24 апр 2017, 11:22

Накажут персонально

Сегодня поговорим об изменениях в Кодексе об административных правонарушениях, которые ждут нас с 1 июля 2017 года. К ним надо обязательно подготовиться, так как они создают серьезную зону риска.

Речь идет об ужесточении административных санкций в части нарушения законодательства о персональных данных.

Что такое персональные данные и какие базовые требования установлены 152-м федеральным законом и статьями 86, 88 ТК, вы и сами знаете. Моя задача — объяснить, что конкретно изменится в порядке проведения инспекционных проверок.

Сначала — об инспекционном органе. Персональные данные работников может проверять инспекция труда, потому что отдельная глава посвящена персональным данным в Трудовом кодексе. Но по практике могу сказать, что инспекция труда крайне редко смотрит персональные данные. Обычно это бывает, если работник пожалуется на нарушения, связанные с его персональными данными. Как правило, проверяет специализированный инспекционный орган — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Так вот, с 1 июля основная статья 13.11 КоАП РФ претерпевает серьезные изменения. Они очень похожи на те, что мы с вами переживали в прошлом году в трудовом законодательстве.

Если помните, у нас раньше была короткая статья 5.27 — административные штрафы 30—-50 тысяч рублей, которые применялись по совокупности. Сейчас появилось очень много отдельных оснований, по которым установлены свои административные штрафы. Из-за этого инспекционная практика в части трудового законодательства привела к тому, что штрафы составляют порой несколько миллионов. Пока самый максимальный штраф, который я лично видела, — 25 миллионов рублей. От знакомого бизнесмена слышала о штрафе в 80 миллионов рублей. Как вы понимаете, суммы гигантские.

До 1 июля у нас есть немного времени, чтобы разобраться. Настоятельно рекомендую вам посмотреть статью 13.11 КоАП — то, как она будет выглядеть с 1 июля 2017 года (эти изменения были приняты в феврале 2017 года, но вступают в действие с июля).

Коротко скажу, на что нужно обязательно обратить внимание.

По основаниям, которые этой статьей вынесены в отдельные нарушения (я их называю «спецсоставом»), возникает зона риска — когда Роскомнадзор при проверке применит административный штраф по отношению к каждому нарушению. В этой ситуации при одном и том же нарушении суммарный штраф получается серьезный.

Например, в этой статье пункт первый посвящен общим нарушениям. А с пункта второго начинается как раз отдельно выделенный «спецсостав». Он посвящен обработке персональных данных без согласия в письменной форме субъекта на обработку его персональных данных. (Когда согласие должно браться?)

По самой форме письменного согласия субъекта замечания есть практически всегда: мы некорректно ее составляем. Элементарный критерий: какой объем у вас занимает согласие вашего работника на обработку персональных данных? Если следовать всем требованиям статьи, согласие получается достаточно громоздкое. В нем необходимо прописывать, какие конкретно персональные данные работник передает для обработки, для каких целей он их передает, какие действия он разрешает осуществлять с этими данными. У многих работодателей написано согласие без конкретизации. Просто «разрешаю обрабатывать, разрешаю передавать». Это теперь будет нарушением.

Другое нарушение: согласие формально берется, но обработка осуществляется в гораздо большем объеме. Например, в согласии не указана обработка информации о несовершеннолетних детях, а работодатель продолжает в карточке Т2 эту информацию заполнять.

За такие нарушения в рамках новой административной статьи 13.11 предусмотрен штраф от 15 до 75 тысяч рублей на юридическое лицо. Представьте, что нарушение будет массовым и не по одному, а по ста работникам. При таком количестве сотрудников размеры штрафов миллионные.

Пункт 3 этой статьи в новой редакции предусматривает ответственность работодателя, если он нарушил требование по опубликованию документа (либо обеспечению иным образом неограниченного доступа к документу), который определяет работу с персональными данными.

Поясню. По 152-ФЗ, работодатель обязан обеспечить неограниченному количеству людей доступ к положению о защите персональных данных (поэтому идеальным вариантом является сайт компании). И если этого положения в открытом виде нет, то последует наказание, согласно пункту 3 новой статьи. Радует, что это нарушение не может быть массовым: положение о защите персональных данных либо есть на сайте, либо его нет.

Пункт 4 предусматривает ответственность, если работодатель как оператор не выполнил обязанность по предоставлению информации об обработке персональных данных работника.

Это нарушение тоже вряд ли будет массовым, его будут выявлять чаще всего при жалобах работников — например, если работник обратился с просьбой предоставить ему данные, а работодатель этого не сделал.

Пункт 5 тоже критичен для работодателя: невыполнение в сроки, установленные по требованию субъекта, изменений, уточнений, блокирования либо уничтожения его данных. Например, работник требует, чтобы вы прекратили обработку его персональных данных, требует их изменения, у работодателя (обратите внимание!) истек срок обработки персональных данных, а он продолжает обработку — будут санкции, установленные в виде отдельного «спецсостава» (от 25 до 45 тыс. рублей).

По пункту «6» нарушением является обработка данных без использования средств автоматизации — бумажные формы документов, если к ним есть несанкционированный доступ, при условии, что это повлекло какое-то изменение данных, распространение и т.д. Например, у вас стоит папка в шкафу, шкаф открыт, и оттуда пропало личное дело сотрудника либо иные документы. В данной ситуации это будет отдельный «спецсостав» по бумажным формам документов.

Пункт 7 касается государственных и муниципальных органов.

В этой небольшой заметке моя задача — привлечь внимание к тому, что с 1 июля ваша зона финансового риска при проведении инспекционной проверки выросла в геометрической прогрессии. Поэтому главное на сегодняшний момент — проверить, защищен ли работодатель в вопросе организации работы с персональными данными.

Действия по персональным данным всегда громоздкие. Если согласия на переработку персональных данных оформлены некорректно, вам необходимо срочно выполнить требования, проверить порядок хранения. Неготовность к инспекционным проверкам приводит к тяжелым ситуациям, в том числе связанным с вашей репутацией, карьерой. Генеральному директору не понравятся существенные штрафы, связанные с некорректной работой HR-службы.

Обратите, пожалуйста, внимание на предстоящие изменения.


3 5
24 840
20 комментариев
30 апр 2017, 23:45
New
Комментарий удален модератором
0 0
5 мая 2017, 20:10
New
Комментарий удален модератором
0 0
5 мая 2017, 21:27
New
Из Ваших уст прикольно слушать
А почему глупость?
2 0
7 мая 2017, 19:19
New
Комментарий удален модератором
0 2
8 мая 2017, 11:35
New
Читая Вас мда, всегда вспоминаю великого комбинатора и его слова:
"Слушай меня, жертва аборта!":)))))))
3 0
8 мая 2017, 11:54
New
У меня хоть один ник,а у Вас несколько как у человека с комплексами не уверенного в себе человека. Нетрудно определить по комментариям человека оканчивавшего 3 класса приходской школы.
Хорошо хоть книги начали читать услышали хоть меня.
0 3
8 мая 2017, 19:05
New
Ну и де бил!
0 0
9 мая 2017, 10:05
New
Комментарий удален модератором
0 2
9 мая 2017, 10:12
New
Комментарий удален модератором
0 2
8 мая 2017, 19:04
New
ничё не поняла
0 0
10 мая 2017, 12:49
New
Что-то Вы в последнее время разошлись..

Офф: к статьям автора такие комментарии показательные, невзирая на тему и раскрытие.)
0 0
9 мая 2017, 16:23
New
Комментарий удален модератором
0 0
10 мая 2017, 22:07
New
Комментарий удален модератором
0 0
11 мая 2017, 13:49
New
Очередное запугивание. Хотя приходят в голову мысли: а не ввести ли новую должность - специалист по работе с персональными данными?....
2 0
11 мая 2017, 16:55
New
Тут Валентина, увы права! Очень серьезный вопрос. И не важно, придет к вам Роскомнадзор или нет...
1 0
13 мая 2017, 14:04
New
Спасибо за содержательность статьи и советы по существу. Есть вопрос. Если я правильно поняла, необходимо изменить-дополнить Согласие на обработку персональных данных, т.е. вместо общих фраз "разрешаю, согласен" теперь подробно прописываем все данные, что запрашиваем у сотрудника, а так же цели, т.е. для чего мы эти данные берем.
Данное Согласие мы берем при приёме на работу, а как быть с теми, кто уже работает? Работающие сотрудники должны переписывать Согласие по-новой, или закон не имеет обратной силы? Спасибо заранее.
0 0
14 мая 2017, 16:47
New
Если мне не изменяет память, в 152-ФЗ уже давно было прописано, что в согласии необходимо четко указывать какие данные собираются и для каких целей. Другое дело что относились к этому формально, отписываясь общими фразами...
0 0
14 мая 2017, 14:03
New
Комментарий удален модератором
0 0
14 мая 2017, 17:18
New
Ничего нового. Как говорится, закон суров, но это закон. И его надо соблюдать четко, а не формально, отделываясь маловнятными бумажками с общими фразами.
Жаль только, что сама система защиты персональных данных работает дыряво. Она не гарантирует, что какой-нибудь кадровик не сольет твои данные налево - в какой-либо частный ПФ или фин.консультантам, которые будут названивать и впаривать свои "выгодные" предложения, или просто воспользуется в своих интересах. Жаль, что суровость закона никак не накажет (а лучше посадит) главврача районной поликлинике, где постоянно теряются медицинские карты или они вообще лежат около закрытого окна регистратуры. А эти данные относятся между прочим к первой категории...
2 0
15 мая 2017, 15:58
New
А у меня еще возник вопрос по соискателям из ЦЗН, они приходят с направлениями, где уже указаны их обработанные ПД, с них тоже собирать эти согласия на ОПД?
0 0