5 нюансов работы с персональными данными, которые приводят к штрафам

Работодатели нередко нарушают законодательство о персональных данных, сами того не зная. Что учесть при обработке сведений, чтобы снизить риски и не попасть на штрафы? Давайте разберемся.

1. Не уведомил регулятора — нарушил закон

С 2022 года не только крупные компании должны уведомлять Роскомнадзор об обработке персональных данных. Поправки к ст. 22 ФЗ № 152 от 27.07.2006 сделали требование обязательным для всех работодателей. Норма действует с сентября прошлого года. Соответственно, в 2023 году юридические лица и ИП, вступающие с физлицами в трудовые отношения, должны направлять уведомления в Роскомнадзор. Причем состав персональных данных значения не имеет. Уведомлять регулятора нужно, даже если вы собираете и обрабатываете в рамках трудового законодательства только Ф. И. О. сотрудников.

Отсутствие отчетности является грубым нарушением — за него предусмотрены штрафные санкции, о которых речь пойдет ниже.

2. Одного уведомления недостаточно

Принято считать, что уведомить Роскомнадзор можно разово и в любое время. На самом деле регулятор должен получить документ до фактической обработки работодателем «трудовых» персональных данных. То есть мы сообщаем контролирующей организации о намерении работать с данными, а не о свершившемся факте.

Разовым уведомлением перед трудоустройством работников тоже не обойтись. В документе должны отражаться актуальные сведения об обработке данных. Если сведения изменились, их придется скорректировать, направив в Роскомнадзор новое уведомление. Это требование действует с марта 2023 года.

Для формирования и отправки уведомлений регулятор предоставляет профильный сервис. Документы принимаются в электронном и бумажном виде. Электронные уведомления подписываются УКЭП или с помощью средств аутентификации ЕСИА.

3. Одного согласия сотрудника недостаточно

Чтобы законно собирать и обрабатывать персональные данные, работодатель должен получит согласие сотрудников. Важно: согласие берется под конкретные цели обработки сведений. Один документ на все случаи жизни — путь к штрафу в полмиллиона рублей.

Составляя согласие на обработку персональных данных, указывайте:

• реквизиты организации или ИП (наименование, адрес, ИНН и т.п.);
• конкретную цель обработки сведений (одна цель — одно согласие);
• перечень данных, которые будут обработаны;
• способ обработки (неавтоматизированный, автоматизированный в программе 1С);
• действия с данными (например, сбор, запись, хранение, систематизация, распространение, изменение, удаление);
• способ отзыва согласия на обработку данных;
• срок действия документа.

4. Согласие постфактум

Согласиться на обработку персональных данных сотрудник должен до оформления любых документов: от анкеты соискателя до трудового договора. Нарушение этого принципа влечет штраф до 150 000 руб. (КоАП РФ ст. 13.11).

По общим правилам, согласие на сбор и обработку персональных данных подписывается сотрудником до оформления трудового договора. Срок от первого действия до второго законом не установлен. То есть подписать согласие работник может за день до оформления договора, за неделю или месяц.

5. Ошибки при сборе, размещении персональных данных

Собирая данные через Интернет, не забудьте уведомить Роскомнадзор. И неважно, какие сервисы вы используете, отечественные или иностранные. Что касается хранения данных, базы должны быть локализованы на территории России. Использование зарубежных облачных сервисов, в том числе гугл-диска, грозит штрафом до 6 миллионов рублей.

Использовать иностранные мессенджеры передачи персональных данных тоже запрещено. В стоп-лист Роскомнадзора по состоянию на июль 2023 входят Discord, Microsoft Teams, Skype for Business, Snapchat, Telegram, Threema, Viber, WhatsApp, WeChat. Максимальный штраф за передачу персональных данных запрещенными каналами составляет 700 000 руб. для юрлица и 50 000 руб. для должностного лица.

На размещение сведений на сайте компании сотрудники тоже должны дать согласие. Речь идет о любых персональных данных: от Ф. И. О., занимаемой должности и компетенций до адреса электронной почты и номера мобильного телефона. Соответствующие сведения размещаются на сайте организации для обеспечения прямой связи с партнерами, клиентами.

Важно: сбор и обработка данных осуществляются в рамках Политики по работе с персональными данными. Документ размещается на сайте организации в свободном доступе. Если Политики на официальном ресурсе вашей компании нет, готовьтесь платить штраф в размере 60 000 руб.

Собирать данные субъектов через сайт без их согласия тоже нельзя. За нарушение предусмотрен штраф в размере 150 000 руб.

Есть и другие нюансы обработки персональных данных, которые могут привести к проблемам. Из неочевидного: работодатель запрашивает копию свидетельства о браке или свидетельства о рождении ребенка (для распределения новогодних подарков, оформления путевки и т. п.). Соответствующие документы содержат персональные данные третьих лиц: законных представители ребенка, супруга/супруги сотрудника. Согласие на обработку сведений должны дать их владельцы. То есть без оформления дополнительных документов не обойтись.

Работая с данными, помните главное: согласие на их обработку не универсально. Нельзя в одном документе прописать все возможные цели сбора сведений и совершения других действий с ними!