Административная ответственность работодателя за нарушение законодательства о персональных данных

Отсылка к специальному законодательству о персональных данных появилась в Трудовом Кодексе Российской Федерации более 10 лет назад. Однако план проверок работодателей долгое время не включал вопросы сохранности персональных данных работников, либо проверяющие довольствовались наличием Положения о защите и обработке персональных данных в организации.

Интерес к проблеме соблюдения законодательства о защите персональных данных обострился в связи с изменениями, внесенными в Кодекс об административных правонарушениях, в частности в ст.13.11.

Ранее ст. 13.11. КоАП РФ предусматривала ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) без какой-либо конкретизации, санкция статьи была незначительной, в частности, ответственность должностных лиц ограничивалась одной тысячью рублей, юридических лиц – 10 тыс. рублей.

Редакция статьи, вступающей в силу с 01.07.2017, масштабнее: появились специальные составы, которые дают возможность выявления нескольких правонарушений, что в свою очередь повлечет и несколько санкций.

Кто может осуществлять проверки: органы прокуратуры и Роскомнадзор – организация, с которой многие работодатели пока не сталкивались. При этом собранные материалы Роскомнадзор будет передавать в суд, и решение о привлечении к ответственности будет выноситься уже судом на основании материалов проверки.

Основания  привлечения к ответственности с 01.07.2017.

1.Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, —

влечет предупреждение или наложение административного штрафа на граждан в размере от 1 тысячи до 3 тысяч рублей, на должностных лиц — от 5 тысяч до 10 тысяч рублей, на юридических лиц — от 30 тысяч до 50 тысяч рублей.

 Ст. 5 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" устанавливает, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (часть 2); обработке подлежат только персональные данные, которые отвечают целям их обработки (часть 4); содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (часть 5).

Соответственно, получая персональные данные, необходимо по каждой их составляющей иметь четко сформулированную цель обработки. Например, данные о судимости для педагогических работников являются обязательными, а вопрос о том, имеет ли право работодатель запрашивать данные о судимости иных работников, должен быть предусмотрен отраслевыми нормами, профессиональными стандартами, а также должностными инструкциями и иными локальными актами.

В конце 2016 года суды Московской и Ленинградской областей признали недействительными несколько инструкций саморегулируемых организаций в части хранения данных о стаже, образовании и т.д. работников организаций, входящих в СРО, после принятия решения о приеме организации в члены СРО. СРО не доказали наличие цели обработки таких данных после приема организации в члены СРО.

Отсылка к исключениям, предусмотренным ч. 2 статьи, предполагает, как нам представляется, что при отсутствии письменного согласия на обработку персональных данных привлечение к ответственности по ч.1 производиться не должно.

2. Обработка персональных данных без согласия в письменной форме субъекта этих персональных данных на их обработку в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния; либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на их обработку, —

влечет наложение административного штрафа на граждан в размере от 3 тысяч до 5 тысяч рублей, на должностных лиц — от 10 тысяч до 20 тысяч рублей, на юридических лиц — от 15 тысяч до 75 тысяч рублей.

От кого должно быть получено письменное согласие на обработку персональных данных:

- работники;

- соискатели (за исключением соискателей, чьи данные предоставлены кадровыми агентствами, с которыми у соискателя был заключен договор);

- наследники в случае смерти субъекта персональных данных.

Содержание письменного согласия на обработку персональных данных (ч.4 ст. 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных"):

1) фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Виды согласий на обработку персональных данных:

- на обработку персональных данных самим работодателем и его сотрудниками;

- на получение персональных данных от третьих лиц;

- при передаче персональных данных иным лицам, в том числе с коммерческой целью;

- согласие на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в случаях, предусмотренных ч. 2 ст.10 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных"; согласие на обработку биометрических персональных данных (ст. 11 того же закона).

Важно отметить, что согласие на обработку персональных данных может быть отозвано — в таком случае дальнейшая обработка не допускается, за исключением объема персональных данных, обязательных в силу закона и не требующих письменного согласия.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —

влечет предупреждение или наложение административного штрафа на граждан в размере от 700 до 1500 рублей, на должностных лиц — от 3 тысяч до 6 тысяч рублей, на индивидуальных предпринимателей — от 5 тысяч до 10 тысяч рублей, на юридических лиц — от 15 тысяч до 30 тысяч рублей.

С одной стороны, самый простой к выполнению пункт. Закон допускает опубликование путем размещения на сайте положения о персональных данных (варианты названия вполне допустимы без искажения сути документа, регулирующего вопросы обработки и защиты персональных данных). Но не все организации обладают собственным сайтом (часто домены регистрируются на физических лиц), подчас один сайт обслуживает несколько работодателей, либо организация не имеет необходимости в содержании сайта. Возможно ли в такой ситуации доказать, что документ размещен в неограниченном доступе?

Нам представляется, что с учетом применения Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» размещение на едином сайте положений о персональных данных нескольких компаний вполне допустимо, а также допустимо размещение документа на сайте, принадлежащем третьему лицу. При этом само положение должно содержать информацию об адресе такого сайта в сети Интернет.

В случае, когда компания не использует сеть Интернет в работе, вполне допустимо размещение положения в общедоступном месте в офисе/на производстве по аналогии с размещением информации о защите прав потребителей в торговых точках.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся их обработки, —

влечет предупреждение или наложение административного штрафа на граждан в размере от 1 тысячи до 2 тысяч рублей, на должностных лиц — от 4 тысяч до 6 тысяч рублей, на индивидуальных предпринимателей — от 10 тысяч до 15 тысяч рублей, на юридических лиц — от 20 тысяч до 40 тысяч рублей.

В соответствии со ст. 89 Трудового Кодекса РФ работник вправе получать полную информацию об имеющихся у работодателя его персональных данных, в том числе имеет право на бесплатное получение любой записи, содержащей персональные данные; он вправе привлечь медицинского работника для доступа к медицинской документации о состоянии здоровья, а также представителя для защиты своих персональных данных.

Общаясь напрямую с работником, работодатель не несет рисков нарушения правил охраны его персональных данных, однако в случае с представителем и медицинским работником полномочие на получение информации о персональных данных должно быть специально оговорено в доверенности либо явно подтверждаться работником (например собственноручным заявлением о предоставлении данных конкретному лицу). В противном случае велик риск нарушить закон предоставлением персональных данных. Отдельные эксперты высказывают мнение, что правом представлять своих членов обладает профсоюз, однако считаем, что в силу статуса некоммерческой организации как обособленного юридического лица со своей правосубъектностью на передачу профессиональному союзу персональных данных должно быть отдельное письменное согласие работника.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, —

влечет предупреждение или наложение административного штрафа на граждан в размере от 1 тысячи до 2 тысяч рублей, на должностных лиц — от 4 тысяч до 10 тысяч рублей, на индивидуальных предпринимателей — от 10 тысяч до 20 тысяч рублей, на юридических лиц - от 25 тысяч до 45 тысяч рублей.

Право на уточнение, блокировку и уничтожение некорректных и незаконно полученных персональных данных безусловно принадлежит субъекту персональных данных и Роскомнадзору. Обратимся к вопросу сроков исполнения такой обязанности работодателя — они установлены ст. 21 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". При получении информации о незаконности обработки и неточности персональных данных работодатель обязан их блокировать и провести проверку. Срок проверки в случае получения сведений о неточности — 7 рабочих дней, в течение которых при подтверждении неточности должна быть осуществлена корректировка, после чего блокировка снимается. 

В случае неправомерной обработки (неправомерность может быть подтверждена отсутствием согласия на обработку персональных данных, обработка которых без согласия запрещена) работодатель обязан в течение трех рабочих дней устранить основания неправомерности, а если это невозможно, то у работодателя есть 10 рабочих дней на уничтожение персональных данных.

При достижении цели обработки персональных данных такие данные должны быть уничтожены в течение 30 дней, при этом закон допускает установление договором иных сроков уничтожения персональных данных.

Тот же срок (30 дней) установлен для прекращения обработки персональных данных в случае отзыва согласия субъектом этих персональных данных. При этом уничтожение персональных данных производится только при отсутствии цели их дальнейшей обработки. С учетом того факта, что само по себе хранение является также обработкой персональных данных, вариантом прекращения обработки без уничтожения может являться, видимо, только блокировка.

Об этом свидетельствует и то, что при невозможности уничтожения в определенных выше случаях в установленный срок законодатель предписывает блокировать персональные данные, а максимальный срок их уничтожения определяет в 6 месяцев.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния —

влечет наложение административного штрафа на граждан в размере от 700 до 2 тысяч рублей, на должностных лиц — от 4 тысяч до 10 тысяч рублей, на индивидуальных предпринимателей — от 10 тысяч до 20 тысяч рублей, на юридических лиц — от 25 тысяч до 50 тысяч рублей.

Этим пунктом установлена ответственность за необеспечение сохранности персональных данных (при отсутствии их автоматизированной обработки) в случаях, когда было допущено их разглашение, не повлекшее совершение преступления. Уголовное законодательство предусматривает ответственность за незаконное использование персональных данных для регистрации юридических лиц, ведения реестра владельцев ценных бумаг, фальсификации собраний акционеров, уклонения от исполнения обязанности военной службы и иных ситуаций, связанных с использованием подложных документов.

Такие преступления относятся к категории умышленных; при отсутствии состава преступления, но при наличии факта неправомерных действий с персональными данными работодатель может быть привлечен к ответственности по данной норме.
 
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных —

влечет предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тысяч до 6 тысяч рублей.

Данная норма устанавливает ответственность не работодателей, а государственных и муниципальных органов, осуществляющих работу с персональными данными, которые для выполнения соответствующих целей должны быть ими обезличены.

Часто возникает вопрос о необходимости уведомления уполномоченного органа об обработке персональных данных. Новая редакция ст. 13.11 не предусматривает административной ответственности за нарушение требований закона в случае отсутствия такого уведомления (прежняя норма носила более общий характер, и привлечение к ответственности осуществлялось именно по ст. 13.11 КоАП РФ). 

Однако надо учитывать, что отсутствие такого уведомления будет нарушать закон в том случае, если объем обрабатываемых данных превышает допускаемый законом (ст. 22 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных"), и привлечение к ответственности возможно по ст. 19.7. Кодекса об административных правонарушениях Российской Федерации. 

Надо понимать, что наличие организации в перечне субъектов, осуществляющих обработку персональных данных, возможно, спровоцирует включение ее в список организаций, подлежащих плановым проверкам по вопросам соблюдения законодательства о персональных данных. Последнее не имеет существенного значения, если организация периодически появляется в планах проверок, размещенных на сайте Генеральной прокуратуры РФ.

В заключение обращаем внимание на то, что вопросы обработки персональных данных требуют четкого ведения документации, обеспечения сохранности материальных носителей и автоматизированных систем их хранения.