Штраф за повторную утечку персональных данных вне зависимости от их вида можно снизить до 1/10 минимального штрафа, предусмотренного за соответствующее нарушение. В этом случае он будет не менее 15 млн. руб. и более 50 млн. руб. Рассчитывать на снижение могут работодатели, которые смогут доказать, что они предпринимали меры по сохранению персональных данных с соблюдением ряда условий одновременно:
1. Расходы на обеспечение информационной безопасности составляли не менее 0.1% годового совокупного размера своей выручки в течение 3 календарных лет, предшествующих году, в котором была выявлена утечка. Например, он мог (п. 2 Состава и содержания организационных и технических мер, утв. Приказом ФСТЭК от 18.02.2013 №21; п. 7 ст. 86 ТК РФ; ч. 1 ст. 19 Закона № 152-ФЗ):
- нанять компанию или ИП с лицензией на деятельность по технической защите конфиденциальной информации;
- реализовать у себя рекомендуемые ими меры по защите персональных данных.
2. Наличие документального подтверждения соблюдения требований к защите персональных данных при их обработке в информационных системах в течение 12 месяцев, предшествующих моменту выявления утечки. Это могут быть документы, действующие или утверждённые работодателем и полученные извне, например:
- заключение специалистов по защите конфиденциальной информации об определении типа угрозы безопасности персональных данных;
- документы, которые подтверждают то, что работодателем предпринимались защитные меры, подобранные исходя из уровня угрозы: приказы руководителя о закупке необходимого оборудования, о выделении помещения для размещения информационной системы, об оснащении его устройствами, исключающими неконтролируемое проникновение или неправомерный доступ в такое помещение, первичная документация, доказывающая приобретение работодателем всего необходимого, в том числе для обеспечения сохранности носителей ПД;
- утвержденное работодателем положение о защите персональных данных. Это обязательный ЛНА (ч. 1 ст. 18.1 Закона № 152-ФЗ), в котором должны быть прописаны:
- порядок работы с персональными данными, цели, способы и сроки их сбора и обработки;
- список работников, которые отвечают за обработку персональных данных (ими могут быть, к примеру, кадровик или бухгалтер), а не только список работников, у которых есть доступ к персональным данным;
- правила хранения личных дел и других кадровых документов;
- - способы защиты электронных документов.
Все работники, которых этот документ касается, должны быть с ним ознакомлены под подпись – ст. 88 ТК РФ; п. 15 Положения, утв. Постановлением Правительства от 15.09. 2008 № 687;
- согласие всех сотрудников на обработку (сбор, запись, хранение, использование, уточнение) их персональных данных. Его можно составить в свободной форме и лучше оформить отдельным документом, а не включать слова о согласии на обработку персональных данных, например, в трудовой договор, так как на рассмотрении в Думе находится проект Закона №679980-8, который устанавливает, что «согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных». Согласие должно быть подписано работником;
- акты об уничтожении копий документов по достижению цели, для которой работнику их нужно был предоставить (например, для получения вычета) или если истёк срок согласия на обработку персональных данных или согласие было отозвано, например, в случае увольнения работника. Срок хранения актов об уничтожении – 3 года – п. 8 Требований, утв. Приказом Роскомнадзора от 29.10.2022 № 170.
3. На момент повторной утечки или на момент повторного вынесения постановления по делу об этом нарушении отсутствовали отягчающие ответственность обстоятельства (п. 5 примечания к ст. 13.11 КоАП РФ):
- у работодателя не было неисполненных предписаний госорганов о прекращении нарушения – они ему не выдавались или он их уже исполнил – п. 1 ч. 1 ст. 4.3 КоАП РФ;
- работодатель не подвергался административному наказанию за нарушения в области связи и информации, которые предусмотрены ч. 1-11 ст. 13.11, ст. 13.6, 13.12 КоАП РФ, или со дня окончания исполнения постановления о привлечении к ответственности по этим статьям прошёл 1 год – ч. 1 ст. 4.6 КоАП РФ.
Очень подробно о корректной работе с персональными данными говорим на семинаре «Персональные данные». Разобраться в теме помогает Карандашова Светлана Викторовна - эксперт нормативно-правовых актов, советник государственной гражданской службы РФ первого класса и ведущий преподаватель по трудовому законодательству.
Стоимость участия: 4 400 рублей.
