Поговорим про ужесточение административных санкций в части нарушения законодательства по персональным данным

21 апреля 2017

Сегодня поговорим об изменениях в Кодекс об административных правонарушениях, которые ждут нас с 1 июля 2017 года. К которым нам надо обязательно подготовиться, так как они создают серьезную зону риска.

Речь про ужесточение административных санкций в части нарушения законодательства по персональным данным.

Что такое персональные данные и о базовых требованиях, которые установлены 152 федеральным законом и статьями 86, 88 ТК, вы сами знаете. Моя задача объяснить, что конкретно поменяется в порядке проведения инспекционных проверок.

Во-первых, относительно инспекционного органа. Персональные данные на работников может проверять  инспекция труда, потому что отдельная глава посвящена персональным данным в Трудовом кодексе. Но, по практике, могу сказать, что  инспекция труда крайне редко смотрит персональные данные. Стандартно эта история происходит, если работник пожалуется, что нарушаются какие-то вопросы, связанные с его персональными данными. Как правило, проверяет специализированный инспекционный орган – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Так вот, с 1 июля основная статья 13.11 КоАП РФ претерпевает серьезные изменения. Они очень похожи на те изменения, что мы с вами переживали в прошлом году по трудовому законодательству.

Если помните, у нас раньше была короткая статья 5.27 – административные штрафы 30-50 тысяч рублей, которые применялись по совокупности. Сейчас у нас появилось очень много отдельных оснований, по которым установлены свои административные штрафы. Из-за этого инспекционная практика в части трудового законодательства привела к тому, что штрафы составляют порой несколько миллионов. Пока самый максимальный штраф, который я лично видела – 25 миллионов рулей. От бизнесмена знакомого слышала о штрафе в 80 миллионов рублей. Как вы понимаете, суммы гигантские.

До 1 июля у нас есть немного времени, чтобы разобраться. Настоятельно рекомендую вам посмотреть статью 13.11 КоАП – то, как она будет выглядеть с 1 июля 2017 года (эти изменения были приняты в феврале 2017 года, но вступают в действие с июля).

Коротко скажу, на что нужно обязательно обратить внимание.

По основаниям, по которым этой статьей вынесены отдельные нарушения (я их называю «спецсоставом»), возникает зона риска – когда Роскомнадзор при проверке применит административный штраф по отношению к каждому нарушению. А это ситуация, когда при одном и том же нарушении мы суммарный штраф получается серьезный.

Например, в этой статье пункт «первый» посвящен общим нарушениям. А с пункта «второго» начинается как раз отдельно выделенный «спецсостав». Он посвящен обработке персональных данных без согласия в письменной форме субъекта на обработку его персональных данных (когда согласие должно браться?). Либо если вы обрабатываете персональные данные с нарушением того, что было разрешено согласием субъекта.

Именно по самой форме письменного согласия субъекта замечания есть практически всегда – мы не корректно ее составляем. Элементарный критерий: какой объем у вас занимает согласие вашего работника на обработку персональных данных? Если следовать всем требованиям статьи, согласие получается достаточно громоздкое. В нем необходимо прописывать, какие конкретно персональные данные работник передает для обработки, для каких целей он передает, какие действия он разрешает осуществлять с этими данными. У многих работодателей написано согласие без конкретизации. Просто «разрешаю обрабатывать, разрешаю передавать». Это теперь будет нарушением.

Нарушение также, согласие формально берется, но сама обработка осуществляется в гораздо большем объеме. Например, в согласии не указана обработка информации о несовершеннолетних детях, а работодатель продолжает в карточке Т2 эту информацию заполнять.

За такие нарушения в рамках новой административной статьи 13.11 – штраф  от 15 до 75 тысяч рублей на юридическое лицо. Представьте, что  нарушение будет массовым и не  по одному работнику, а по ста работникам. При таком количестве сотрудников размеры штрафов миллионные.

Пункт «3» этой статьи в новой редакции предусматривает ответственность работодателя, если он нарушил требование к обязанности по опубликованию (либо обеспечению иным образом) неограниченного доступа к документу, который определяет работу с персональными данными.

Поясню. По 152-ФЗ, работодатель обязан обеспечить неограниченному количеству людей доступ к документу – положению о защите персональных данных (поэтому идеальным вариантом является сайт компании). И если этого положения в открытом виде нет, то последует наказание  согласно пункта «3» новой статьи. Радует – это нарушение не может быть массовым. То есть, единичное нарушение: положение о защите персональных данных либо есть на сайте, либо его нет.

Пункт «4» предусматривает ответственность, если работодатель как оператор не выполнил обязанность по предоставлению данных, касающихся обработки персональных данных работника.

Скорее всего, это нарушение тоже вряд ли будет массовым, его выявлять будут чаще всего при жалобах работников. Если работник обратился за предоставлением ему данных, а работодатель не предоставил.

Пункт «5» тоже критичен для работодателя: невыполнение в сроки, которые были установлены по требованию субъекта, изменений, уточнений, блокировании либо уничтожении его данных. Например, работник требует, чтобы вы прекратили обработку его персональных данных, требует их изменения, либо у работодателя (обратите внимание) истек срок обработки персональных данных, а вы продолжаете обработку – будут санкции, установленные в виде отдельного «спецсостава»  (от 25 до 45 тыс. рублей).

Вы в зоне риска, когда при проведении проверки находят документы, по которым истекли сроки хранения. Например,  резюме соискателей. Когда к вам приходит соискатель, вы с него согласие на обработку данных берете, надеюсь – устанавливаете некий срок. Тем не менее, этот срок прошел, приходит проверяющий и обнаруживает резюме соискателей с истекшим сроком обработки. В такой ситуации риски становятся массовыми.

По пункту «6» нарушение, если вы обрабатываете данные без использования средств автоматизации – говорим про бумажные формы документов. Если к ним есть несанкционированный доступ. При условии, что это повлекло какое-то изменение данных, распространение и т.д. Например, у вас стоит папка в шкафу, шкаф открыт и оттуда пропало личное дело сотрудника либо какие-то иные документы. В данной ситуации это будет отдельный «спецсостав» по бумажным формам документов.

Пункт «7» касается государственных и муниципальных органов.

Моя задача в небольшой заметке акцентировать внимание, что с 1 июля ваша зона финансового риска при проведении инспекционной проверки выросла в геометрической прогрессии. Поэтому задача на сегодняшний момент – проверить, защищен ли работодатель в вопросе организации работы с персональными данными.

Процесс по персональным данным всегда громоздкий. Если согласия на переработку персональных данных оформлены некорректно, вам необходимо срочно выполнить требования, проверить порядок хранения. Неготовность к инспекционным проверкам приводит к тяжелым ситуациям, в том числе, связанным с вашей репутацией, карьерой. Генеральному директору не понравится ситуация, когда применяются существенные штрафы и связано это с некорректной работой HR-службы.

Обратите, пожалуйста, внимание на предстоящие изменения.

Автор: Валентина Митрофанова