Персональные данные работника: изменения в законодательстве

В первой статье настоящего цикла мы определили, какая информация о работнике относится к персональным данным, а также рассмотрели обязанности, которые законодатель возлагает на работодателя при работе с ними. С первой статьёй вы можете ознакомиться здесь

В статье, которую мы предлагаем вашему вниманию в этом выпуске, будет рассмотрен вопрос, связанный с изменениями в законодательстве о персональных данных. Также мы  поговорим о том, как минимизировать риски работодателя с учетом таких изменений.

ИЗМЕНЕНИЕ ЗАКОНОДАТЕЛЬСТВА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

В 2017 году в законодательстве России о персональных данных произошли серьезные изменения, которые затронули вопрос ответственности работодателя за нарушения при обработке персональных данных работника.

До 1 июля 2017 года в соответствии с положениями статьи 13.11 Кодекса об административных правонарушениях РФ за нарушения, допущенные при сборе, хранении, использовании или распространении персональных данных, государство наказывало виновных предупреждением или наложением административного штрафа. Для граждан сумма санкций ограничивалась размером от 300 до 500 рублей; для должностных лиц – от 500 до 1 000 рублей; для юридических лиц – от 5 000 до 10 000 рублей.

Такой незначительный размер штрафов часто влек за собой безответственное отношение работодателей как к соблюдению Закона о персональных данных, так и к организации  защиты персональных данных своих работников.

С 1 июля 2017 года ситуация радикально поменялась: во-первых, число составов административных правонарушений выросло с одного до семи, во-вторых, ужесточилась ответственность за нарушение законодательства РФ в области персональных данных и теперь такое нарушение может обернуться для работодателя предупреждением или наложением административного штрафа в размере от 30 000 до 75 000 рублей. Максимальный штраф (75 000 рублей) грозит работодателю за обработку персональных данных без письменного согласия работника в том случае, если получение такого согласия работодателем прямо предусмотрено Законом о персональных данных. На такую же сумму могут оштрафовать, если при обработке персональных данных работодатель нарушит требования к составу сведений, которые включаются в письменное согласие.

Позитивным изменением для работодателя стало то, что теперь работодатель несет ответственность только в том случае, если несоблюдение им режима конфиденциальности персональных данных работника повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, то есть если наступили вредные последствия. Одного факта неисполнения требований законодательства в данном случае недостаточно.

Рассматривая ответственность за нарушение законодательства в области персональных данных, целесообразно упомянуть, что, помимо административной ответственности, несоблюдение работодателем требований закона о защите персональных данных работников может повлечь для работодателя (его должностных лиц) и иные виды ответственности.

Так, в частности, работник, права которого нарушены, вправе претендовать в суде на возмещение убытков и (или) компенсацию морального вреда, что может привести к финансовым потерям для работодателя.

Не следует забывать и о том, что несоблюдение положений Закона о персональных данных в определенных случаях может быть признано составом преступления, влекущим уголовную ответственность. Например, нарушением неприкосновенности частной жизни (статья 137 Уголовного кодекса РФ).

Чтобы минимизировать риски привлечения к ответственности за нарушение законодательства в области персональных данных, работодателю необходимо разработать и строго соблюдать комплекс мер, направленных на защиту персональных данных работников. К таким мерам, в частности, относятся:

1) получение согласия работника на обработку его персональных данных в случаях, когда обработка персональных данных допускается только с согласия работника;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

3) назначение лица, ответственного за организацию обработки персональных данных;

4) обеспечение безопасности информационных систем и необходимого уровня защищенности персональных данных.

Таким образом, обработка персональных данных работника на законной и справедливой основе и принятие мер, необходимых для сохранности и обеспечения конфиденциальности персональных данных, являются важной обязанностью работодателя в его взаимоотношениях с работником. Недавнее ужесточение ответственности за нарушения в области персональных данных свидетельствует о том, что государство обратило пристальное внимание на соблюдение работодателями, обрабатывающими персональные данные, прав своих работников - субъектов персональных данных, в связи с чем работодателям рекомендуется проверить, соответствуют ли процедуры, принятые в их компаниях в отношении обработки персональных данных работников, установленным законодательством требованиям. И если нет – работодателям стоит срочно исправить ситуацию и привести свои локальные нормативные акты в соответствие с требованиями законодательства России о персональных данных. Иначе ответственности не избежать.

Статья предоставлена КА Coleman Services