Документ предоставлен КонсультантПлюс
Ответственность за обработку персональных данных с нарушениями продолжает ужесточаться. С 30.05.2025 за повторные нарушения по некоторым статьям начнут взыскивать оборотные штрафы. Автор анализирует три основных требования к работодателям, которые необходимо выполнить в первую очередь при обработке персданных работников и клиентов (уведомление Роскомнадзора, назначение ответственного лица, утверждение политики обработки персональных данных), а также последствия их несоблюдения. Объясняет, как правильно выполнить такие требования (с образцами документов и конкретных формулировок) на основе собственного опыта и разъяснений Роскомнадзора. Показывает судебную практику, которая «подсвечивает» узкие места.
Скоро начнут действовать оборотные штрафы за нарушения в сфере работы с персданными. Это новая санкция для российского законодательства, которая подтверждает, что власти уделяют защите персональных данных все больше внимания. Да и без оборотных штрафов есть чего опасаться. Статья поможет выявить ключевые риски и подстелить соломку там, где это возможно.
- Уведомляем Роскомнадзор
До начала обработки персональных данных работодатель обязан уведомить Роскомнадзор (ч. 1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» <1>). В ч. 2 ст. 22 Закона N 152-ФЗ предусмотрены исключения, когда такое уведомление не требуется. Это происходит в случае:
— если данные обрабатываются в целях защиты безопасности государства и общественного порядка;
— используются для обеспечения транспортной безопасности
— или если оператор обрабатывает данные исключительно на бумаге, без средств автоматизации.
<1> Далее — Закон N 152-ФЗ.
Примечание. См. статью «Работа с персональными данными клиентов» в N 3, 2015, на с. 22.
Примечание. См. статьи «ТОП-5 ошибок в сфере работы с персональными данными» в N 8, 2021, на с. 19, «9 согласий на обработку персональных данных» в N 6, 2023, на с. 23.
Получается, если в компании есть хотя бы 1 работник (генеральный директор), 1 контрагент или 1 клиент, то обязанность по уведомлению Роскомнадзора существует.
Сведения об операторах, обрабатывающих персональные данные, вносятся Роскомнадзором в соответствующий реестр <2>.
<2> По состоянию на 27.12.2024 в Реестре операторов, осуществляющих обработку персональных данных, содержались сведения о 925 327 операторах персональных данных (https://pd.rkn.gov.ru/operators-registry/operators-list/).
Ответственность за неуведомление
Что будет, если работодатель проигнорирует требования Закона о представлении уведомления?
На текущий момент предусмотрена административная санкция в ст. 19.7 КоАП РФ — предупреждение или незначительный штраф. Но уже с 30.05.2025 ужесточается ответственность: вводятся специальные нормы, касающиеся неуведомления или несвоевременного уведомления Роскомнадзора о намерении осуществить обработку персональных данных и их утечках.
Таблица 1. Меры административной ответственности за непредставление информации в Роскомнадзор
| Сроки введения | Норма КоАП РФ | Суть нарушения | Санкция |
| В настоящее время и после 30.05.2025 | Статья 19.7 | Непредставление или несвоевременное представление, а равно представление в неполном объеме или в искаженном виде в Роскомнадзор сведений (информации), представление которых предусмотрено законом (например, по запросу РКН) | Предупреждение либо штраф: — для должностных лиц и ИП — от 300 до 500 руб. (или дисквалификация до 3 лет); — малых и микропредприятий — от 1 500 до 2 500 руб.; — остальных юридических лиц — от 3 000 до 5 000 руб. |
| С 30.05.2025 | Часть 10 ст. 13.11 | Неуведомление или несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных | Штраф: — для должностных лиц (государственных и муниципальных органов) — от 30 000 до 50 000 руб.; — малых и микропредприятий — от 50 000 до 150 000 руб.; — иных юрлиц (коммерческих организаций) и ИП — от 100 000 до 300 000 руб. |
| Часть 11 ст. 13.11 | Неуведомление или несвоевременное уведомление Роскомнадзора о фактах неправомерной или случайной передачи (представления, распространения, доступа) персональных данных | Штраф: — для должностных лиц (государственных и муниципальных органов) — от 400 000 до 800 000 руб.; — малых и микропредприятий — от 500 000 до 1 500 000 руб.; — иных юрлиц (коммерческих организаций) и ИП — от 1 000 000 до 3 000 000 руб. |
Как видите, поводом для привлечения к ответственности может послужить либо непредставление сведений вовсе или представление, но с опозданием. Негативные последствия могут наступить в том числе и за представление сведений в неполном объеме или в искаженном виде.
Судебная практика. Постановлением мирового судьи работодатель был привлечен к административной ответственности по ст. 19.7 КоАП РФ в виде предупреждения. Основанием послужило то, что он не представил на запрос Роскомнадзора уведомление об обработке персональных данных либо информационное письмо с указанием законных оснований, в соответствии с которыми вправе осуществлять их обработку без уведомления Роскомнадзора.
Руководитель компании пытался оспорить привлечение к ответственности. Суд ему отказал, отметив, что:
— использование личных данных работников (фамилия, имя, отчество, адрес, паспортные данные и др.), сбор анкет (резюме) кандидатов на работу, направление третьим лицам (организации) списков сотрудников при оформлении им медицинских полисов, перечисление денежных средств на зарплатные счета, представление в военный комиссариат списков военнообязанных сотрудников, сбор и использование персональных данных физических лиц, состоящих в гражданско-правовых отношениях, и т.п. в соответствии с п. 3 ст. 3 Закона N 152-ФЗ является обработкой персональных данных;
— следовательно, у работодателя как оператора персональных данных в силу закона возникла обязанность по представлению в Роскомнадзор уведомления об обработке персональных данных (постановление Первого кассационного суда общей юрисдикции от 14.03.2022 по делу N 16-1309/2022).
Как уведомить Роскомнадзор
Примечание. См. статью «Как работодателю уведомить Роскомнадзор об обработке персональных данных» в N 10, 2022, на с. 11, где приведен образец уведомления.
Уведомление о намерении осуществлять обработку персональных данных достаточно подать единожды за весь период работы оператора. Сведения направляются в территориальный орган Роскомнадзора по месту регистрации работодателя. Форма уведомления утверждена в приложении 1 к Приказу Роскомнадзора от 28.10.2022 N 180 <3>. Ее можно:
— заполнить, распечатать, подписать у уполномоченного лица и подать в бумажном виде
— либо направить в электронной форме, подписав усиленной квалифицированной электронной подписью или с помощью авторизации через портал Госуслуг. Если уведомление подано в электронном виде, то есть возможность отслеживать его статус <4>. При этом номер уведомления и ключ появятся автоматически после заполнения формы на информационном ресурсе ведомства (они потребуются для входа).
<3> Далее — Приказ Роскомнадзора N 180.
<4> pd.rkn.gov.ru/operators-registry/notification_check/.
Для каждой определенной категории персональных данных в уведомлении указываются:
— одна конкретная цель;
— категории субъектов, персональные данные которых обрабатываются;
— правовое основание;
— перечень действий с персональными данными;
— способы обработки персональных данных,
— а также меры по обеспечению защиты персональных данных (ч. 3.1 ст. 22 Закона N 152-ФЗ).
Если в процессе ведения хозяйственной деятельности меняются сведения, указанные в уведомлении (например, адрес работодателя, цель обработки и т.д.), то не позднее 15-го числа месяца, следующего после месяца, в котором произошли изменения, необходимо будет передать в Роскомнадзор актуальные сведения (ч. 7 ст. 22 Закона N 152-ФЗ). Форма утверждена Приказом Роскомнадзора N 180 (приложение 2).
А в случае прекращения обработки персональных данных оператор обязан уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки. Роскомнадзор исключает сведения о работодателе из реестра операторов в течение 30 дней с даты поступления соответствующего уведомления.
На сайте Роскомнадзора в разделе «Реестр операторов» (подраздел «Документы») приводятся примеры заполнения указанных уведомлений:
— об обработке (о намерении осуществлять обработку) персональных данных;
— об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
— о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных.
- Назначаем ответственное лицо
Примечание. Образец приказа о назначении ответственного за организацию обработки персональных данных лица и формулировку для должностной инструкции и/или трудового договора ответственного см. также в статье «Документы по персональным данным, которые проверит Роскомнадзор» в N 4, 2024, на с. 37.
Лицам, ответственным за организацию обработки персональных данных, посвящена ст. 22.1 Закона N 152-ФЗ. Непосредственно в ч. 4 ст. 22.1 Закона N 152-ФЗ закреплены обязанности ответственного лица:
— осуществлять внутренний контроль за соблюдением работодателем и всеми работниками законодательства РФ о персональных данных;
— доводить до сведения работников положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требования к защите персональных данных;
— организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.
Ответственное за работу с персональными данными лицо назначается приказом работодателя (образец см. в примере 1). Более того, данная обязанность отражается в трудовом договоре работника или прописывается в его должностной инструкции (см. пример 2). При назначении лица, ответственного за организацию обработки персональных данных, следует помнить, что он будет нести ответственность за сохранность информации не только на бумажных носителях, но и за сведения в электронном виде.
Пример 1. Образец приказа о назначении ответственных за обеспечение безопасности информации и организацию обработки персональных данных лиц.
| Общество с ограниченной ответственностью «Компания будущего»
ПРИКАЗ | ||||
| 17.03.2025 | N 29-к | |||
| Москва | ||||
| О назначении ответственных за обеспечение безопасности информации и организацию обработки персональных данных лиц | ||||
| В целях обеспечения выполнения норм Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», во исполнение Требований к защите персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства РФ от 01.11.2012 N 1119), Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства РФ от 15.09.2008 N 687)
ПРИКАЗЫВАЮ:
1. Назначить начальника отдела персонала Иванова О.С. ответственным за организацию обработки персональных данных с 24.03.2025, установив ему ежемесячную доплату в размере 10 000 рублей к должностному окладу в связи с исполнением дополнительной обязанности по организации обработки персональных данных (с его письменного согласия). 2. Назначить начальника отдела информационных технологий Сидорова И.Э. ответственным за обеспечение безопасности персональных данных при их обработке в информационной системе с 24.03.2025, установив ему ежемесячную доплату в размере 10 000 рублей к должностному окладу в связи с исполнением дополнительной обязанности по обеспечению безопасности персональных данных при их обработке в информационной системе (с его письменного согласия). 3. В связи с новым назначением работников, указанных в п. 1 и 2 настоящего приказа, начальнику отдела персонала Иванову О.С. обеспечить внесение соответствующих изменений в трудовые договоры и должностные инструкции указанных работников. Срок — 19.03.2025. | ||||
| Генеральный директор | Петров | И.А. Петров | ||
| С приказом ознакомлены и согласны: <…> | ||||
Пример 2. Формулировки о правах и обязанностях ответственного за обработку персональных данных лица (для трудового договора и/или должностной инструкции).
…8.2. Работник вправе:
8.2.1. Знакомиться с проектами документов, касающихся обработки и защиты персональных данных.
8.2.2. Представлять на рассмотрение генерального директора Организации предложения по вопросам обработки и защиты персональных данных.
8.2.3. Иметь доступ к информации, касающейся обработки и защиты персональных данных в Организации.
8.2.4. Требовать от работников Организации, имеющих доступ к персональным данным работников в рамках исполнения своих трудовых функций, знания и выполнения положений законодательства Российской Федерации о персональных данных, локальных нормативных актов и иных организационно-распорядительных документов Работодателя по вопросам обработки и защиты персональных данных.
8.2.5. Участвовать в анализе ситуаций, касающихся нарушений требований к обработке и защите персональных данных и фактов несанкционированного доступа к персональным данным.
8.3. Работник обязан:
8.3.1. Разрабатывать, обеспечивать принятие и актуализацию Работодателем документов, определяющих его политику в отношении обработки персональных данных, иных локальных нормативных актов и других организационно-распорядительных документов Работодателя по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных нормативных актов и других организационно-распорядительных документов Работодателя, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
8.3.2. Обеспечить применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.3.3. Осуществлять внутренний контроль (аудит) за соблюдением Работодателем и работниками Организации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных и принимать меры в случае выявления нарушений.
8.3.4. Обеспечить проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, соотношение указанного вреда и принимаемых Работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных.
8.3.5. В случае нарушения требований к защите персональных данных незамедлительно принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
8.3.6. Блокировать неправомерно обрабатываемые персональные данные, обеспечить прекращение обработки персональных данных в соответствии с законодательством Российской Федерации.
8.3.7. Взаимодействовать с уполномоченным органом по защите прав субъектов персональных данных в случаях, в форме и в сроках, установленных законодательством Российской Федерации.
8.3.8. Уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных.
8.3.9. Доводить до сведения работников Организации положения нормативных правовых актов Российской Федерации о персональных данных, локальных нормативных актов и иных организационно-распорядительных документов Работодателя по вопросам обработки персональных данных, требований к защите персональных данных.
8.3.10. Обеспечить прием и обработку обращений и запросов субъектов персональных данных или их представителей, осуществлять контроль за приемом и обработкой таких обращений и запросов.
Примечание. См. статью «Должностная инструкция: практические ситуации» в N 7, 2024, на с. 58.
Обработка персональных данных в информационных системах имеет определенную специфику и требует соответствующих знаний. Поэтому полагаем, что целесообразно назначить двух ответственных лиц. Например:
— специалист отдела кадров будет отвечать за организацию работы и сохранность персональных данных на бумажных носителях,
— а обязанности по обеспечению информационной безопасности персданных в электронном виде возложить на системного администратора.
Причем в некоторых случаях компания обязана назначить отдельного специалиста ответственным за обеспечение безопасности персональных данных при их обработке в информационной системе или даже целый отдел (см. Требования к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 01.11.2012 N 1119).
Примечание. Подробнее см. в статье «Должен ли в компании быть специалист по информационной безопасности?» в N 3, 2024, на с. 41.
Обязанность назначить ответственного за обеспечение безопасности персданных в информационной системе, специалиста по информационной безопасности зависит от того, какой уровень угрозы может исходить от программ и электронных баз данных. Чтобы его определить, придется изучить указанные выше Требования. Выделяются три типа угроз:
— 1-й тип, когда к неправомерному использованию данных могут привести возможности предустановленного программного обеспечения;
— 2-й тип угрозы появляется из-за скрытых возможностей программ, которые устанавливают на компьютеры дополнительно, скажем, для автоматизации кадрового учета;
— при 3-м типе угрозы от программного обеспечения отсутствуют.
Примечание. Всех ли сотрудников можно привлечь к ответственности за разглашение персданных коллег, как зафиксировать нарушение и к какой именно ответственности можно привлечь, читайте в статье «Чем грозит разглашение информации о работнике» в N 12, 2018, на с. 27.
Отсутствие ответственного за организацию обработки персональных данных в нарушение установленных требований рассматривается контролирующим органом как отсутствие мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Законом N 152-ФЗ.
Судебная практика. В ходе проверки было установлено, что работодатель не исполнял требования Закона N 152-ФЗ, в частности:
— не были разработаны и утверждены локальные нормативные акты, регламентирующие деятельность в сфере персональных данных,
— и не было назначено ответственное должностное лицо за организацию обработки персональных данных.
Обязывая работодателя утвердить необходимые документы и назначить ответственное лицо (в течение 2-х месяцев после вступления в законную силу решения суда), суд отметил, что невыполнение указанных мероприятий в сфере обеспечения работы с персональными данными создает риск их неправомерного использования, нарушения конфиденциальности и причинения вреда субъектам персональных данных (решение Шарлыкского районного суда Оренбургской области от 05.11.2019 по делу N 2а-534/2019).
Если лицо, ответственное за организацию обработки персональных данных, не назначено, то в случае обнаружения нарушений требований Закона N 152-ФЗ суд признает виновным непосредственного руководителя организации (см., например, постановление мирового судьи судебного участка N 57 в Ленинском районе г. Красноярска от 14.03.2023 по делу N 05-0253/57/2023).
Отметим также, что отсутствие назначенного лица, ответственного за организацию работы с персональными данными, создает сложности и с уведомлением Роскомнадзора о намерении обработки персональных данных.
- Утверждение политики обработки персональных данных
Работодатель обязан разработать и утвердить локальный нормативный акт об обработке, защите, хранении и использовании персональных данных своих работников, например Положение о персональных данных и их защите (Политику). В соответствии со ст. 18.1 Закона N 152-ФЗ утверждение политики также является мерой, направленной на обеспечение выполнения работодателем обязанностей, предусмотренных законодательством о защите персональных данных.
Кроме того, работодатель обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.
Операторы, которые осуществляют сбор персональных данных с использованием Интернета, обязаны размещать на своем сайте документы о политике обработки и защиты персональных данных организации с предоставлением возможности неограниченного доступа к ним. Причем ссылку на политику необходимо разместить на всех страницах сайта, если там собираются персональные данные (например, при наличии формы обратной связи).
Иные операторы вправе самостоятельно определить конкретный способ обеспечения неограниченного доступа к указанным сведениям, например путем размещения на информационном стенде или на сайте организации (ч. 2 ст. 18.1 Закона N 152-ФЗ).
Судебная практика. Детская школа искусств осуществляла сбор персональных данных путем заполнения формы обратной связи на своем сайте (в интернет-приемной), однако документы, определяющие политику в отношении обработки персональных данных, на указанном сайте не были размещены. Суд пришел к выводу, что директор школы, являясь оператором, осуществляющим обработку персональных данных, не выполнила предусмотренную законодательством РФ в области персональных данных обязанность по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. В итоге директор была привлечена к ответственности по ч. 3 ст. 13.11 КоАП РФ в виде предупреждения (постановление Хасынского районного суда Магаданской области от 22.03.2024 по делу N 5-28/2024).
Чтобы избежать претензий к содержанию документа, определяющего политику в отношении персональных данных, оформите его согласно Рекомендациям Роскомнадзора <5>.
<5> Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», можно скачать на официальном сайте Роскомнадзора в разделе «Документы» (rkn.gov.ru/docs/Rekomendacii31072017.docx) (далее — Рекомендации).
Таблица 2. Что должно быть в ЛНА об обработке персональных данных
| Наименование раздела | Содержание раздела |
| Общие положения (п. 3.1 Рекомендаций) | — назначение Положения; — основные понятия (для раскрытия понятий можно воспользоваться их определениями, приведенными в ст. 3 Закона N 152-ФЗ); — основные права и обязанности работодателя и работников |
| Правовые основания обработки персональных данных (п. 3.3 Рекомендаций) | Например: — ТК РФ; — Закон N 152-ФЗ; — учредительные документы; — трудовые договоры или иные соглашения между организацией и работником (например, коллективный договор) либо иным субъектом персональных данных; — согласие субъекта персональных данных на обработку персональных данных |
| Цели сбора персональных данных (п. 3.2 Рекомендаций) | Например: — подбор и управление персоналом: поиск соискателей, оценка деловых качеств соискателей, заключение трудового договора, выполнение трудовой функции и исполнение должностных (служебных) обязанностей; — вознаграждение персонала: расчет и выплата заработной платы, включая доплаты, премии, компенсация расходов, вознаграждение за служебные результаты интеллектуальной деятельности и осуществление прочих выплат, а также предоставление налоговых вычетов, удержание из заработной платы, организация предоставления банковских карт для личного и/или служебного использования; — организация служебных поездок: содействие в оформлении документов для командировок, предоставление в пользование служебных транспортных средств, а также оказание эффективной технической помощи в ходе служебной эксплуатации транспортных средств; — обеспечение безопасности: обеспечение сохранности имущества и защиты физических лиц от противоправных деяний (посягательств), обеспечение внутриобъектного и пропускного режимов и иные законные цели |
| Категории субъектов персональных данных и объем персональных данных (п. 3.4 Рекомендаций) | Например: — работники организации (в том числе бывшие), их родственники, кандидаты на замещение вакансий, стажеры и практиканты; — клиенты и контрагенты, являющиеся физическими лицами; — представители и работники клиентов и контрагентов, являющихся юридическими лицами. Для каждой категории субъектов персональных данных следует указать категории персональных данных и цель их обработки |
| Порядок и условия обработки персональных данных (ст. 86 ТК РФ, ст. 6 Закона N 152-ФЗ, п. 3.5 Рекомендаций) | — перечень действий, совершаемых работодателем с персональными данными работников, а также используемые им способы и сроки обработки персональных данных; — способы обработки персональных данных: автоматизированный (с использованием средств вычислительной техники) и неавтоматизированный (только вручную) |
| Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным (п. 3.6 Рекомендаций) | Условия, при которых персональные данные подлежат уничтожению, Роскомнадзор рекомендует сформулировать так же, как это сделано в Законе N 152-ФЗ. Например: «Когда цели обработки персональных данных достигнуты или субъект персональных данных отозвал свое согласие, персональные данные должны быть уничтожены, если: — иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; — оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом N 152-ФЗ или иными федеральными законами; — иное не предусмотрено иным соглашением между оператором и субъектом персональных данных» |
| Хранение и использование персональных данных работников (ст. 87 ТК РФ) | Например: — персональные данные работников, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных работников в электронном виде вне применяемых работодателем информационных систем и специально обозначенных работодателем баз данных (внесистемное хранение персональных данных) не допускается; — обеспечивается раздельное хранение бумажных носителей персональных данных работников и бумажных носителей персональных данных иных лиц (то есть хранение способом, при котором работник, получающий доступ к персональным данным работников, не вынужден одновременно получать доступ к персональным данным иных лиц) |
| Меры защиты персональных данных работников (ст. 86 ТК РФ, п. 3.5 Рекомендаций) | Например: — разработаны локальные нормативные акты и иные организационно-распорядительные документы по вопросам обработки персональных данных; — лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства РФ о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными нормативными актами по вопросам обработки и защиты персональных данных; — назначен ответственный за организацию обработки персональных данных; — на стенде (и/или сайте) размещены документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных; — разработаны модели угроз безопасности персональным данным в информационных системах |
| Ответственность (ст. 90 ТК РФ, ст. 24 Закона N 152-ФЗ) | Например: — работники и иные лица, виновные в нарушении настоящей Политики, а также законодательства РФ в области персональных данных, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами; — разглашение работником персональных данных другого работника, ставших известными первому в связи с исполнением им трудовых обязанностей, может повлечь привлечение работника, разгласившего такие данные, к дисциплинарной ответственности, вплоть до увольнения |
Примечание. См. статью «Разглашение персональных данных: за что можно уволить работника» в N 3, 2022, на с. 11.
Примечание. Что еще, помимо перечисленных обязанностей, должен сделать работодатель в отношении персданных, чтобы не нарушить закон, читайте в статье «Документы по персональным данным, которые проверит Роскомнадзор» в N 4, 2024, на с. 37.
В заключение приведем тезисы Роскомнадзора о том, как защитить персональные данные при их обработке <6>. По мнению ведомства, необходимо:
— минимизировать список персональных данных для сбора и обработки. Лучше использовать только те сведения, которые реально нужны;
— хранить личные сведения клиентов, работников, соискателей и т.д. раздельно;
— не накапливать личную информацию на всякий случай и не формировать профили клиентов, если это не жизненно важно оператору;
— хранить идентификаторы человека (Ф.И.О., электронную почту, телефон, адрес) и данные о взаимодействии с ним (информацию об оказании услуг и продаже товаров, переписку, договоры и пр.) в базах данных, которые напрямую не связаны друг с другом;
— использовать технические и программные средства для обеспечения необходимого уровня безопасности данных;
— назначить ответственного за защиту персональных данных, наделив его необходимыми полномочиями.
<6> Рекомендации Роскомнадзора операторам персональных данных от 08.08.2023 (rkn.gov.ru/press/news/news74733.htm).
О. Свириденко
Юрист
по трудовому праву
Учебно-консалтингового центра
«Мир трудовых отношений»
Документ в СПС КонсультантПлюс:
