Памятка бухгалтеру: новые штрафы за ошибки при работе с персональными данными

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» действует уже 10 лет (начало действия первой его редакции – 26.01.2007). Казалось бы, уже можно все процессы обработки персональных данных отладить и жить в правовом поле, но этого во многих компаниях не произошло. По разным причинам некоторые организации не только не отладили процессы обработки персональных данных, но и стали обрабатывать персональные данные граждан без их согласия, а иногда и без их ведома. Законодатель, проведя соответствующий анализ и выявив системные (если не сказать «злостные») нарушения, пришел в данной ситуации выходу – повысить ответственность. Повысили ответственность и физических, и должностных, и юридических лиц (статья 13.11 Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ – далее по тексту КоАП).

Итак, на что же государство обращает наше внимание? Определимся (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных») с терминами: «персональные данные», «оператор» и «обработка персональных данных»:

ПЕРСОНАЛЬНЫЕ ДАННЫЕ (далее по тексту – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Правовое понятие ИНФОРМАЦИЯ как сведения (сообщения, данные) независимо от формы их представления определено пунктом 1 статьи 2 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Данные формулировки позволяют отнести к ПДн все сведения о человеке, в том числе фамилию имя отчество (вместе или по отдельности), фотографию, дату рождения, адрес, телефон, email, ссылку на любой интернет-ресурс с такими сведениями и прочее, прочее, прочее…, что, кстати сказать, было уже однажды использовано в сказке, в которой по одной туфельке была определена одна значимая для принца особа.

ОПЕРАТОР – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Иными словами с точки зрения законодателя: юридическое лицо усилиями должностных лиц как оператор обрабатывает информацию – персональные данные всех физических лиц, с кем данная организация взаимодействует. Взаимодействует как с представителями юридических лиц, так и собственно физическими лицами, используя различные коммуникативные устройства, в том числе устные, письменные, технические, сетевые и проч., а значит, надлежащая организация обработки информации – персональных данных как автоматизированным, так и не автоматизированным способом должна быть обеспечена самим оператором.

Определим перечень персональных данных, обрабатываемых юридическим лицом, в зависимости от основных поводов их получения:

- ПДн граждан, обратившихся в организацию как физические лица;

- ПДн граждан, являющихся работниками организации;

- ПДн граждан, чьи персональные данные обрабатываются организацией в связи с ее взаимоотношениями с другими лицами;

- ПДн граждан, являющихся работниками организаций-контрагентов или контрагентами.

Кому чаще всего и в бОльшем объеме доступна эта информация в организации? Ответ напрашивается сам собой – бухгалтеру организации. Секретарь организации видит только часть сведений, какую-то часть сведений обрабатывает специалист отдела кадров, иные части информации обрабатывают другие работники компании, и никто из перечисленных работников организации не обрабатывает информацию такого объема и перечня как это делает бухгалтер компании. Правовое понимание информации и технологий обработки является первоопределяющим соблюдения бухгалтером законодательства о персональных данных. К сожалению, во многих организациях у бухгалтеров есть необоснованная уверенность в правомочности своих действий… Рассмотрим распространенные иллюзии в обработке вышеназванных персональных данных, чаще всего приводящие к нарушению законодательства.

Иллюзия согласия на обработку ПДн:

Обращение гражданина в организацию с целью получения им работы, услуги, товара или с жалобой, претензией и пр. может создать иллюзию о его согласии на обработку компанией его персональных данных, НО законодатель так не считает. Согласие гражданина – это отдельное по сути обращения волеизъявление, в котором отражен не только перечень ПДн, но и цели обработки, сроки обработки и проч. Лицо, желающее получить услугу, товар; лицо, написавшее в организацию жалобу или обращение; лицо, ищущее работу (т.е. гражданин ЕЩЕ не состоящий в трудовых отношениях, к которому еще не применяется ТК РФ) в организацию (юридическое лицо) может обратиться как устно, так и письменно (с применением различных коммуникационных устройств, в том числе телефона, факса, интернета). И согласие на предоставление гражданином защищаемых государством сведений должно быть получено компанией ДО их предоставления. Обработка персональных данных без согласия субъекта ПДн подпадает не только под пп. 1-4 статьи 13.11 КоАП (сводные данные санкций, установленные данной статьей приведены в табл. 1), но под другие законодательные ограничения, в том числе и ст. 137 Уголовного кодекса Российской Федерации от 13.06.1996 N 63-ФЗ.

Иллюзия правомочности обработки ПДн:

Взаимодействие работодателя и гражданина как действующего работника и наличие трудового договора, в котором содержится согласие гражданина на обработку его ПДн, наличие нормативных локальных актов о персональных данных и технологиях их обработки, а также процедурах архивного хранения, позволяет во многих случаях считать обязанности работодателя по обработке ПДн выполненными. НО на работодателя Трудовым кодексом Российской Федерации от 30.12.2001 N 197-ФЗ накладываются значительные ограничения. Работодатель как сторона трудового договора вправе получать и использовать сведения только от самого работника (статья 86 Трудового кодекса Российской Федерации от 30.12.2001 N 197-ФЗ) и только те сведения, которые характеризуют гражданина как работника, в том числе значительно ограничена при использовании работодателем следующая информация:

- копии личных документов работника (дело N А53-13327/2013, в рамках рассмотрения которого ФАС СКО в Постановлении от 21.04.2014 счел, что хранение работодателем копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка превышает объем обрабатываемых персональных данных работника, является обработкой избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением ч. 5 ст. 5 Закона N 152-ФЗ.);

- изображение человека (фотография и видеозапись), позволяющее установить личность (Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);

- пол, возраст, факты биографии и сведения о предыдущей трудовой деятельности (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.) – как сведения о возможной дискриминации гражданина по их признаку;

- семейное положение, наличие детей, родственные связи – как не подпадающую под регулирование ТК РФ;

- сведения о состоянии здоровья – как врачебная тайна (ст. 13 Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»).

А это значит, что помимо сведений, защищаемых Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и главой 14 Трудового кодекса Российской Федерации» от 30.12.2001 N 197-ФЗ, организации – работодателю следует надлежащим образом обеспечить согласие гражданина на обработку этих сведений и конфиденциальность защищаемой государством информации (в настоящее время законодательно защищается более 60 наименований информации), исполняя принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации (Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Иллюзия санкционированной обработки ПДн:

В связи с трудовыми отношениями в организации обрабатываются персональные данные не только работников, но и иных граждан (не работников), чьи ПДн попадают в организацию в связи с исполнением сторонами трудового договора: например, в личную карточку Т-2 (Постановление Госкомстата РФ от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»), вносятся сведения о супруге работника, его детях, иных членах семьи, и в большинстве случаев делается это без согласия субъекта персональных данных. Интересы несовершеннолетних детей и иных недееспособных граждан представляют их законные представители, а, значит, прежде чем приступать к обработке этих ПДн, следует заручиться согласием на обработку законных представителей. Нарушение компанией требований по защите таких ПДн может повлечь нарушение тайны личной и семейной жизни гражданина, гарантированной ст. 23 Конституции Российской Федерации, что соответственно уже подпадает под действие «Гражданского кодекса Российской Федерации (части первой)» от 30.11.1994 N 51-ФЗ с соответствующими уголовными последствиями в виде штрафа; обязательных, исправительных, принудительных работ; лишения права занимать определенные должности или заниматься определенной деятельностью; арестом либо лишением свободы (ст. 137, Уголовного кодекса Российской Федерации» от 13.06.1996 N 63-ФЗ). Те же меры будут применены к организации, обрабатывающей персональные данные лиц, полученные ею без их согласия, но в рамках выполнения компанией любых договоров (договор между двумя юридическими лицами на поставку товаров, обучение, проведение медицинских осмотров, транспортировку и пр. пр. пр., а также договоры с одним лицом на оказание услуги, реализации продукции и др. в пользу третьего лица). Персональные данные лиц, полученных в ходе преддоговорных, договорных и постдоговорных отношений контрагентов следует обрабатывать «с оглядкой» на выше приведенные ограничения законодательства и обрабатывать ровно столько сведений и столько времени, сколько необходимо для реализации соответствующих договорных обязательств.

Подводя итоги сказанного, можно утверждать, что в настоящее время правовое применение понятия «ИНФОРМАЦИЯ» (информация – сведения (сообщения, данные) независимо от формы их представления – ст. 2, Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации») обязывает каждого оператора персональных данных пересмотреть свои технологии работы с информацией; произвести однократное полное системное документирование компанией перемещения каждого вида информации в каждой информационной системе в каждом временном периоде, а иначе визиты «регуляторов» персональных данных:

Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомандзор) России;

Федеральной службы по техническому и экспортному контролю (ФСТЭК) России;

Федеральной службы безопасности (ФСБ) России;

и др., со своими полномочиями и особенностями правого обеспечения соблюдения законодательства будут обеспечены.

Возможно, вам будут интересны эти темы:

Может ли учредитель компании заключать трудовые договоры с работниками?

23
17.06.2019

Действующее законодательство не предоставляет право единственному участнику, не являющемуся...

Изменения по онлайн-кассам: к чему готовиться?

8811.06.2019

С июля закончится отсрочка по контрольно-кассовой технике для ряда операций.

- 68702
Постановление Правительства РФ от 03.06.2019 N 711 "О внесении изменений в пункт 4(1) Положения о Правительственной комиссии по контролю за осуществле...

Уточнен порядок действий ФАС России при получении информации о сделке, предположительно требующей согласования с Правительственной комиссией по контролю за осуществлением иностранн...
Российское законодательство
- 68702
Постановление Правительства РФ от 08.06.2019 N 745 "Об утверждении Правил размещения заявлений правообладателей о предоставлении любым лицам возможнос...

Правообладатель может разрешить бесплатно использовать свое произведение или объект смежных прав на определенных им условиях, разместив соответствующее заявление на сайте Минкуль...
Российское законодательство

Подпишитесь на рассылку

Мы ежедневно анализируем законодательство и отбираем документы, необходимые в работе бухгалтеров, юристов, кадровиков и руководителей. Выберете те рассылки, которые будут полезны вам.
Подписаться
наверх
Обратная связь