Мифы о работе с персональными данными, за которые штрафуют. Как действовать правильно
Словосочетание «персональные данные» в статье встречается часто, поэтому для удобства будем использовать сокращение ПД.
В статье разоблачили семь частых мифов о работе с персональными данными и дали рекомендации о том, как избежать миллионных штрафов. Узнаете, в каких случаях Роскомнадзор проверит вашу компанию, несмотря на мораторий, можно ли взять у работника одно согласие на обработку персональных данных на все случаи жизни и как привести сайт компании в соответствие с законом о персональных данных. Главное в статье Скрыть
1. Нужно сначала подать уведомление в Роскомнадзор, а ЛНА о персональных данных подготовить потом
Главное в статье
Скрыть
В чем заблуждение. Часто организации вспоминают о необходимости оформить работу с ПД, когда уже активно их обрабатывают. Например, проводят собеседования, принимают новых сотрудников и заключают договоры с клиентами. Работодатели полагают, что если оперативно направить уведомление в Роскомнадзор, штрафа не последует, а ЛНА по работе с ПД можно подготовить потом. Однако после подачи уведомления они либо забывают о подготовке ЛНА, либо не приводят документы в соответствие с представленными в Роскомнадзор сведениями. В итоге данные о компании в Реестре операторов персональных данных (далее — Реестр), ЛНА и реальные бизнес-процессы не совпадают.
Инспектор выявит нарушение после того, как, например, сравнит содержание Реестра и политику обработки ПД на сайте компании. Представление в Роскомнадзор уведомления с недостоверной, искаженной или неполной информацией грозит предупреждением, а чаще штрафом до 5 тыс. ₽ (ст. 19.7 КоАП), как и неподача или несвоевременная подача уведомления. Если регулятор выявит в Реестре недостоверные сведения, он запросит пояснения или документы, а это может привести к выдаче предписания или внеплановой проверке. Контрольное мероприятие может закончиться штрафом по ст. 13.11 КоАП в сотни тысяч рублей.
Как правильно. Компания обязана уведомить регулятора до начала обработки ПД по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180, то есть еще до того, как оформит первого работника (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ). Перед тем как направлять уведомление, обеспечьте безопасность ПД и подготовьте пакет документов по работе с ними. Только после этих мероприятий вы вправе начать обрабатывать ПД.
Совет. Прежде чем разрабатывать ЛНА о персональных данных, сформируйте внутренний реестр обрабатываемых ПД и карты их потоков. Такой реестр позволит понять, какие документы по ПД нужны вашей компании, и определить цели их обработки. Одновременно работайте с формой уведомления Роскомнадзора. Советуем подавать уведомление в электронном виде через сайт Роскомнадзора. Форма на сайте содержит готовые формулировки целей обработки персональных данных, их категории и другую информацию. Это облегчит вам работу и позволит согласовать данные Реестра и документы компании. По данным Роскомнадзора, в ближайшее время неуведомление об обработке ПД будет считаться отягчающим обстоятельством при привлечении компании к ответственности.
Если вы уже подали в Роскомнадзор уведомление, проверьте, чтобы данные в нем соответствовали требованиям законодательства и фактическому положению дел в компании. При необходимости актуализируйте сведения в Реестре. Это поможет избежать крупного штрафа.
2. У работника достаточно взять одно согласие на обработку персональных данных для разных целей
В чем заблуждение. Чтобы упростить себе работу, работодатели берут с сотрудников одно согласие, где перечислены все цели обработки ПД. Там же закрепляют право обрабатывать данные в любых, в том числе в избыточных целях, передавать и распространять ПД неограниченному кругу лиц. Шаблон согласия часто скачивают из интернета или правовой системы, не адаптируя под реальные нужды и положения ЛНА компании.
Такие ошибки могут повлечь штрафы до 500 тыс. ₽ по ст. 13.11 КоАП. Например, Роскомнадзор оштрафовал одну компанию на 60 тыс. ₽ за обработку ПД, которая была несовместима с целями сбора данных (решение Центрального районного суда г. Хабаровска от 08.06.2022 по делу № 12-1051/2022)
Как правильно. Для каждой цели обработки ПД необходимо брать отдельное согласие, за исключением случаев, когда оператор вправе обрабатывать ПД без согласия физлица ввиду наличия других правовых оснований (ст. 6 Закона № 152-ФЗ). Кроме цели обработки ПД, указывайте в согласии перечень обрабатываемых данных, перечень действий с ПД, используемые способы обработки. Цель должна быть конкретной и однозначной (ст. 9 Закона № 152-ФЗ). Перечень ПД в согласии не должен быть избыточным, но должен содержать все ПД физлица, обрабатываемые компанией.
Чтобы передать данные работника третьим лицам, заручитесь его письменным согласием с указанием конкретного третьего лица, а при распространении ПД — согласием на распространение по требованиям ст. 10.1 Закона № 152-ФЗ. Работодатель вправе сообщать без письменного согласия работника его ПД третьей стороне лишь в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника либо в случаях, прямо установленных федеральными законами (ст. 88 ТК).
Совет. Разработайте шаблоны согласий на обработку, передачу и распространение ПД или внесите изменения в существующие с учетом обязательных реквизитов и условий в соответствии с Законом № 152-ФЗ. Проследите, чтобы согласия оформлялись во взаимосвязи с политикой обработки ПД, другими документами компании по персональным данным и соответствовали сведениям в Реестре.
3. До заключения трудового договора согласие на обработку персональных данных не требуется
В чем заблуждение. Есть мнение, что получать у работника согласие на обработку ПД необходимо после заключения трудового договора. Это мнение ошибочно. Компания начинает обрабатывать ПД соискателя еще до заключения трудового договора: просит заполнить анкету, изучает трудовую книжку, паспорт, характеристику. Это как минимум сбор, а значит, обработка персональных данных (ст. 3 Закона № 152-ФЗ).
Обработка ПД без согласия субъекта грозит компании штрафом до 150 тыс. ₽ по ч. 2 и 2.1 ст. 13.11 КоАП. Штраф за повторное нарушение составит 500 тыс. ₽.
Как правильно. Обработка ПД кандидата и обработка ПД работника преследуют разные цели и включают разный состав обрабатываемых данных. В первом случае получите согласие на обработку, чтобы рассмотреть кандидатуру на имеющуюся вакансию и принять решение о заключении трудового договора, во втором — чтобы заключить и исполнить трудовой договор, вести кадровый и бухгалтерский учет.
Совет. Разработайте шаблон согласия на обработку ПД соискателей, указав цель обработки. Образец скачайте в конце статьи. Просите соискателей подписать такое согласие перед тем, как обрабатывать их ПД.
4. Брать согласие на обработку персональных данных из свидетельства о браке или рождении ребенка не нужно
В чем заблуждение. Работники приносят в отдел кадров свидетельства о браке, расторжении брака и рождении детей, чтобы получить пособия, льготы, отпуск без сохранения зарплаты и пр. Опасное заблуждение думать, что согласие на обработку ПД в таком случае брать не нужно. Еще одна ошибка: взять согласие на обработку ПД супруги или совершеннолетних детей непосредственно у работника. В двух этих случаях компания обрабатывает ПД без согласия субъекта данных (ст. 9 Закона № 152-ФЗ). Ответственность за это аналогична указанной в предыдущем разделе.
Как правильно. Сведения о родственниках работника — это ПД родственников, а не самого работника. Поэтому обрабатывать их можно только с согласия этих лиц. Разработайте шаблон согласия на обработку ПД родственников работника. Образец скачайте в конце статьи. Шаблон выдавайте работникам и просите подписать у родственников.
Совет. Если у работника несовершеннолетний ребенок, согласие запросите у самого работника как у его законного представителя.
5. Собирать персональные данные, используя Google-сервисы, можно без уведомления Роскомнадзора
В чем заблуждение. Компания совершает ошибку, если не проверяет, в какой стране располагается сервер, на котором она хранит и обрабатывает ПД. Например, многие используют в работе иностранные облачные хранилища, операционные системы, программы, формы сбора данных и пр. Это означает, что ПД работников и клиентов хранятся и обрабатываются за пределами России. Тем самым компания нарушает требование о локализации ПД в России и осуществляет их трансграничную передачу без уведомления Роскомнадзора (ст. 12 и ч. 5 ст. 18 Закона № 152-ФЗ).
Такие нарушения — одни из самых распространенных. За несоблюдение обязанности по локализации баз данных в РФ штрафуют на сумму до 6 млн ₽, штраф за повторное нарушение — до 18 млн ₽ (ч. 8 и 9 ст. 13.11 КоАП). Например, одна компания получила штраф в размере 4 млн ₽ за то, что обрабатывала ПД российских граждан с использованием баз данных, которые находились на территории США и ЕС (постановление Второго КСОЮ от 07.07.2020 по делу № 16-3770/2020).
Как правильно. При сборе персональных данных работодатель обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение, извлечение с использованием баз данных, находящихся на территории РФ (ч. 5 ст. 18 Закона № 152-ФЗ). При передаче данных на территорию иностранного государства иностранному юрлицу необходимо соблюсти требования, предусмотренные ст. 12 Закона № 152-ФЗ. ПД граждан сперва локализуйте в России. Потом вы вправе передать их за рубеж с соблюдением требований по трансграничной передаче ПД.
Совет. Минимизируйте использование иностранных хостинг-провайдеров, дата-центров, облачных хранилищ. Проверяйте местонахождение баз данных — эту информацию Роскомнадзор вправе запросить в любой момент, в том числе при проведении профилактического визита.
6. Требования закона о персональных данных на сайт компании не распространяются
В чем заблуждение. На сайтах компании часто размещают информацию о своих работниках. Обычно персональные данные содержатся во вкладках «Руководство» и «Наша команда», где указаны Ф. И. О., должность, образование специалистов. Еще чаще компании собирают на сайтах ПД клиентов, когда предлагают оформить подписку на рассылки, заполнить форму обратной связи или создать личный кабинет. Все это — сбор и обработка персональных данных. Но не все учитывают законодательство о ПД при наполнении сайтов.
Роскомнадзор постоянно мониторит сайты и в любой момент вправе запросить документы, выдать предписание, по факту неисполнения которого провести внеплановую проверку и оштрафовать компанию. Неразмещение на сайте компании политики обработки ПД влечет штраф до 60 тыс. ₽ (ч. 3 ст. 13.11 КоАП). За сбор данных на сайте без согласия субъекта, как мы писали выше, штраф составит до 150 тыс. ₽, при рецидиве — до 500 тыс. ₽ (ч. 2 и 2.1 ст. 13.11 КоАП).
Как правильно. Получайте от пользователей сайта согласие на обработку ПД. Разместите на сайте политику обработки персональных данных. Для каждой цели обработки ПД в этом документе необходимо указать категории, перечни обрабатываемых ПД, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения данных. На сайте также должно быть предупреждение о сборе cookie-файлов, данных об IP-адресе и местоположении пользователя и, если последний не желает, чтобы эти данные обрабатывались, предупреждение о том, что он должен покинуть сайт. Размещайте пустой чек-бокс для проставления пользователем согласия на обработку его ПД. Сделайте «всплывающую» форму — уведомление об обработке метаданных пользователя.
Совет. Политика обработки ПД должна быть доступна на каждой странице сайта , где собираются данные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылку на политику.
7. Пока действует мораторий на проверки, Роскомнадзора можно не бояться
В чем заблуждение. Мораторий на проверки бизнеса продлили до 2030 года (постановление Правительства от 10.03.2023 № 372). Поэтому компании начали более формально подходить к работе с ПД в надежде, что проверки и штрафы все равно не последуют. Приводить в порядок свои документы по ПД многие организации начинают только после запроса Роскомнадзора или жалобы субъекта ПД.
Между тем мораторий на плановые проверки не распространяется на компании с высоким и чрезвычайно высоким риском. Основания для внеплановых проверок хоть и ограничены, но они есть и указаны в постановлении Правительства от 10.03.2022 № 336. Например, Роскомнадзор придет, если за календарный год ведомство выявит десять и более расхождений информации, которую по его запросу предоставила компания, с данными от граждан по поводу обработки их ПД. Фактически это означает, что Роскомнадзор может по согласованию с прокуратурой прийти с проверкой, если в течение года получит десять жалоб на компанию, связанных с незаконным получением ПД, передачей их третьим лицам, распространением без согласия субъекта (приказ Минцифры от 15.11.2021 № 1187). Риск в таком случае — от предупреждения до миллионных штрафов.
Как правильно. Обработка ПД — это постоянный процесс, а значит, и работать с документами и техническими средствами защиты необходимо непрерывно. Не относитесь к работе с ПД формально, несмотря на мораторий. Разработайте пакет документов под реальное содержание и потоки ПД в компании, внедрите техническую защиту, приведите сайт в порядок. Составляйте документы по работе с ПД не для проверок, а чтобы защитить данные работников и клиентов, бизнес-интересы и репутацию компании.
Совет. Инициируйте профилактический визит Роскомнадзора, подав заявление в ведомство. Оно проверит правильность работы с ПД и выдаст рекомендации. Такое мероприятие не проверка, поэтому не бойтесь штрафов, они не последуют.
Комментарий автора
Штрафы за ошибки в работе с персональными данными постоянно повышают