Электронный журнал «Трудовые споры»
Новости
ещё
свернуть
Все статьи номера Микрообучение
6
Июнь 2023года
Специфика
Главная тема

Мифы о работе с персональными данными, за которые штрафуют. Как действовать правильно

Наталья Цуркан, основатель и спикер Центра бизнес-образования и консалтинга «ТРУДСИТИ®», к. ю. н., юрист по трудовому праву, специалист по работе с персональными данными, кадровый аудитор, преподаватель

Словосочетание «персональные данные» в статье встречается часто, поэтому для удобства будем использовать сокращение ПД.

В статье разоблачили семь частых мифов о работе с персональными данными и дали рекомендации о том, как избежать миллионных штрафов. Узнаете, в каких случаях Роскомнадзор проверит вашу компанию, несмотря на мораторий, можно ли взять у работника одно согласие на обработку персональных данных на все случаи жизни и как привести сайт компании в соответствие с законом о персональных данных. Главное в статье Скрыть 

1. Нужно сначала подать уведомление в Роскомнадзор, а ЛНА о персональных данных подготовить потом

Главное в статье Скрыть
В чем заблуждение. Часто организации вспоминают о необходимости оформить работу с ПД, когда уже активно их обрабатывают. Например, проводят собеседования, принимают новых сотрудников и заключают договоры с клиентами. Работодатели полагают, что если оперативно направить уведомление в Роскомнадзор, штрафа не последует, а ЛНА по работе с ПД можно подготовить потом. Однако после подачи уведомления они либо забывают о подготовке ЛНА, либо не приводят документы в соответствие с представленными в Роскомнадзор сведениями. В итоге данные о компании в Реестре операторов персональных данных (далее — Реестр), ЛНА и реальные бизнес-процессы не совпадают.

Инспектор выявит нарушение после того, как, например, сравнит содержание Реестра и политику обработки ПД на сайте компании. Представление в Роскомнадзор уведомления с недостоверной, искаженной или неполной информацией грозит предупреждением, а чаще штрафом до 5 тыс. ₽ (ст. 19.7 КоАП), как и неподача или несвоевременная подача уведомления. Если регулятор выявит в Реестре недостоверные сведения, он запросит пояснения или документы, а это может привести к выдаче предписания или внеплановой проверке. Контрольное мероприятие может закончиться штрафом по ст. 13.11 КоАП в сотни тысяч рублей.

Как правильно. Компания обязана уведомить регулятора до начала обработки ПД по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180, то есть еще до того, как оформит первого работника (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ). Перед тем как направлять уведомление, обеспечьте безопасность ПД и подготовьте пакет документов по работе с ними. Только после этих мероприятий вы вправе начать обрабатывать ПД.

Совет. Прежде чем разрабатывать ЛНА о персональных данных, сформируйте внутренний реестр обрабатываемых ПД и карты их потоков. Такой реестр позволит понять, какие документы по ПД нужны вашей компании, и определить цели их обработки. Одновременно работайте с формой уведомления Роскомнадзора. Советуем подавать уведомление в электронном виде через сайт Роскомнадзора. Форма на сайте содержит готовые формулировки целей обработки персональных данных, их категории и другую информацию. Это облегчит вам работу и позволит согласовать данные Реестра и документы компании. По данным Роскомнадзора, в ближайшее время неуведомление об обработке ПД будет считаться отягчающим обстоятельством при привлечении компании к ответственности.

Если вы уже подали в Роскомнадзор уведомление, проверьте, чтобы данные в нем соответствовали требованиям законодательства и фактическому положению дел в компании. При необходимости актуализируйте сведения в Реестре. Это поможет избежать крупного штрафа. 

На заметку: вы вправе не уведомлять Роскомнадзор об обработке ПД, если обрабатываете их исключительно без использования средств автоматизации (ст. 22 Закона № 152‑ФЗ).

2. У работника достаточно взять одно согласие на обработку персональных данных для разных целей


В чем заблуждение. Чтобы упростить себе работу, работодатели берут с сотрудников одно согласие, где перечислены все цели обработки ПД. Там же закрепляют право обрабатывать данные в любых, в том числе в избыточных целях, передавать и распространять ПД неограниченному кругу лиц. Шаблон согласия часто скачивают из интернета или правовой системы, не адаптируя под реальные нужды и положения ЛНА компании.

Такие ошибки могут повлечь штрафы до 500 тыс. ₽ по ст. 13.11 КоАП. Например, Роскомнадзор оштрафовал одну компанию на 60 тыс. ₽ за обработку ПД, которая была несовместима с целями сбора данных (решение Центрального районного суда г. Хабаровска от 08.06.2022 по делу № 12-1051/2022)

Как правильно. Для каждой цели обработки ПД необходимо брать отдельное согласие, за исключением случаев, когда оператор вправе обрабатывать ПД без согласия физлица ввиду наличия других правовых оснований (ст. 6 Закона № 152-ФЗ). Кроме цели обработки ПД, указывайте в согласии перечень обрабатываемых данных, перечень действий с ПД, используемые способы обработки. Цель должна быть конкретной и однозначной (ст. 9 Закона № 152-ФЗ). Перечень ПД в согласии не должен быть избыточным, но должен содержать все ПД физлица, обрабатываемые компанией.

Чтобы передать данные работника третьим лицам, заручитесь его письменным согласием с указанием конкретного третьего лица, а при распространении ПД — согласием на распространение по требованиям ст. 10.1 Закона № 152-ФЗ. Работодатель вправе сообщать без письменного согласия работника его ПД третьей стороне лишь в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника либо в случаях, прямо установленных федеральными законами (ст. 88 ТК).

Совет. Разработайте шаблоны согласий на обработку, передачу и распространение ПД или внесите изменения в существующие с учетом обязательных реквизитов и условий в соответствии с Законом № 152-ФЗ. Проследите, чтобы согласия оформлялись во взаимосвязи с политикой обработки ПД, другими документами компании по персональным данным и соответствовали сведениям в Реестре.

3. До заключения трудового договора согласие на обработку персональных данных не требуется


В чем заблуждение. Есть мнение, что получать у работника согласие на обработку ПД необходимо после заключения трудового договора. Это мнение ошибочно. Компания начинает обрабатывать ПД соискателя еще до заключения трудового договора: просит заполнить анкету, изучает трудовую книжку, паспорт, характеристику. Это как минимум сбор, а значит, обработка персональных данных (ст. 3 Закона № 152-ФЗ).

Обработка ПД без согласия субъекта грозит компании штрафом до 150 тыс. ₽ по ч. 2 и 2.1 ст. 13.11 КоАП. Штраф за повторное нарушение составит 500 тыс. ₽.

Как правильно. Обработка ПД кандидата и обработка ПД работника преследуют разные цели и включают разный состав обрабатываемых данных. В первом случае получите согласие на обработку, чтобы рассмотреть кандидатуру на имеющуюся вакансию и принять решение о заключении трудового договора, во втором — чтобы заключить и исполнить трудовой договор, вести кадровый и бухгалтерский учет.

Совет. Разработайте шаблон согласия на обработку ПД соискателей, указав цель обработки. Образец скачайте в конце статьи. Просите соискателей подписать такое согласие перед тем, как обрабатывать их ПД.

К слову сказать: компаниям затруднительно выполнить требование о подаче уведомления в Роскомнадзор до начала обработки ПД. При подготовке уведомления компания уже обрабатывает персональные данные, прежде всего руководителя. Также форма предусматривает указание сведений о лицах, ответственных за организацию обработки ПД, если это не директор. Значит, компания уже приняла на работу минимум одного сотрудника и обработала его ПД. К счастью, за такие формальные нарушения Роскомнадзор не штрафует.

4. Брать согласие на обработку персональных данных из свидетельства о браке или рождении ребенка не нужно


В чем заблуждение. Работники приносят в отдел кадров свидетельства о браке, расторжении брака и рождении детей, чтобы получить пособия, льготы, отпуск без сохранения зарплаты и пр. Опасное заблуждение думать, что согласие на обработку ПД в таком случае брать не нужно. Еще одна ошибка: взять согласие на обработку ПД супруги или совершеннолетних детей непосредственно у работника. В двух этих случаях компания обрабатывает ПД без согласия субъекта данных (ст. 9 Закона № 152-ФЗ). Ответственность за это аналогична указанной в предыдущем разделе.

Как правильно. Сведения о родственниках работника — это ПД родственников, а не самого работника. Поэтому обрабатывать их можно только с согласия этих лиц. Разработайте шаблон согласия на обработку ПД родственников работника. Образец скачайте в конце статьи. Шаблон выдавайте работникам и просите подписать у родственников.

Совет. Если у работника несовершеннолетний ребенок, согласие запросите у самого работника как у его законного представителя.

От редакции: как защитить компанию и подготовиться к суду с работником в случае утечки информации — узнаете в статье «Кибербезопасность и утечка информации. Как защитить компанию и подготовиться к суду с работником».

5. Собирать персональные данные, используя Google-сервисы, можно без уведомления Роскомнадзора


В чем заблуждение. Компания совершает ошибку, если не проверяет, в какой стране располагается сервер, на котором она хранит и обрабатывает ПД. Например, многие используют в работе иностранные облачные хранилища, операционные системы, программы, формы сбора данных и пр. Это означает, что ПД работников и клиентов хранятся и обрабатываются за пределами России. Тем самым компания нарушает требование о локализации ПД в России и осуществляет их трансграничную передачу без уведомления Роскомнадзора (ст. 12 и ч. 5 ст. 18 Закона № 152-ФЗ).

Такие нарушения — одни из самых распространенных. За несоблюдение обязанности по локализации баз данных в РФ штрафуют на сумму до 6 млн ₽, штраф за повторное нарушение — до 18 млн ₽ (ч. 8 и 9 ст. 13.11 КоАП). Например, одна компания получила штраф в размере 4 млн ₽ за то, что обрабатывала ПД российских граждан с использованием баз данных, которые находились на территории США и ЕС (постановление Второго КСОЮ от 07.07.2020 по делу № 16-3770/2020).

Как правильно. При сборе персональных данных работодатель обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение, извлечение с использованием баз данных, находящихся на территории РФ (ч. 5 ст. 18 Закона № 152-ФЗ). При передаче данных на территорию иностранного государства иностранному юрлицу необходимо соблюсти требования, предусмотренные ст. 12 Закона № 152-ФЗ. ПД граждан сперва локализуйте в России. Потом вы вправе передать их за рубеж с соблюдением требований по трансграничной передаче ПД.

Совет. Минимизируйте использование иностранных хостинг-провайдеров, дата-центров, облачных хранилищ. Проверяйте местонахождение баз данных — эту информацию Роскомнадзор вправе запросить в любой момент, в том числе при проведении профилактического визита.

6. Требования закона о персональных данных на сайт компании не распространяются


В чем заблуждение. На сайтах компании часто размещают информацию о своих работниках. Обычно персональные данные содержатся во вкладках «Руководство» и «Наша команда», где указаны Ф. И. О., должность, образование специалистов. Еще чаще компании собирают на сайтах ПД клиентов, когда предлагают оформить подписку на рассылки, заполнить форму обратной связи или создать личный кабинет. Все это — сбор и обработка персональных данных. Но не все учитывают законодательство о ПД при наполнении сайтов.

Роскомнадзор постоянно мониторит сайты и в любой момент вправе запросить документы, выдать предписание, по факту неисполнения которого провести внеплановую проверку и оштрафовать компанию. Неразмещение на сайте компании политики обработки ПД влечет штраф до 60 тыс. ₽ (ч. 3 ст. 13.11 КоАП). За сбор данных на сайте без согласия субъекта, как мы писали выше, штраф составит до 150 тыс. ₽, при рецидиве — до 500 тыс. ₽ (ч. 2 и 2.1 ст. 13.11 КоАП).

Как правильно. Получайте от пользователей сайта согласие на обработку ПД. Разместите на сайте политику обработки персональных данных. Для каждой цели обработки ПД в этом документе необходимо указать категории, перечни обрабатываемых ПД, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения данных. На сайте также должно быть предупреждение о сборе cookie-файлов, данных об IP-адресе и местоположении пользователя и, если последний не желает, чтобы эти данные обрабатывались, предупреждение о том, что он должен покинуть сайт. Размещайте пустой чек-бокс для проставления пользователем согласия на обработку его ПД. Сделайте «всплывающую» форму — уведомление об обработке метаданных пользователя.

Совет. Политика обработки ПД должна быть доступна на каждой странице сайта , где собираются данные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылку на политику.

7. Пока действует мораторий на проверки, Роскомнадзора можно не бояться


В чем заблуждение. Мораторий на проверки бизнеса продлили до 2030 года (постановление Правительства от 10.03.2023 № 372). Поэтому компании начали более формально подходить к работе с ПД в надежде, что проверки и штрафы все равно не последуют. Приводить в порядок свои документы по ПД многие организации начинают только после запроса Роскомнадзора или жалобы субъекта ПД.

Между тем мораторий на плановые проверки не распространяется на компании с высоким и чрезвычайно высоким риском. Основания для внеплановых проверок хоть и ограничены, но они есть и указаны в постановлении Правительства от 10.03.2022 № 336. Например, Роскомнадзор придет, если за календарный год ведомство выявит десять и более расхождений информации, которую по его запросу предоставила компания, с данными от граждан по поводу обработки их ПД. Фактически это означает, что Роскомнадзор может по согласованию с прокуратурой прийти с проверкой, если в течение года получит десять жалоб на компанию, связанных с незаконным получением ПД, передачей их третьим лицам, распространением без согласия субъекта (приказ Минцифры от 15.11.2021 № 1187). Риск в таком случае — от предупреждения до миллионных штрафов.

Как правильно. Обработка ПД — это постоянный процесс, а значит, и работать с документами и техническими средствами защиты необходимо непрерывно. Не относитесь к работе с ПД формально, несмотря на мораторий. Разработайте пакет документов под реальное содержание и потоки ПД в компании, внедрите техническую защиту, приведите сайт в порядок. Составляйте документы по работе с ПД не для проверок, а чтобы защитить данные работников и клиентов, бизнес-интересы и репутацию компании.

Совет. Инициируйте профилактический визит Роскомнадзора, подав заявление в ведомство. Оно проверит правильность работы с ПД и выдаст рекомендации. Такое мероприятие не проверка, поэтому не бойтесь штрафов, они не последуют.

На заметку: несмотря на мораторий, в 2022 году Роскомнадзор провел 200 проверок, 3200 мероприятий без взаимодействия с компаниями, выдал 186 предписаний об устранении нарушений и взыскал штрафы на 50 млн ₽ (вебинар Роскомнадзора по теме «Защита персональных данных», который прошел 01.03.2023).
  1. Нужно сначала подать уведомление в Роскомнадзор, а ЛНА о персональных данных подготовить потом
  2. У работника достаточно взять одно согласие на обработку персональных данных для разных целей
  3. До заключения трудового договора согласие на обработку персональных данных не требуется
  4. Брать согласие на обработку персональных данных из свидетельства о браке или рождении ребенка не нужно
  5. Собирать персональные данные, используя Google-сервисы, можно без уведомления Роскомнадзора
  6. Требования закона о персональных данных на сайт компании не распространяются
  7. Пока действует мораторий на проверки, Роскомнадзора можно не бояться

Комментарий автора
Штрафы за ошибки в работе с персональными данными постоянно повышают

Большинство компаний работу с персональными данными ведут по остаточному принципу. Чаще всего эта работа подразумевает минимальный набор документов и формальное внесение данных в Реестр. Между тем государство постоянно усиливает мониторинг и увеличивает размеры штрафов за работу с ПД. Внесенные только за последние полгода изменения в Закон № 152-ФЗ коснулись практически каждой статьи. Планируется ввести оборотные штрафы за нарушения законодательства в области персональных данных в размере 1% от годовой выручки организации. Это в миллионы раз выше, чем штрафы, которые компании платят сейчас. Кроме того, 4 мая в Госдуму внесли законопроект № 353266-8, который предусматривает значительное повышение штрафов за ошибки в обработке ПД. За несоблюдение требований к составу персональных данных, внесенных в согласие об обработке, равно как и за отсутствие самого согласия, когда оно необходимо, штраф для компаний составит до 700 тыс. ₽, при рецидиве — до 1,5 млн ₽.

Причина изменений — развитие информационных технологий, возросшее количество кибератак и утечек персональных данных, а также массовые нарушения прав граждан. Нарушение Закона № 152-ФЗ зачастую происходит неосознанно ввиду устоявшихся за годы заблуждений на фоне постоянно растущего потока информации, неверного толкования закона или действий, выполняемых уже на автомате. И только при проверке или судебном разбирательстве становится понятно, что применяемая так долго практика — это ошибка, штраф за которую был лишь делом времени.

Алгоритмы действий на разные случаи:
→ Как отказать в приеме на работу и отбить претензии соискателя в суде
→ Как привлечь льготников к работе сверхурочно, в праздники и выходные, чтобы не нарушить закон
→ Как привлечь работника к дисциплинарной ответственности
→ Как защитить компанию от утечки информации и подготовиться к суду с работником
→ Как отстранить от работы пьяного водителя

Главное в статье Скрыть

Микрообучение
Тест  0  / 0
Практика разрешения трудовых конфликтов
О журнале
Архив номеров с 2008 года, встроенная правовая база, книги и удобные электронные сервисы для специалистов по трудовым спорам
Способы подписки
Позвоните по номеру 8 (800) 511-20-91
или подпишитесь в интернет-магазине
Подписаться
Ознакомительный номер
Все материалы номера открыты
для просмотра без регистрации
Читать