Новые штрафы за персданные: к чему готовиться кадровикам

Екатерина Бобарыкина, Юрист по персональным данным компании «Авито»

1. В каком случае за нарушение с персданными грозит уголовная ответственность
2. Как защитить данные, чтобы Роскомнадзор снизил штраф, даже если произойдет утечка
3. Когда нужно уничтожить персданные работника без требования от него

Из этого материала узнаете, насколько вырастут штрафы за ошибки в работе с персданными. Кроме того, получите образцы и подсказки, чтобы не дать Роскомнадзору повода применить к вашей компании новые санкции. Изменения вступят в силу с 30 мая, но готовиться к ним рекомендуем уже сейчас. Ведь помимо ужесточения административной ответственности ввели также и уголовную. Подробнее — дальше в статье.

Обрабатывать персданные на законных основаниях и при наличии реальной цели

В статье отражено мнение автора. Оно не отражает официальную позицию компании «Авито»

Штрафы за обработку персданных без законных оснований или в целях, которые не соответствуют их сбору, были и раньше, но сейчас они выросли — в среднем в два раза. Как изменился размер штрафов, посмотрите в таблице ниже. Чтобы они вам не грозили, учитывайте следующие правила.

Для каждого случая обработки найдите подходящее правовое основание. В трудовых отношениях обработка обычно осуществляется на основании Трудового кодекса, бухгалтерского, налогового и социального законодательства, трудового договора и других соглашений, по которым сотрудник является стороной или выгодоприобретателем, а также в некоторых ситуациях — согласия. Например, вы можете передать зарплатные ведомости в банк, чтобы выполнить обязанности работодателя. Но если надо разместить личный номер сотрудника на корпоративном портале, обязательно возьмите согласие. Образец скачайте в конце статьи.

Не собирайте данные «на всякий случай», если сейчас нет реальной необходимости. Хранение личных документов, которые сотрудники предоставляют при трудоустройстве, — это нарушение. Кроме того, избыточное хранение повышает риск внутренней утечки, когда неуполномоченные сотрудники берут копии паспортов коллег в мошеннических целях. Иногда данные нужны на короткий срок, например, без копии паспорта нельзя оформить сотруднику УКЭП. По закону нужно собрать копии паспортов именно для этой задачи и уничтожить их после выпуска электронной подписи. Не забудьте подтвердить факт уничтожения актом, образец которого можно скачать в конце материала.

Новые штрафы за нарушения при работе с персданными

Уведомить Роскомнадзор об обработке персданных

Компания должна сообщить о себе как об операторе персональных данных, даже если работаете только с данными сотрудников, ч. 2 ст. 22.2 Закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ. Такая обязанность была и раньше, но теперь за ее неисполнение ввели отдельный штраф — до 50 000 руб. ответственному за обработку персданных и до 300 000 руб. — на организацию.

Проверьте, есть ли ваш работодатель в Реестре операторов персданных, на сайте pd.rkn.gov.ru. Если нет, направьте в Роскомнадзор уведомление по форме, приложение № 1 к приказу Роскомнадзора от 28.10.2022 № 180, далее — Приказ № 180. Если вы уже есть в Реестре, но изменились сведения, которые подавали первоначально, скорректируйте их, ч. 7 ст. 22 Закона о персданных. Данные отправляйте на специальном бланке, приложение № 2 к Приказу № 180. Образцы обоих уведомлений скачайте в конце.

В каких случаях за нарушение при работе с персональными данными грозит уголовная ответственность 

Теперь за нарушения в работе с персональными данными будет грозить не только административная, но и уголовная ответственность. Наказание грозит за обработку компьютерной информации, содержащей персданные, если доступ к ней получен незаконно. Максимальная мера ответственности — до четырех лет лишения свободы с запретом занимать должность на три года. Определены также обстоятельства, которые повлекут повышенную ответственность. Это нарушения с биометрическими или принадлежащими несовершеннолетнему персданными, использование служебного положения для совершения преступления. За нарушение, связанное с трансграничной передачей данных или их носителей грозит до восьми лет лишения свободы, ст. 272.1 УК.

Примите максимум мер для защиты персданных от утечек

Появились отдельные штрафы за действия или бездействие оператора персданных, которые повлекли доступ к ним посторонних лиц без законных оснований. Иными словами — за утечку персданных. Размеры штрафов будут зависеть от того, данные скольких субъектов утрачены. Минимальный для компании — 3 млн руб., максимальный — 500 млн.

Защитить персданные нужно и формально, и технически. Закрепите в ЛНА и должностных инструкциях ответственных порядок работы с персональными данными и обязанность держать их вне доступа посторонних лиц. Обеспечьте условия для хранения данных. Чтобы обезопасить физические носители данных, храните их в сейфах и отдельных закрываемых помещениях. Чтобы обеспечить сохранность данных в электронном виде, совместно с IT-специалистами разработайте систему хранения и доступа к данным.

При повторной утечке Роскомнадзор может снизить штраф. Для этого нужно выполнить три условия. Иинвестиции компании в информационную безопасность на протяжении трех лет должны составлять не менее 0,1 процента от выручки. При этом мероприятия по обеспечению ИБ должна проводить организация с лицензией на деятельность по технической защите конфиденциальной информации или криптографии. Компания должна соблюдать все требования к защите данных. У компании не должно быть штрафов за другие нарушения с персданными, кроме собственно утечки. Это условие должно выполняться в течение года до повторной утечки.

Немедленно сообщайте в Роскомнадзор об утечке персданных

Если избежать утечки данных не удалось, уведомьте о ней Роскомнадзор. За неисполнение этой обязанности появился штраф — до 800 000 руб. на ответственного и до 3 млн руб. на компанию. Причина утечки не важна — сообщите о ней в течение 24 часов с момента выявления, п. 12–14 ст. 19 Закона от 27.07.2006 № 152-ФЗ. В течение 72 часов нужно отчитаться о результатах внутреннего расследования по факту утечки. Приложите к отчету все доказательства, которые удалось собрать. Например, копию акта или протокола о результатах расследования, выгрузку из информационных систем.

Формально подать уведомление об утечке и отчитаться о результатах расследования можно как в электронном виде, так и на бумаге, п. 5 Порядка, утв. приказом Роскомнадзора от 14.11.2022 № 187. Но на сайте Роскомнадзора есть только электронная форма для заполнения, и ее нельзя распечатать, чтобы подать в бумажном виде. Чтобы направить данные, зайдите на сайт Роскомнадзора, перейдите в портал персональных данных, выберите вкладку «Инциденты (утечки ПД)», затем — «Уведомление о факте...». Там будет ссылка на заполнение формы. Чтобы приступить, нужно будет авторизоваться через Госуслуги.

© Материал из Справочной системы «Управление многоквартирным домом»
https://1umd.ru
Дата копирования: 10.02.2025