јналитика
ќбратите внимание, материал старше 2-х лет. јктуальность выводов уточн€йте у автора

јдминистративна€ ответственность работодател€ за нарушение законодательства о персональных данных

29 »юн 2017
—обеседование.jpg

ќтсылка к специальному законодательству о персональных данных по€вилась в “рудовом  одексе –оссийской ‘едерации более 10 лет назад. ќднако план проверок работодателей долгое врем€ не включал вопросы сохранности персональных данных работников, либо провер€ющие довольствовались наличием ѕоложени€ о защите и обработке персональных данных в организации.

»нтерес к проблеме соблюдени€ законодательства о защите персональных данных обострилс€ в св€зи с изменени€ми, внесенными в  одекс об административных правонарушени€х, в частности в ст.13.11.

–анее ст. 13.11.  ојѕ –‘ предусматривала ответственность за нарушение установленного законом пор€дка сбора, хранени€, использовани€ или распространени€ информации о гражданах (персональных данных) без какой-либо конкретизации, санкци€ статьи была незначительной, в частности, ответственность должностных лиц ограничивалась одной тыс€чью рублей, юридических лиц Ц 10 тыс. рублей.

–едакци€ статьи, вступающей в силу с 01.07.2017, масштабнее: по€вились специальные составы, которые дают возможность вы€влени€ нескольких правонарушений, что в свою очередь повлечет и несколько санкций.

 то может осуществл€ть проверки: органы прокуратуры и –оскомнадзор Ц организаци€, с которой многие работодатели пока не сталкивались. ѕри этом собранные материалы –оскомнадзор будет передавать в суд, и решение о привлечении к ответственности будет выноситьс€ уже судом на основании материалов проверки.

ќсновани€  привлечени€ к ответственности с 01.07.2017.

1.ќбработка персональных данных в случа€х, не предусмотренных законодательством –оссийской ‘едерации в области персональных данных, либо обработка персональных данных, несовместима€ с цел€ми сбора персональных данных, за исключением случаев, предусмотренных частью 2 насто€щей статьи, если эти действи€ не содержат уголовно наказуемого де€ни€, Ч

влечет предупреждение или наложение административного штрафа на граждан в размере от 1 тыс€чи до 3 тыс€ч рублей, на должностных лиц Ч от 5 тыс€ч до 10 тыс€ч рублей, на юридических лиц Ч от 30 тыс€ч до 50 тыс€ч рублей.

 —т. 5 ‘едерального закона от 27 июл€ 2006 года N 152-‘« "ќ персональных данных" устанавливает, что обработка персональных данных должна ограничиватьс€ достижением конкретных, заранее определенных и законных целей; не допускаетс€ обработка персональных данных, несовместима€ с цел€ми сбора персональных данных (часть 2); обработке подлежат только персональные данные, которые отвечают цел€м их обработки (часть 4); содержание и объем обрабатываемых персональных данных должны соответствовать за€вленным цел€м обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к за€вленным цел€м их обработки (часть 5).

—оответственно, получа€ персональные данные, необходимо по каждой их составл€ющей иметь четко сформулированную цель обработки. Ќапример, данные о судимости дл€ педагогических работников €вл€ютс€ об€зательными, а вопрос о том, имеет ли право работодатель запрашивать данные о судимости иных работников, должен быть предусмотрен отраслевыми нормами, профессиональными стандартами, а также должностными инструкци€ми и иными локальными актами.

¬ конце 2016 года суды ћосковской и Ћенинградской областей признали недействительными несколько инструкций саморегулируемых организаций в части хранени€ данных о стаже, образовании и т.д. работников организаций, вход€щих в —–ќ, после прин€ти€ решени€ о приеме организации в члены —–ќ. —–ќ не доказали наличие цели обработки таких данных после приема организации в члены —–ќ.

ќтсылка к исключени€м, предусмотренным ч. 2 статьи, предполагает, как нам представл€етс€, что при отсутствии письменного согласи€ на обработку персональных данных привлечение к ответственности по ч.1 производитьс€ не должно.

2. ќбработка персональных данных без согласи€ в письменной форме субъекта этих персональных данных на их обработку в случа€х, когда такое согласие должно быть получено в соответствии с законодательством –оссийской ‘едерации в области персональных данных, если эти действи€ не содержат уголовно наказуемого де€ни€; либо обработка персональных данных с нарушением установленных законодательством –оссийской ‘едерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на их обработку, Ч

влечет наложение административного штрафа на граждан в размере от 3 тыс€ч до 5 тыс€ч рублей, на должностных лиц Ч от 10 тыс€ч до 20 тыс€ч рублей, на юридических лиц Ч от 15 тыс€ч до 75 тыс€ч рублей.

ќт кого должно быть получено письменное согласие на обработку персональных данных:

- работники;

- соискатели (за исключением соискателей, чьи данные предоставлены кадровыми агентствами, с которыми у соискател€ был заключен договор);

- наследники в случае смерти субъекта персональных данных.

—одержание письменного согласи€ на обработку персональных данных (ч.4 ст. 9 ‘едерального закона от 27 июл€ 2006 года N 152-‘« "ќ персональных данных"):

1) фамили€, им€, отчество, адрес субъекта персональных данных, номер основного документа, удостовер€ющего его личность, сведени€ о дате выдачи указанного документа и выдавшем его органе;

2) фамили€, им€, отчество, адрес представител€ субъекта персональных данных, номер основного документа, удостовер€ющего его личность, сведени€ о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочи€ этого представител€ (при получении согласи€ от представител€ субъекта персональных данных);

3) наименование или фамили€, им€, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых даетс€ согласие субъекта персональных данных;

6) наименование или фамили€, им€, отчество и адрес лица, осуществл€ющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых даетс€ согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

¬иды согласий на обработку персональных данных:

- на обработку персональных данных самим работодателем и его сотрудниками;

- на получение персональных данных от третьих лиц;

- при передаче персональных данных иным лицам, в том числе с коммерческой целью;

- согласие на обработку специальных категорий персональных данных, касающихс€ расовой, национальной принадлежности, политических взгл€дов, религиозных или философских убеждений, состо€ни€ здоровь€, интимной жизни, в случа€х, предусмотренных ч. 2 ст.10 ‘едерального закона от 27 июл€ 2006 года N 152-‘« "ќ персональных данных"; согласие на обработку биометрических персональных данных (ст. 11 того же закона).

¬ажно отметить, что согласие на обработку персональных данных может быть отозвано Ч в таком случае дальнейша€ обработка не допускаетс€, за исключением объема персональных данных, об€зательных в силу закона и не требующих письменного согласи€.

3. Ќевыполнение оператором предусмотренной законодательством –оссийской ‘едерации в области персональных данных об€занности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определ€ющему политику оператора в отношении обработки персональных данных, или сведени€м о реализуемых требовани€х к защите персональных данных Ч

влечет предупреждение или наложение административного штрафа на граждан в размере от 700 до 1500 рублей, на должностных лиц Ч от 3 тыс€ч до 6 тыс€ч рублей, на индивидуальных предпринимателей Ч от 5 тыс€ч до 10 тыс€ч рублей, на юридических лиц Ч от 15 тыс€ч до 30 тыс€ч рублей.

— одной стороны, самый простой к выполнению пункт. «акон допускает опубликование путем размещени€ на сайте положени€ о персональных данных (варианты названи€ вполне допустимы без искажени€ сути документа, регулирующего вопросы обработки и защиты персональных данных). Ќо не все организации обладают собственным сайтом (часто домены регистрируютс€ на физических лиц), подчас один сайт обслуживает несколько работодателей, либо организаци€ не имеет необходимости в содержании сайта. ¬озможно ли в такой ситуации доказать, что документ размещен в неограниченном доступе?

Ќам представл€етс€, что с учетом применени€ ‘едерального закона от 27.07.2006 є 149-‘« Ђќб информации, информационных технологи€х и о защите информацииї размещение на едином сайте положений о персональных данных нескольких компаний вполне допустимо, а также допустимо размещение документа на сайте, принадлежащем третьему лицу. ѕри этом само положение должно содержать информацию об адресе такого сайта в сети »нтернет.

¬ случае, когда компани€ не использует сеть »нтернет в работе, вполне допустимо размещение положени€ в общедоступном месте в офисе/на производстве по аналогии с размещением информации о защите прав потребителей в торговых точках.

4. Ќевыполнение оператором предусмотренной законодательством –оссийской ‘едерации в области персональных данных об€занности по предоставлению субъекту персональных данных информации, касающейс€ их обработки, Ч

влечет предупреждение или наложение административного штрафа на граждан в размере от 1 тыс€чи до 2 тыс€ч рублей, на должностных лиц Ч от 4 тыс€ч до 6 тыс€ч рублей, на индивидуальных предпринимателей Ч от 10 тыс€ч до 15 тыс€ч рублей, на юридических лиц Ч от 20 тыс€ч до 40 тыс€ч рублей.

¬ соответствии со ст. 89 “рудового  одекса –‘ работник вправе получать полную информацию об имеющихс€ у работодател€ его персональных данных, в том числе имеет право на бесплатное получение любой записи, содержащей персональные данные; он вправе привлечь медицинского работника дл€ доступа к медицинской документации о состо€нии здоровь€, а также представител€ дл€ защиты своих персональных данных.

ќбща€сь напр€мую с работником, работодатель не несет рисков нарушени€ правил охраны его персональных данных, однако в случае с представителем и медицинским работником полномочие на получение информации о персональных данных должно быть специально оговорено в доверенности либо €вно подтверждатьс€ работником (например собственноручным за€влением о предоставлении данных конкретному лицу). ¬ противном случае велик риск нарушить закон предоставлением персональных данных. ќтдельные эксперты высказывают мнение, что правом представл€ть своих членов обладает профсоюз, однако считаем, что в силу статуса некоммерческой организации как обособленного юридического лица со своей правосубъектностью на передачу профессиональному союзу персональных данных должно быть отдельное письменное согласие работника.

5. Ќевыполнение оператором в сроки, установленные законодательством –оссийской ‘едерации в области персональных данных, требовани€ субъекта персональных данных или его представител€ либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные €вл€ютс€ неполными, устаревшими, неточными, незаконно полученными или не €вл€ютс€ необходимыми дл€ за€вленной цели обработки, Ч

влечет предупреждение или наложение административного штрафа на граждан в размере от 1 тыс€чи до 2 тыс€ч рублей, на должностных лиц Ч от 4 тыс€ч до 10 тыс€ч рублей, на индивидуальных предпринимателей Ч от 10 тыс€ч до 20 тыс€ч рублей, на юридических лиц - от 25 тыс€ч до 45 тыс€ч рублей.

ѕраво на уточнение, блокировку и уничтожение некорректных и незаконно полученных персональных данных безусловно принадлежит субъекту персональных данных и –оскомнадзору. ќбратимс€ к вопросу сроков исполнени€ такой об€занности работодател€ Ч они установлены ст. 21 ‘едерального закона от 27 июл€ 2006 года N 152-‘« "ќ персональных данных". ѕри получении информации о незаконности обработки и неточности персональных данных работодатель об€зан их блокировать и провести проверку. —рок проверки в случае получени€ сведений о неточности Ч 7 рабочих дней, в течение которых при подтверждении неточности должна быть осуществлена корректировка, после чего блокировка снимаетс€. 

¬ случае неправомерной обработки (неправомерность может быть подтверждена отсутствием согласи€ на обработку персональных данных, обработка которых без согласи€ запрещена) работодатель об€зан в течение трех рабочих дней устранить основани€ неправомерности, а если это невозможно, то у работодател€ есть 10 рабочих дней на уничтожение персональных данных.

ѕри достижении цели обработки персональных данных такие данные должны быть уничтожены в течение 30 дней, при этом закон допускает установление договором иных сроков уничтожени€ персональных данных.

“от же срок (30 дней) установлен дл€ прекращени€ обработки персональных данных в случае отзыва согласи€ субъектом этих персональных данных. ѕри этом уничтожение персональных данных производитс€ только при отсутствии цели их дальнейшей обработки. — учетом того факта, что само по себе хранение €вл€етс€ также обработкой персональных данных, вариантом прекращени€ обработки без уничтожени€ может €вл€тьс€, видимо, только блокировка.

ќб этом свидетельствует и то, что при невозможности уничтожени€ в определенных выше случа€х в установленный срок законодатель предписывает блокировать персональные данные, а максимальный срок их уничтожени€ определ€ет в 6 мес€цев.

6. Ќевыполнение оператором при обработке персональных данных без использовани€ средств автоматизации об€занности по соблюдению условий, обеспечивающих в соответствии с законодательством –оссийской ‘едерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действи€ в отношении персональных данных, при отсутствии признаков уголовно наказуемого де€ни€ Ч

влечет наложение административного штрафа на граждан в размере от 700 до 2 тыс€ч рублей, на должностных лиц Ч от 4 тыс€ч до 10 тыс€ч рублей, на индивидуальных предпринимателей Ч от 10 тыс€ч до 20 тыс€ч рублей, на юридических лиц Ч от 25 тыс€ч до 50 тыс€ч рублей.

Ётим пунктом установлена ответственность за необеспечение сохранности персональных данных (при отсутствии их автоматизированной обработки) в случа€х, когда было допущено их разглашение, не повлекшее совершение преступлени€. ”головное законодательство предусматривает ответственность за незаконное использование персональных данных дл€ регистрации юридических лиц, ведени€ реестра владельцев ценных бумаг, фальсификации собраний акционеров, уклонени€ от исполнени€ об€занности военной службы и иных ситуаций, св€занных с использованием подложных документов.

“акие преступлени€ относ€тс€ к категории умышленных; при отсутствии состава преступлени€, но при наличии факта неправомерных действий с персональными данными работодатель может быть привлечен к ответственности по данной норме.
 
7. Ќевыполнение оператором, €вл€ющимс€ государственным или муниципальным органом, предусмотренной законодательством –оссийской ‘едерации в области персональных данных об€занности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных Ч

влечет предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс€ч до 6 тыс€ч рублей.

ƒанна€ норма устанавливает ответственность не работодателей, а государственных и муниципальных органов, осуществл€ющих работу с персональными данными, которые дл€ выполнени€ соответствующих целей должны быть ими обезличены.

„асто возникает вопрос о необходимости уведомлени€ уполномоченного органа об обработке персональных данных. Ќова€ редакци€ ст. 13.11 не предусматривает административной ответственности за нарушение требований закона в случае отсутстви€ такого уведомлени€ (прежн€€ норма носила более общий характер, и привлечение к ответственности осуществл€лось именно по ст. 13.11  ојѕ –‘). 

ќднако надо учитывать, что отсутствие такого уведомлени€ будет нарушать закон в том случае, если объем обрабатываемых данных превышает допускаемый законом (ст. 22 ‘едерального закона от 27 июл€ 2006 года N 152-‘« "ќ персональных данных"), и привлечение к ответственности возможно по ст. 19.7.  одекса об административных правонарушени€х –оссийской ‘едерации. 

Ќадо понимать, что наличие организации в перечне субъектов, осуществл€ющих обработку персональных данных, возможно, спровоцирует включение ее в список организаций, подлежащих плановым проверкам по вопросам соблюдени€ законодательства о персональных данных. ѕоследнее не имеет существенного значени€, если организаци€ периодически по€вл€етс€ в планах проверок, размещенных на сайте √енеральной прокуратуры –‘.

¬ заключение обращаем внимание на то, что вопросы обработки персональных данных требуют четкого ведени€ документации, обеспечени€ сохранности материальных носителей и автоматизированных систем их хранени€.


‘илозоп «о€

руководитель абонентского отдела ё  "÷ќ"

«адать вопрос

"¬ыход из договорных отношений из-за COVID-19"
11 »юн€ 2020
10.00 (ћ— )

Ѕесплатный вебинар

онлайн-конференци€
" ак остатьс€ на плаву: новые стратегии дл€ бизнеса"
„итать полностью
 омисси€ за сомнительные банковские операции
  • „то такое сомнительна€ операци€?
  • «аконен ли заградительный тариф? 
  •  ак избежать потерь? 
»ндексаци€ заработной платы:
разбираемс€ в нюансах.
Ќедавно к нам обратилс€ предприниматель...
„итать полностью
«а€вка на консультацию
ѕодписатьс€ на рассылку по e-mail
* укажите ¬ашу электронную почту и получите все материалы по теме