В связи с ростом криминального интереса к данным граждан защита персональных данных (далее по тексту – ПД) приобретает особое значение, что находит отражение и в изменениях законодательства.
В частности, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" был изменен в 2020 году пять раз, и очередная новация вступила в силу 1 марта 2021 года.
В статье рассмотрим два значимых изменения 2020 года, касающихся трудовых отношений и имеющих действующий юридический статус.
Несанкционированный доступ к персональным данным – какие пробелы исправить работодателю
Федеральный закон от 30.12.2020 N 515-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности" изменил 29 декабря 2020 года пункт 6 части 2 статьи 19. Оператора персональных данных, т.е. работодателя и его полномочные лица (в частности: кадровиков, бухгалтеров, системных администраторов), обязали обратить особое внимание на факты несанкционированного доступа к персональным данным и принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также меры по реагированию на инциденты в них.
Многие работодатели это делали, делают и будут делать без напоминания регулятора, но это новшество обязывает обратить внимание на:
- технологии обнаружения несанкционированного доступа,
- поведение работников, привыкших «делиться» данными своей учетной записи с соседями по кабинету, по трудовой функции,
- элементарные сообщения специализированных программ (наличие таковых) и документирование их отработки,
К сожалению, перечисленное является бытовым, привычным проявлением несанкционированного доступа к персональным данным, повсеместно распространенным, с которым бороться сложно. Но новшество касается именно этих «дыр» в политике обработки данных работодателем, в информационной безопасности персональных данных юридического лица.
Для анализа фактического состояния дел можно обратиться к "ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения" (утв. и введен в действие Приказом Ростехрегулирования от 27.12.2006 N 373-ст), который содержит принципы обеспечения сохранности данных.
Персональные данные, разрешенные работником для распространения
Вторым новшеством, которое касается некоторых работодателей, можно назвать введение Федеральным законом от 30.12.2020 N 519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" нового правового понятия: «Персональные данные, разрешенные субъектом персональных данных для распространения». Это понятие расширило перечень специальных категорий ПД, установленных статьей 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
Специальной категорией ПД являются персональные данные, разрешенные субъектом персональных данных для распространения, какими считаются данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством о ПД.
Доступом считается возможность получения информации и ее использования (пункт 6 части первой статьи 2 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации").
Немногие работодатели предоставляют неограниченному кругу лиц доступ к своей информации, доступ к ПД работников. Соответственно, немногие работодатели должны актуализировать свою деятельность, свои локальные акты, приводя их в соответствие с обновлениями, вступившими в силу 1 марта текущего года.
Те же работодатели, которые предоставляют доступ к ПД работников неограниченному кругу лиц, должны получить согласие субъекта ПД, к содержанию которого будут установлены единые требования.
Данные требования устанавливаются уполномоченным органом по защите прав субъектов персональных данных. В настоящий момент единые требования проходят общественные обсуждения в отношении текста проекта нормативного правового акта и независимую антикоррупционную экспертизу (https://regulation.gov.ru/projects#npa=112660).
Обратите внимание, что работодателям нужно будет актуализировать локальные акты после утверждения единых требований к содержанию согласия на обработку персональных данных, разрешенных их субъектом для распространения.
Кстати сказать, пунктом 2 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" работодателю как оператору ПД позволено осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных во многих случаях отношений работник – работодатель. В том числе и в случае наличия разрешенных субъектом персональных данных ПД для распространения.
Названные два из пяти изменений 2020 года Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" являются улучшением, защитой прав работника. Новшества обязывают работодателя актуализировать локальные акты. Согласно статье 12 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ в случаях, когда вступает в силу закон, устанавливающий более высокий уровень гарантий работникам по сравнению с установленным локальным нормативным актом, локальный акт или его часть просто прекращают свое действие. Именно поэтому следует обратить внимание на текст положения о защите персональных актов и привести его в соответствие с действующим законодательством.
Тем более, что 27.03.2021 актуализированы нормы Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ, усугубляющие ответственность оператора персональных данных, ответственность должностных лиц, принимающих участие в процедурах обработки ПД.
В частности, новации статьи 13.11 КоАП за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных предусматривает наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей, с увеличением величины штрафа за повторность.
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть, влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц - от двадцати тысяч до сорока тысяч рублей; на юридических лиц - от тридцати тысяч до ста пятидесяти тысяч рублей. И это не предел.
Совокупная информация об ответственности в сфере персональных данных приведена в материалах СПС «КонсультантПлюс», например, в Готовом решении: Какие штрафы и иные административные наказания могут назначить в связи с осуществлением контроля и надзора в сфере персональных данных.
Образовательное мероприятие по теме
Семинар в записи "Защита персональных данных. Правовые и организационные вопросы "
Лектор: Наталия Юрьевна Неверовская, управляющий партнер Unicomlegal Russia, Санкт-Петербургское отделение. Судья Полномочного международного экономического суда при Ленинградской областной ТПП, а также третейский судья при Санкт-Петербургской Торгово-Промышленной Палате