Ошибки операторов персональных данных

Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).

Наталья Карасова, Руководитель отдела кадрового учета и расчета заработной платы бухгалтерского аутсорсинга «Главбух Ассистент»

Согласие на обработку персональных данных должно содержать:

1. ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.

2. ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).

3. Наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных.

4. Цель обработки персональных данных.

5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.

6. Наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональные данные по поручению оператора, если обработка будет поручена такому лицу.

7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.

8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

9. Подпись субъекта персональных данных.

Статьи по теме

Вопросы по теме

Общие рекомендации от экспертов:

• Не выкидывайте ранее разработанные документы по защите персональных данных, так как их могут запросить при проверке;

• Ведите журналы и формы документов, необходимые для выполнения законодательства, и вовремя их актуализируйте;

• Ведите план внутренних проверок режима обработки и защиты персональных данных, где прописано, с какой частотой проводятся те или иные мероприятия;

• Будьте готовы начать работать с персональными данными при представителях Роскомнадзора;

• Подготовьте документы по системе видеонаблюдения, если в Вашей организации внедрена соответствующая система;

• Готовьтесь заблаговременно к проверке Роскомнадзора.

И не забывайте, что реализовывать меры по защите персональных данных организация должна в любом случае, вне зависимости от того, подавалось уведомление в Роскомнадзор или нет.

Ошибки операторов ПДн, связанные с кадровой работой

Прошло более 10-ти лет с момента принятия Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», однако надзорная деятельность Роскомнадзора показывает, что далеко не все еще освоились с практикой его применения. В частности, в статистике за 2016-й год явно просматривается одна из типичных ошибок операторов, в большинстве случаев, связанная с кадровой работой (видимо, как наиболее распространенная деятельность), а именно:

«Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») – примерно 9% от общего количества выявленных в 2016 году нарушений.»

Давайте попробуем еще раз взглянуть на данную проблематику. Тем более, благодаря нововведениям в законодательстве, штрафы значительно выросли.

Так, по ст. 13.11 КоАП РФ до 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании – до 10 тысяч рублей.

С 1 июля 2017 года вступили в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

• обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) – штраф от 30 тыс до 50 тыс рублей;
• обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) – штраф от 15 до 70 тыс рублей;
• неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) – штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.

Что же с согласием работника?

Роскомнадзор, в своих рекомендациях (полный текст документа доступен по ссылке), выделяет 5 основных моментов, когда мы можем таковое у работника не брать.

Обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.

Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.

Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:

1. Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации.

2. Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).

В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

3. Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства.

4. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Согласие работника, государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 N 490, нормативными правовыми актами в сфере транспортной безопасности).

Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

1. договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
2. наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
3. соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

5. Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 Трудового кодекса РФ.

При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе, получить согласие работников на передачу их персональных данных.

Распространенные ошибки

Вроде бы все довольно просто и понятно, но в чем же кроется ошибка? На состоявшейся недавно Международной конференции «Защита персональных данных», в своем выступлении Михаил Емельянников приводил следующие данные из материалов проверок:

Наличие в согласии работника на обработку персональных данных, даваемого в письменной форме, сведений об обработке персональных данных в нескольких целях и указание в нем нескольких лиц, осуществляющих обработку персональных данных по поручению оператора. Согласие на обработку персональных данных соискателя не соответствует требованиям п.4 ч.4 ст.9 Закона, в части указания одной цели обработки персональных данных. Согласие включает в себя указание нескольких лиц, осуществляющих обработку персональных данных по поручению оператора, что не соответствует требованиям п.6 ч.4 ст. 9 № 152-ФЗ «О персональных данных» в части указания лица (одного), осуществляющего обработку персональных данных по поручению оператора.

И еще одно явное указание суда, для понимания ситуации, оттуда же:

Для устранения выявленного нарушения Обществу необходимо разработать и использовать типовую письменную форму согласия на обработку персональных данных работника, предусматривающую наличие одной цели обработки в случае передачи персональных данных работников третьим лицам.
Вывод суда: … если цели обработки персональных данных выходят за рамки ТК РФ, для каждого случая передачи персональных данных работников третьим лицам необходимо получать отдельное письменное согласие работника.

Постановление Девятого арбитражного апелляционного суда от 16.08.2016 № 09АП-30182/2016-АК по делу № А40-17595/16

Вот по этим, казалось бы, незначительным ошибкам и происходят сегодня судебные процессы.
Кроме того, так до конца и не явным остается определение самих персональных данных. В этом вопросе, опять же, копится судебная практика.

Обычно, в любой организации имеется как минимум стандартный набор, плюс/минус данные из различных СКУД (система контроля и управления доступом), а именно:

1. фамилия, имя, отчество;
2. год, месяц, дата и место рождения;
3. адрес;
4. семейное, социальное, имущественное положение;
5. образование, профессия, должность, доходы;
6. биометрические персональные данные.

Практика же судебных решений еще более расширяет перечни персональных данных, например, суды признавали персональными данными:

1. сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
2. номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015);
3. фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).

В последнее время есть явная тенденция – перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Тем не менее, Закон требует от нас обеспечить безопасность персональных данных, как при традиционном докуменообороте, так и при обработке данных в автоматизированном виде.

Как соответствовать требованиям закона?

Закон гласит, что персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных – с использованием средств автоматизации или вручную.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер – определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Так же необходимо раздельно хранить носители персональных данных, которые обрабатываются в различных целях.

При автоматизированной обработке персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Для выполнения этих требований, нужно провести ряд организационно-технических мероприятий. Возможно, придется привлечь специалистов компаний-интеграторов.

При автоматизированной обработке можно так же обратиться к нам и избавить себя хотя бы от части головной боли по вопросу соответствия и сократить свои издержки. Мы предлагаем минимум два решения, позволяющих приблизится к образу «идеального оператора» ведущего кадровый учет:

• «Облако ФЗ 152»;
• 1С АРЕНДА И ХОСТИНГ.

Однако лучше использовать определение, которое дает ныне действующий п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»². Согласно ему персональные данные – ​это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Часто в локальных актах работодателя встречаются и другие, уже устаревшие определения и термины, поэтому стоит регулярно организовывать ревизию ЛНА работодателя, чтобы их выявить и скорректировать тексты.

Компании, особенно международные, зачастую не проверяют и не фиксируют, где именно находятся базы данных, в которых хранится и обрабатывается персональная информация. Кроме того, это не всегда указано и во внутренних документах компании. Согласно же ч. 5 ст. 18 Закона о персданных, работодатель при сборе персональных данных граждан РФ обязан обеспечить их запись, систематизацию, накопление, хранение и пр., используя только базы данных на территории нашей страны.

Кстати, если базы не расположены в России, то за это нарушение штрафы, установленные ч. 8 и 9 ст. 13.11 КоАП РФ, просто космические. Так, невыполнение указанной обязанности влечет наложение штрафа:

• на граждан в размере от 13 000 до 50 000 рублей;
• должностных лиц – ​от 100 000 до 200 000 рублей;
• юридических лиц и индивидуальных предпринимателей – ​от 1 000 000 до 6 000 000 рублей.

Повторное нарушение опасно еще большими суммами:

• для граждан штраф может составить от 50 000 до 100 000 рублей;
• должностных лиц – ​от 500 000 до 800 000 рублей;
• юридических лиц и индивидуальных предпринимателей – ​от 6 000 000 до 18 000 000 рублей.

Если раньше обработка данных допускалась без согласия кандидата или работника, потому что он сделал их общедоступными (например, на сайте поиска работы или в соцсети), то теперь персональные данные прямо должны быть разрешены для распространения самим гражданином.

Здесь тоже не лишним будет напомнить про ответственность за нарушения в области персональных данных по ч. 2 и 2.1 ст. 13.11 КоАП РФ, которая ужесточилась с 27.03.2021. За обработку персданных без согласия в письменной форме штраф составит:

• для граждан – ​от 6000 до 10 000 рублей;
• должностных лиц и индивидуальных предпринимателей – ​от 20 000 до 40 000 рублей;
• юридических лиц – ​от 30 000 до 150 000 рублей.

За повторное нарушение штраф возрастет:

• для граждан – ​от 10 000 до 20 000 рублей;
• должностных лиц – ​от 40 000 до 100 000 рублей;
• индивидуальных предпринимателей – ​от 100 000 до 300 000 рублей;
• юридических лиц – ​от 300 000 до 500 000 рублей.

Не забудьте прописать это уточнение во внутренних документах и, самое главное, получить от работников необходимые согласия.

Чтобы работать с личной информацией граждан в большинстве случаев нужно брать у них согласие на обработку персональных данных (ПД), а на распространение ПД оформлять отдельный документ. С 1 сентября 2022 года требования закона о персональных данных в этой части изменились. Рассказываем, как правильно оформить согласие гражданина на действия с его ПД.