, а в какой ситуации понадобится целый отдел; каким критериям он должен соответствовать; можно ли привлечь специалиста(ов) по аутсорсингу; какая ответственность грозит, если вовсе не назначить ответственное лицо. Приводит наглядную таблицу с описанием условий установления уровней защищенности персональных данных при их обработке в информационной системе, которую удобно использовать на практике, чтобы сориентироваться в своих обязанностях в данной сфере. Дает алгоритмы действий работодателя в зависимости от конкретных ситуаций и образец приказа об утверждении перечня работников, имеющих доступ к персональным данным в информационной системе, а также рекомендации, как обеспечить самый простой на сегодняшний день способ защиты. Это необходимый минимум, который должен быть у всех!

Елена Кожемякина
управляющий партнер юридической компании BLS

Документы по персональным данным, которые проверит Роскомнадзор

Кадровая служба
№ 04 / 2024
Практические рекомендации

Любым организациям и ИП так или иначе приходится обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.

Юлия Жижерина
юрист по трудовому праву
Татьяна Снежкина
юрист по трудовому праву

Полиграф в кадровой работе

Кадровая служба
Технологии эффективности

Из статьи узнаете: что представляет собой исследование на полиграфе; как регламентируется его использование в российском законодательстве; в чем может быть польза от его применения работодателем, какие риски следует принимать во внимание; как сейчас складывается практика использования полиграфа в трудовых и связанных с ними отношениях. В вашем распоряжении – ​образцы формулировок в локальные нормативные акты и трудовые договоры, согласий на прохождение работниками и соискателями психофизиологического исследования с применением полиграфа и на обработку общих и специальных категорий персональных данных.

Сергей Россол
корпоративный консультант МКА «Калинин, Трач и партнеры»

Какие данные являются персональными: позиция суда

Кадровая служба
№ 05 / 2021
Правовое обеспечение деятельности

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Александр Бычков
директор юридического департамента ООО «Пимпэй Касса»

Чем грозит разглашение информации о работнике

Кадровая служба
№ 12 / 2018
Правовое обеспечение деятельности

Каждый работодатель сталкивается с получением, обработкой, хранением, использованием и передачей персональных данных сотрудников. В компаниях разрабатываются локальные акты, с которыми обязательно знакомят всех работников под подпись, назначаются ответственные лица. Но что делать, если произошла утечка информации, содержащейся, например, в заявлении сотрудника? В статье рассмотрим порядок действий организации в случае разглашения каких-либо сведений о работнике, которые были адресованы только руководителю или иному уполномоченному лицу, а не всему коллективу. Ответим на вопрос, является ли информация из объяснительной записки сотрудника его персональными данными.

Лилия Пастушкова
заместитель директора по правовым вопросам ООО «Русский лом»

Можно ли обязать держать зарплату в тайне?

Кадровая служба
№ 08 / 2020
Правовое обеспечение деятельности

Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

Елена Грозовская
адвокат Адвокатской палаты Саратовской области

Правила уничтожения персональных данных

Кадровая служба
№ 04 / 2024
Практические рекомендации

В каких ситуациях и в какие сроки необходимо уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).

Марина Дячук
частнопрактикующий юрист