Как работать с персональными данными работников в 2023 году
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными работников в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Статья 137 УК РФ: наказание за разглашение персональных данных
Изначально следует отметить, что уголовная ответственность может наступить, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д. Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя. Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.
Основные меры наказания прописаны в статьях 137 и 138 УК РФ:
- за распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
- за аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф
100-300 тысяч рублей либо в размере полученного за прошлые1-2 года официального дохода; - за разглашение сведений, касающихся субъектов младше 16 лет —
150-300 тысяч штрафа, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет; - за несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.
Каким образом возможно законное использование персональных данных?
Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.
В соответствующем соглашение на персональные данные должно быть отмечено:
- Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
- Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
- Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
- Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
- Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.
Сколько согласий запрашивать?
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.
Согласие на обработку персональных данных
В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).
Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.
Сторона, получающая личные сведения, обязана:
- заручиться согласием их владельца на обработку и использование;
- обеспечивать конфиденциальность;
- хранить документ, подтверждающий, что владелец разрешил работать с ними.
ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.
Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Ответственность за нарушения по персональным данным
Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ).
До 1 июля 2017 года размеры штрафов за нарушение закона о персональных данных составляют:
- для юридических лиц – от 5 тыс. до 10 тыс. руб.;
- для должностных лиц – от 500 до 1 тыс. руб.
Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2017.
|
Вид нарушения |
Размер штрафа |
|
|
для юридических лиц |
для должностных лиц |
|
| Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*. | От 30 тыс. до 50 тыс. руб. | От 5 тыс. до 10 тыс. руб. |
| Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку* | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
| Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
| Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных | От 15 тыс. до 50 тыс. руб. | От 3 тыс. до 10 тыс. руб. |
Перечень санкций за нарушения при обработке ПД для должностных лиц и организаций.
|
Часть ст. 13.11 КоАП РФ |
Нарушение |
Санкции |
|
1 |
а) обработка ПД в случаях, не предусмотренных Законом о ПД (например, без согласия на их обработку); б) обработка ПД в целях, несовместимых с заявленными (например, рассылка спама получателям интернет-услуг по указанному при регистрации адресу) |
Предупреждение или штраф: – должностному лицу – от 5 тыс. до 10 тыс. руб.; – организации – от 30 тыс. до 50 тыс. руб. |
|
2 |
а) обработка ПД без письменного согласия лица, когда такое согласие необходимо (например, при внесении в информационную базу сведений о здоровье пациента); б) нарушение требований закона к составу сведений, которые нужно включить в согласие субъекта на обработку ПД (например, информирование о третьих лицах, которым открыт доступ к ПД) |
Штраф: – должностному лицу – от 10 тыс. до 20 тыс. руб.; – организации – от 15 тыс. до 75 тыс. руб. |
|
3 |
Невыполнение требования об обеспечении неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД (например, отсутствие документов на официальном сайте) |
Предупреждение или штраф: – должностному лицу – от 3 тыс. до 6 тыс. руб.; – организации – от 15 тыс. до 30 тыс. руб. |
|
4 |
Непредоставление субъекту информации, касающейся обработки его ПД |
Предупреждение или штраф: – гражданам – от 1 тыс. до 2 тыс. руб.; – должностному лицу – от 4 тыс. до 6 тыс. руб.; – предпринимателю – от 10 тыс. до 15 тыс. руб.; – организации – от 20 тыс. до 40 тыс. руб. |
|
5 |
Невыполнение в срок требования об уточнении ПД, их блокировании или уничтожении |
Предупреждение или штраф: – должностному лицу – от 4 тыс. до 10 тыс. руб.; – организации – от 25 тыс. до 45 тыс. руб. |
|
6 |
Необеспечение условий, необходимых, чтобы: – сохранить ПД при хранении материальных носителей; – исключить несанкционированный доступ к ним |
Штраф: – должностному лицу – от 4 тыс. до 10 тыс. руб.; – организации – от 25 тыс. до 50 тыс. руб. |
|
7 |
Невыполнение государственным или муниципальным органом обязанности по обезличиванию персональных данных |
Предупреждение или штраф должностному лицу – от 3 тыс. до 6 тыс. руб. |
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Требования к согласию
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Ответы на распространенные вопросы про нарушение закона о персональных данных
Вопрос №1: Распространяются ли наказания за нарушение закона о персональных данных по статье 13.11 КоАП, если речь идет об обезличенных данных?
Ответ: Нет, поскольку обезличенные данные являются сведениями о пользователях, которые в результате обработки не позволяют третьим лицам установить, к кому именно информация относится.
Вопрос №2: Могут ли компании, которым были доверены персональные данные, обрабатывать конфиденциальные сведения с целью исполнения договора, для осуществления законных прав и интересов (при условии, что будет обеспечена конфиденциальности и безопасность данных), обрабатывать информацию в научных и аналитических целях при условиях обезличивания?
Ответ: В настоящий момент указаний в нормах закона на данную тему не имеется, однако, существует законопроект, позволяющий производить указанные действия и, возможно, он будет принят.
Субъективные признаки разглашения
Согласно нормам действующего федерального законодательства, разглашением могут считаться следующие действия правонарушителя: разглашение той или иной информации хотя бы одному лицу; опубликование ее в интернете или в средствах массовой информации; опубликование данных в газете; передача их другим лицам для последующего использования и др.
Нужно учитывать, что ответственность может наступить не только за разглашение, но и за другие незаконные действия с личной информацией. Сюда относится и ее сбор. Под сбором понимается получение личных данных гражданина без его согласия и без подписания им соответствующим образом. Незаконно собранная и в последующем использованная информация порождает более тяжкую ответственность, вплоть до привлечения по уголовной статье.
Специфическими персональными сведениями являются тайны. Сюда относится, например, тайна усыновления. Такие личные данные гражданина распространению не подлежат.
В том случае, если такая информация кому-либо стала известна без согласия усыновителя, правонарушители могут быть привлечены к ответственности по уголовной статье.
‼️ Нарушения и ответственность при использовании ПИ
В действующих нормативных актах предусмотрено сразу несколько видов ответственности, которая может наступить в случае несоблюдения принципов работы с личными сведениями физических лиц. Сюда относится следующее:
Административная ответственность – возникает при совершении нарушений следующего характера:
- обработка персональных сведений в ситуациях, когда это противоречит закону;
- работа с такими материалами без согласия владельца;
- отсутствие либо ограниченный доступ к политике обработки персональных данных;
- невыполнение требования, касающегося уточнения, блокировки либо удаления чужой личной информации;
- нарушение правил по обеспечению сохранности таких сведений и их защиты от несанкционированного доступа;
- если не была выполнена обязанность по обезличиванию персональных сведений.
До 500 тыс. руб. за одну утечку
Министерство юстиции России предложило значительно увеличить штрафы за утечку персональных данных. Реализовать это предложено путем внесения поправок в Кодекс об административных правонарушениях (КоАП). Штрафы за утечку персональных данных в новой версии КоАП Минюст предлагает увеличить в ряде случаев более чем в десять раз. В случае принятия поправок изменения коснутся как юрлиц, так и должностных лиц, а также индивидуальных предпринимателей (ИП) вместе с физлицами.
- Для физических лиц размер штрафа, в настоящее время составляющий 2000 руб., предложено увеличить до 20 тыс. руб.
- Должные лица будут платить за утечку не нынешние 10 тыс. руб., а до 100 тыс. руб. а ИП – до 300 тыс. руб. вместо 20 тыс. руб.
- Максимальный размер штрафа предусмотрен для юридических лиц – в настоящее время он равен 50 тыс. руб., но Минюст предлагает увеличить его до 500 тыс. руб.
Ответственность за нарушение закона о персональных данных
Федеральный закон «О персональных данных» предусматривает ответственность в случае нарушения положений. В частности, об этом гласит статья 24 ФЗ 152. В КоАП нарушение персональных данных определяется штрафом в размере 10 тысяч рублей. К привлечению могут быть подвергнуты не только физические, но и должностные лица, которым грозит штраф в размере до 75 тысяч рублей.
Организация получает штраф от 20 тысяч до 50 тысяч рублей. Штраф в размере 50 тысяч рублей выписывается компании, не выполнившей требования Трудовой инспекции. Трудовая инспекция — организация, которая проводит проверку на основании главы 14 ТК РФ, защищая сотрудников компании в отношении их личных данных.
Следует отметить, что статья 137 УК РФ предусматривает уголовную ответственность в случае нарушения персональных данных. В частности, речь идет о неприкосновенности личной жизни. Размер наказания определяется в зависимости от:
- Степени разглашения информации;
- Использования должностного положения.
Если работа оператора попадет под действия такой статьи, предусматривается штраф в размере 300 тысяч рублей, лишение свободы на срок до 4 лет или принудительные работы.
Уголовное преследование может коснуться и гражданина, который собирает персональные данные о конкретном человеке.