Безусловным трендом последних лет является ужесточение ответственности за нарушение законодательства в области персональных данных (далее – ПДн). Об этом свидетельствуют принятые законы и обсуждаемые законопроекты, например, введение оборотных штрафов за утечки ПДн, возможность внеплановых проверок регулятора и т.д. Учитывая это, компаниям необходимо организовать систему обработки ПДн работников компании не с формальной точки зрения, а с целью реальной защиты данных. О том, как это сделать, расскажет в данной статье Карине Маргарян, юрисконсульт по информационной безопасности RTM Group.
Согласно статистике Роскомнадзора, количество нарушений в области ПДн в 2022 г. выросло более чем в 3 раза.
В течение 2022 г. РКН выполнил 113 плановых и 91 внеплановую поверку. Было проведено 2367 профилактических визитов и 3228 мероприятий без взаимодействия с контролируемыми лицами. Сумма штрафов составила 50,2 млн рублей.
Сбор и обработка персональных данных работников Какие персональные данные собирают работодатели?
К ПДн работника относятся как общая информация о нём (фамилия, имя, отчество; дата рождения; адрес; образование и т.д.), так и иные категории ПДн, включая специальные (расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья и т.д.) и биометрические (фото и видео с сотрудником, голос сотрудника, дактилоскопические данные, радужная оболочка глаз и т. д.).
Статья 65 Трудового кодекса РФ предусматривает, что при приёме на работу работодатель должен запросить у работника определенные документы: паспорт, трудовую книжку, диплом и др.).
К иным документам, которые содержат ПДн работника, относятся: анкета соискателя, СНИЛС, свидетельства о заключении и расторжении брака, рождении детей и т. д.
Для чего работодатели собирают эти персональные данные?
Компания вправе затребовать ПДн только с определенными целями (ч. 2 ст. 5 закона № 152). Например, ПДн необходимы работодателю для рассмотрения резюме соискателей, заключения трудовых договоров, выполнения требований закона об отчислении налогов в бюджет, страховых взносов и т. д.
Нельзя запрашивать сведения, которые компании не понадобятся (ч. 4 и 5 ст. 5 закона № 152).
Компания обязана уведомить работника о том, с какой целью запрашивает его ПДн (п. 4 ч. 4 ст. 9 закона № 152). Цели указываются в согласии работника на обработку ПДн, а также закрепляются в локальных актах организации.
Работодатель не имеет право запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Как организовать обработку персональных данных работников?
Под обработкой понимают любое действие с ПДн. Например, сбор, хранение, уточнение, использование ПДн работника (п. 3 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
Вот краткий алгоритм действий для организации обработки персональных данных сотрудников:
- Разработать и утвердить Положение о ПДн и отразить в нем правила обработки и хранения ПДн. Ознакомить с Положением работников под подпись;
- Назначить ответственного за работу с ПДн;
- Получить у работников согласие на обработку ПДн;
За исключением случаев, указанных в законе, работодатель может обрабатывать ПДн только с согласия сотрудника.
Оно не требуется, если в организации действует пропускной режим, или информацию о работнике необходимо передать в Фонд социального страхования и в Пенсионный фонд, сообщить третьим лицам в целях предотвращения угрозы его жизни и здоровью, а также в иных случаях, предусмотренных законодательством (ст. 88 ТК РФ; п. 4, п.5 Разъяснений Роскомнадзора от 04.12.2012 г.).
Работнику также необходимо перечислить ПДн, которые вы получили от третьих лиц, до начала их обработки (подп. 2.1 п. 3 ст. 18 ФЗ-152).Согласие на распространение ПДн работника нужно оформлять отдельно.
- Хранить ПДн необходимо так, чтобы к ним имели доступ только уполномоченные сотрудники. Если ПДн на бумаге, то стоит положить документы в сейф, несгораемый шкаф или в специальное помещение. Также необходимо ввести распределение ролей при предоставлении доступа в информационные системы ПДн (п. 8.2 Приказа ФСТЭК России от 18.02.2013 № 21) Хранить информацию в электронном виде разрешено только на сервере в России (ст. 18 ФЗ-152);
- Уничтожать ПДн: по достижении целей обработки; по окончании срока хранения; при наступлении иных законных оснований. С 1 марта 2023 года факт уничтожения ПДн нужно подтвердить документами, предусмотренными приказом Роскомнадзора от 28.10.2022 № 179. По новым правилам, если обработка ПДн осуществляется без использования средств автоматизации, то документом, подтверждающим уничтожение ПДн, является акт об уничтожении ПДн. Если обработка ПДн осуществляется с использованием средств автоматизации, то документами, подтверждающими уничтожение ПДн, являются акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе ПДн.
- Подать уведомление в Роскомнадзор; С 1 сентября 2022 г. НЕ нужно уведомлять регулятора о начале обработки ПДн: Если ПДн обрабатываются исключительно без средств автоматизации; Если обработка данных осуществляется в целях защиты государственной безопасности, транспортной безопасности, общественного порядка.
До сентября 2022 года работодатели подпадали под исключение, то есть могли собирать, хранить и обрабатывать ПДн своих работников без подачи такого уведомления. Но сейчас это исключение не действует – п. 1 ч. 2 ст. 22 ФЗ-152 утратил силу.
Что грозит работодателям в случае нарушения правил обработки персональных данных работников?
Лица, виновные в нарушении положений законодательства РФ в области ПДн при обработке ПДн работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном законодательством, а также привлекаются к гражданско-правовой, административной (ст. 5.39, 13.11, 13.14 КоАП РФ) и уголовной ответственности (ст. 137, 140, 272 УК РФ).
Административная ответственность
Работодателя могут оштрафовать за избыточный сбор данных, отсутствие согласия работника и т.д.
Бывшая работница компании обратилась в Роскомнадзор и указала, что сотрудница компании сделала копии всех страниц трудовой книжки, хотя необходимость имелась лишь в изготовлении копии последней страницы для подтверждения факта трудоустройства. Заявитель полагала, что в отношении нее был осуществлен сбор информации, не соответствующей целям ее использования.
Роскомнадзор отказал в возбуждении дела, а суд отказал бывшей работнице в удовлетворении требований, так как она предоставляла бывшему работодателю согласие на обработку ПДн (решение Московского р/с г. Санкт-Петербург по делу № 12-790/2023).
Гражданско-правовая ответственность: моральный вред работнику
Дела о моральном вреде рассматривает суд по иску работника.
Работница во время работы в компании дала согласие на обработку ПДн, в т.ч. изображения лица. Работодатель разместил на сайте компании текст и фотографию работницы. После увольнения работница отозвала согласие на обработку ПДн. Однако изображение с сайта не было удалено, а кроме этого, работодатель вносил в трудовую книжку записи, противоречащие законодательству, распространял о ней информацию, не соответствующую действительности и т.д.
Регулятор возбудил дело об административном нарушении по ч.1 ст.13.11 КоАП. Суд удовлетворил требования бывшей работницы о выплате компенсации морального вреда (Решение Тобольского городского суда Тюменской области по делу № 2-188/2023).
Уголовная ответственность
Статья 137 УК РФ охраняет от посягательств не всю частную жизнь человека, а только лишь ту ее сторону, которая составляет личную или семейную тайну.
К уголовной ответственности по ч. 1 ст. 137 УК РФ был привлечен установщик навигационного оборудования за незаконное собирание сведений о частной жизни (своей знакомой), составляющих личную тайну, включающих сведения о маршруте передвижения на автомобиле, о местах посещений, визитах и личных встречах. Суд признал его виновным и назначил наказание в виде штрафа (Приговор по делу № 01-0004/372/2023 с/у № 372 Таганского судебного района г. Москвы).
Как работодателю пройти проверку Роскомнадзора?
До 2030 года действует мораторий на плановые надзорные мероприятия, однако Постановление Правительства РФ № 161 от 04.02.2023 г. предоставило Роскомнадзору возможность осуществлять внеплановые проверки по фактам утечки ПДн. Такие же проверки могут проводиться в отношении аккредитованных IT-компаний.
Остались также профилактические визиты. От проведения такого визита можно отказаться. Во время визита сотрудники Роскомнадзора дают операторам разъяснения и рекомендации по организации обработки ПДн.
Постановление Правительства РФ от 10.03.2022 г. № 336 было дополнено новым положением: организации не вправе отказаться от профилактических визитов, которые проводятся по поручению президента или правительства (подп. «ж» п. 6 Постановления Правительства РФ от 10 марта 2023 г. № 372, п. 11(5)и 11(6)Постановления Правительства РФ от 10 марта 2022 г. № 336).
Что проверяют?
- Факт направления уведомления в Роскомнадзор;
- Наличие необходимых локальных нормативных актов;
- Назначение ответственного за организацию работы с персональными данными;
- Порядок хранения и уничтожения персональных данных;
- Информационные системы;
- Наличие жалоб о нарушении прав субъектов персональных данных;
- Выполнение иных требований, установленных ФЗ-152.
Как в 2023 г. подготовиться к проверке Роскомнадзора:
- Проверить наличие всех документов по ПДн и убедиться, что они соответствуют требованиям законодательства. При необходимости внести коррективы и переподписать документы с работниками.
- Проверить условия хранения электронных и бумажных носителей, содержащих ПДн.
- Ознакомить персонал под подпись с положением о защите ПДн и другими локальными нормативными актами, регулирующими данную сферу.
Что можно рекомендовать работодателям?
Общие рекомендации операторам ПДн были даны Роскомнадзором 8 августа 2023 на своем официальном сайте.
- Минимизировать перечень собираемых и обрабатываемых ПДн. Проведите анализ форм сбора данных соискателей; перечня документов, которые вы запрашиваете у работников, чтобы исключить избыточный сбор ПДн.
- Обеспечить раздельное хранение различных категорий ПДн (клиентов, работников, соискателей и т. д.), включая несовместимые между собой по целям обработки. Более подробно об этом указано выше в статье.
- Хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (переписка, договоры и т. д.) в разных базах данных.
- Отказаться от практики накопления персональных данных «на всякий случай», своевременно уничтожать ПДн персональные данные при достижении цели их обработки или иных установленных случаях.
- Использовать технические и программные средства для обеспечения необходимого уровня безопасности данных.
- Необходимо также разработать локальные нормативные акты по защите ПДн при их обработке.
- Информировать Роскомнадзор в сроки, установленные ст. 21 ФЗ-152, о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов.
- Принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем.
- Назначить ответственного за защиту персональных данных.
Отдельно хотелось отметить, что эффективность многих мер, принимаемых работодателями, зависит от регулярного обучения персонала и ознакомления с положениями законодательства о ПДн, в том числе требованиями к защите ПДн. Поэтому не стоит забывать об этой обязанности оператора ПДн (ст. 18.1 ФЗ-152).