Как компании избежать штрафов при работе с персональными данными сотрудников

Утечки информации беспокоят не только граждан, но и бизнес. С 1 сентября 2022 года в России заработали новые правила хранения и обработки персональных данных сотрудников. Разбираемся, к чему это обязывает работодателей.

Что такое персональные данные

При найме специалиста в штат, заключении договора с ИП или самозанятым работодатель так или иначе получает доступ к личной информации человека, то есть становится оператором персональных данных. В федеральном законе закрепили категории этих данных:

• Общие, например, Ф.И.О, пол, дата рождения, место жительства и работы.
• Специальные — информация о расовой и национальной принадлежности, политических и религиозных взглядах, состоянии здоровья и личной жизни, судимостях.
• Биометрические — данные, которые характеризуют биологические и физические особенности человека: фото, отпечатки пальцев, группа крови.
• Иные — данные, которые не относятся к предыдущим категориям, например: номер паспорта, реквизиты банковских карт.

Любые действия с личными данными возможны только с согласия человека. Так было и раньше — все заполняли согласие на хранение и обработку персональных данных при трудоустройстве. Теперь правила дополнили новыми требованиями.

Что изменилось с 1 сентября

Первое: сообщать Роскомнадзору о работе с персональными данными теперь обязаны практически все компании и предприниматели.

— Если до сентября список организаций, которые могли не уведомлять регулятора, был обширным, теперь исключений очень мало. Необязательно сообщать Роскомнадзору о работе с персданными в трёх случаях: данные включили в государственные информационные системы для защиты безопасности, их обрабатывают без автоматизации, и если это предусмотрено законом ради безопасности транспортного комплекса государства, — объясняет управляющий RTM Group, эксперт в области права в IT Евгений Царёв.

Второе: компании должны утверждать положение о защите персональных данных.

Обратите внимание: если у вас есть интернет-ресурс, где собираете личные данные пользователей, на страницах ввода людьми своих данных вы обязаны разместить положение о политике конфиденциальности.

Третье: если персональные данные сотрудников попали в руки посторонних, работодатель обязан сообщить об этом в Роскомнадзор в течение 24 часов после инцидента. Далее следует провести внутреннее расследование и доложить ведомству о результатах в течение 72 часов — кто виноват в утечке, какие меры приняли в компании.

Четвёртое: изменились требования к оформлению согласия на обработку персональных данных. Оно должно быть предметным и однозначным — нужно чётко указать цели сбора личной информации, категории данных.

Важно: сбор биометрических данных нужно обязательно отмечать в согласии. Иначе компания будет не вправе запросить даже фото нового сотрудника для оформления пропуска на территорию.

Пятое: сократили срок ответа работодателя на запрос сотрудника информации по его персональным данным. Ответ нужно дать в течение 10 рабочих дней или продлить рассмотрение на 5 рабочих дней по уважительным причинам. Раньше общий срок ответа ограничивали 30 днями.

Шестое: сотрудника нужно ставить в известность, если его персональные данные запрашивают у третьих лиц. Например, компания хочет получить сведения о человеке от бывшего работодателя, вуза или госорганов, тогда перед запросом необходимо составить документ по образцу и дать работнику на подпись.

Седьмое: уничтожение персональных данных тоже регламентируется. В статье 21 федерального закона перечислили ситуации, когда личную информацию о сотрудниках необходимо удалить, например:

• закончился срок хранения документа
• пропала необходимость хранения
• данные обрабатывают неправомерно
• сотрудник отозвал согласие, потребовал прекратить работу с его персональными данными

— По требованию работника или контрагента персональные данные должны уничтожить в течение 7 рабочих дней. В случае неправомерной обработки, которую выявит оператор, – 10 дней, в остальных случаях – 30 дней. Уничтожают данные физически (бумажный носитель) или путём стирания (электронные данные), — уточняет судебный эксперт и партнёр юридического бюро «Палюлин и партнеры» Антон Палюлин.

Грядущие изменения

С 1 марта 2023 года компаниям нужно будет информировать Роскомнадзор о передаче данных на территорию другого государства.

— Сообщение будет содержать название страны, в которую планируется передать информацию, категорию персональных данных, дату начала и окончания передачи данных, то есть все детали. Если регулятор сочтёт, что передача данных россиян небезопасна, действия запретят, — уточняет Евгений Царёв.

Нарушения и штрафы по новому закону

Во-первых, прежние административные штрафы за некорректную обработку персональных данных сохранились.

Во-вторых, добавились новые: если компания не уведомила Роскомнадзор о намерении хранить и обрабатывать чьи-то личные данные, штраф будет от 3 до 5 тысяч рублей.

Евгений Царёв поделился списком самых частых нарушений работодателей:

1. Работник не дал согласие на обработку персональных данных
2. Компания не уведомила Роскомнадзор
3. Фактические цели обработки персданных не совпали с заявленными
4. Личные данные сотрудника неправомерно распространили

Ответственность за нарушения закрепили в статье 90 ТК РФ. Сотрудник имеет право подать в суд на компанию, которая незаконно использовала его персональные данные. Прецеденты есть, например, случай по делу N 2-706/2018 в суде города Серпухова Московской области.

Работодатель выдал характеристику человека неустановленному лицу, без согласия на это самого работника. Суд взыскал с работодателя в пользу сотрудника 10 тысяч рублей в качестве компенсации морального вреда.

Дайджест: трудовые споры

Подборка материалов по работе с нарушениями на рабочем месте, конфликтами между работодателем и сотрудником, которые часто заканчиваются в суде.

Зарплата.ЖурналZarplata

Уже сталкивались на практике с нововведениями? Много хлопот добавилось вашим юристам и кадровикам 🙄