С 30 мая 2025 года Роскомнадзор ужесточил штрафы за нарушения в сфере обработки персональных данных, увеличив их размер, в том числе к персональным данным сотрудников организаций их хранению, распространению, передачи и прочее.
(C 30 мая 2025 года ужесточили административную ответственность за нарушения законодательства в области персональных данных (ПДн). Вступили в силу поправки, предусмотренные Федеральным законом от 30 ноября 2024 № 420-ФЗ.
Обработка ПДн, несовместимая с целями сбора ПДн:
- для граждан - штраф от 10 000 до 15 000 рублей;
- для должностных лиц – штраф от 50 000 до 100 000 рублей;
- для юрлиц – штраф от 150 000 до 300 000 рублей.
ч. 1 ст. 13.11 КоАП и ч. 1.1 ст. 13.11 КоАП.
Обработка ПДн без согласия в письменной форме субъекта персональных данных:
- для граждан - штраф от 10 000 до 15 000 рублей;
- для должностных лиц – штраф от 100 000 до 300 000 рублей;
- для юрлиц – штраф от 300 000 до 700 000 рублей.
ч. 2 ст. 13.11 КоАП и ч. 2.1 ст. 13.11 КоАП.
Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн:
- для граждан - штраф от 50 000 до 100 000 рублей;
- для должностных лиц – штраф от 400 000 до 800 000 рублей;
- для юрлиц – штраф от 1 млн до 3 млн рублей.
ч.11 ст. 13.11 КоАП
Если бизнес собирает персональные данные сотрудников, клиентов или контрагентов, он становится оператором персональных данных и должен выполнять требования закона по работе с ними. Рассматривая вопрос привлечения к административной ответственности, помните, что юридическое лицо осуществляет хозяйственную деятельность через свои органы, а следовательно, в нарушении виновата не только компания, но и сотрудник, ненадлежащим образом, исполнивший свои обязанности.
К чему это я всё описал
В начале статье вставлено фото запроса администрации города о предоствалении протоколов (копий протоколов) проверки знаний по охране труда (в любом протоколе указываются ПДн сотрудника). И тут крется "проблема" ради которой я и пишу эту статью. Может кого и не смутит этот запрос, но для меня он очень странно выглядет. Я не буду говорить про то, что "Соглашение" не является НПА для Работодателей по передачи сведений и да же про то, что запрос сделан на не определенный круг лиц (юридических и ИП) в отношении не конкретизированного перечня персональных данных. Это думаю и так понятно.
Теперь хотелось бы ознакомить с выдержками из закона и что может нарушить Работодатель исполнив его или исполнив его ненадлежаще
Работу с персональными данными регулирует федеральный закон от 27 июля 2006 года № 152-ФЗ. В соответствии с этим законом, персональные данные – это информация, имеющая отношение к субъекту персональных данных. Субъектом персональных данных считается физическое лицо, которое может быть идентифицировано прямо или косвенно (Ф.И.О., СНИЛС, дата и место рождения, место регистрации и проживания, факт получения и размер заработной платы и иных выплат (пенсии, пособия, предоставляемые льготы, иное материальное вознаграждение), сведения о работодателе, уплачивающем страховые взносы и сдающем отчетность в государственные контролирующие органы, информация о состоянии здоровья, уровне образования – все это персональные данные).
Процессуальной основой данного запроса (персональных данных указанных в копиях протоколах проверки знаний требованиям охраны труда) указано Трехстороннее соглашение, которое не является основанием к раскрытию персональных данных.
Конфиденциальность персональных данных регулируется статьей 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Операторы и иные лица, которые получают доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Основополагающим принципом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») является осуществление обработки персональных данных на законной и справедливой основе, ограничиваясь достижением заранее определенных и законных целей. При этом не допускается обработка персональных данных, несовместимая с заранее определенными и заявленными целями сбора.
Таким образом, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а содержание и объем обрабатываемых персональных данных не должны быть избыточными, а строго соответствовать заявленным целям обработки.
Обращаем Ваше внимание на то, что законодательство в области персональных данных определяет два понятия «предоставления– действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц» персональных данных и их «распространения– это действия, направленные на раскрытие персональных данных неопределенному кругу лиц».
В Законе от 27 июля 2006 г. № 152-ФЗ определен круг уполномоченных лиц перед которым Работодатель имеет право предоставить персональные данные без ограничения.
Организация, обрабатывающая персональные данные, не вправе раздавать их по первому требованию.
Законодательством Российской Федерации определены КНО и иные структуры на законных основаниях, имеющие право запросить персональные данные. Городское трехстороннее соглашение между объединением работодателей, профсоюзами и Администрации города не является основанием к передачи персональных данных. Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ
Государственные и муниципальные учреждения, в т.ч. органы власти, и иные организации – в целях предоставления государственных и муниципальных услуг в рамках исполнения Федерального закона от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» 6 (в случаях, установленных законом, потребуется письменное согласие субъекта персональных данных), в данном случаи услуги не оказываются.
Разглашение персональных данных представляет собой действия юридических лиц или ИП, направленные на передачу личной информации сотрудников третьим лицам. Разглашать персональные данные без согласия сотрудника запрещено.
В связи с чем сообщаем:
1. Запрос не был адресован персонально в организацию и в отношении круга лиц, работники согласие на передачу персональных данных третьим лицам в отношении этого запроса не давали;
(данные указанные в запросе для раскрытия являются персональными сведениями работников, защищаются Федеральным законом и не могут быть представлены без их согласия — работодатель не вправе предоставлять персональные данные работников третьим лицам без согласия работников, за исключением случаев, перечисленных в в п.1 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);
2. Пунктом 1 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ установлено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Из этого следует, что организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу. Лишь при таких условиях требование о конкретности и сознательности согласия может считаться выполненным.
Как и кто будет потом в администрации обрабатывать эти ПДн?
Нас с Вами это уже не будет интересовать. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных - для должностных лиц – штраф от 6 000 до 12 000 рублей (ч.7 ст. 13.11 КоАП).