Сегодня поговорим об изменениях в Кодексе об административных правонарушениях, которые ждут нас с 1 июля 2017 года. К ним надо обязательно подготовиться, так как они создают серьезную зону риска.
Речь идет об ужесточении административных санкций в части нарушения законодательства о персональных данных.
Что такое персональные данные и какие базовые требования установлены 152-м федеральным законом и статьями 86, 88 ТК, вы и сами знаете. Моя задача — объяснить, что конкретно изменится в порядке проведения инспекционных проверок.
Сначала — об инспекционном органе. Персональные данные работников может проверять инспекция труда, потому что отдельная глава посвящена персональным данным в Трудовом кодексе. Но по практике могу сказать, что инспекция труда крайне редко смотрит персональные данные. Обычно это бывает, если работник пожалуется на нарушения, связанные с его персональными данными. Как правило, проверяет специализированный инспекционный орган — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Так вот, с 1 июля основная статья 13.11 КоАП РФ претерпевает серьезные изменения. Они очень похожи на те, что мы с вами переживали в прошлом году в трудовом законодательстве.
Если помните, у нас раньше была короткая статья 5.27 — административные штрафы 30—-50 тысяч рублей, которые применялись по совокупности. Сейчас появилось очень много отдельных оснований, по которым установлены свои административные штрафы. Из-за этого инспекционная практика в части трудового законодательства привела к тому, что штрафы составляют порой несколько миллионов. Пока самый максимальный штраф, который я лично видела, — 25 миллионов рублей. От знакомого бизнесмена слышала о штрафе в 80 миллионов рублей. Как вы понимаете, суммы гигантские.
До 1 июля у нас есть немного времени, чтобы разобраться. Настоятельно рекомендую вам посмотреть статью 13.11 КоАП — то, как она будет выглядеть с 1 июля 2017 года (эти изменения были приняты в феврале 2017 года, но вступают в действие с июля).
Коротко скажу, на что нужно обязательно обратить внимание.
По основаниям, которые этой статьей вынесены в отдельные нарушения (я их называю «спецсоставом»), возникает зона риска — когда Роскомнадзор при проверке применит административный штраф по отношению к каждому нарушению. В этой ситуации при одном и том же нарушении суммарный штраф получается серьезный.
Например, в этой статье пункт первый посвящен общим нарушениям. А с пункта второго начинается как раз отдельно выделенный «спецсостав». Он посвящен обработке персональных данных без согласия в письменной форме субъекта на обработку его персональных данных. (Когда согласие должно браться?)
По самой форме письменного согласия субъекта замечания есть практически всегда: мы некорректно ее составляем. Элементарный критерий: какой объем у вас занимает согласие вашего работника на обработку персональных данных? Если следовать всем требованиям статьи, согласие получается достаточно громоздкое. В нем необходимо прописывать, какие конкретно персональные данные работник передает для обработки, для каких целей он их передает, какие действия он разрешает осуществлять с этими данными. У многих работодателей написано согласие без конкретизации. Просто «разрешаю обрабатывать, разрешаю передавать». Это теперь будет нарушением.
Другое нарушение: согласие формально берется, но обработка осуществляется в гораздо большем объеме. Например, в согласии не указана обработка информации о несовершеннолетних детях, а работодатель продолжает в карточке Т2 эту информацию заполнять.
За такие нарушения в рамках новой административной статьи 13.11 предусмотрен штраф от 15 до 75 тысяч рублей на юридическое лицо. Представьте, что нарушение будет массовым и не по одному, а по ста работникам. При таком количестве сотрудников размеры штрафов миллионные.
Пункт 3 этой статьи в новой редакции предусматривает ответственность работодателя, если он нарушил требование по опубликованию документа (либо обеспечению иным образом неограниченного доступа к документу), который определяет работу с персональными данными.
Поясню. По 152-ФЗ, работодатель обязан обеспечить неограниченному количеству людей доступ к положению о защите персональных данных (поэтому идеальным вариантом является сайт компании). И если этого положения в открытом виде нет, то последует наказание, согласно пункту 3 новой статьи. Радует, что это нарушение не может быть массовым: положение о защите персональных данных либо есть на сайте, либо его нет.
Пункт 4 предусматривает ответственность, если работодатель как оператор не выполнил обязанность по предоставлению информации об обработке персональных данных работника.
Это нарушение тоже вряд ли будет массовым, его будут выявлять чаще всего при жалобах работников — например, если работник обратился с просьбой предоставить ему данные, а работодатель этого не сделал.
Пункт 5 тоже критичен для работодателя: невыполнение в сроки, установленные по требованию субъекта, изменений, уточнений, блокирования либо уничтожения его данных. Например, работник требует, чтобы вы прекратили обработку его персональных данных, требует их изменения, у работодателя (обратите внимание!) истек срок обработки персональных данных, а он продолжает обработку — будут санкции, установленные в виде отдельного «спецсостава» (от 25 до 45 тыс. рублей).
По пункту «6» нарушением является обработка данных без использования средств автоматизации — бумажные формы документов, если к ним есть несанкционированный доступ, при условии, что это повлекло какое-то изменение данных, распространение и т.д. Например, у вас стоит папка в шкафу, шкаф открыт, и оттуда пропало личное дело сотрудника либо иные документы. В данной ситуации это будет отдельный «спецсостав» по бумажным формам документов.
Пункт 7 касается государственных и муниципальных органов.
В этой небольшой заметке моя задача — привлечь внимание к тому, что с 1 июля ваша зона финансового риска при проведении инспекционной проверки выросла в геометрической прогрессии. Поэтому главное на сегодняшний момент — проверить, защищен ли работодатель в вопросе организации работы с персональными данными.
Действия по персональным данным всегда громоздкие. Если согласия на переработку персональных данных оформлены некорректно, вам необходимо срочно выполнить требования, проверить порядок хранения. Неготовность к инспекционным проверкам приводит к тяжелым ситуациям, в том числе связанным с вашей репутацией, карьерой. Генеральному директору не понравятся существенные штрафы, связанные с некорректной работой HR-службы.
Обратите, пожалуйста, внимание на предстоящие изменения.