Поправки в закон о защите персональных данных: последствия для бизнеса

И что нужно делать, чтобы соответствовать новым требованиям

Федеральный закон от 27.07.2006 «О персональных данных» действует в России более 10 лет, но белых пятен в нем достаточно. Многие до сих пор соблюдают закон частично, если вообще соблюдают: трудно, дорого и непонятно. Вспомните, давно ли вы давали согласие кому-либо на обработку своих данных, даже в своей компании? Возможно, вообще не давали. Но государство не дремлет: в феврале был принят федеральный закон от 7.02.2017 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Принят он зимой, как часто бывает, тревоги начались ближе к дню икс – 1 июля. С этой даты все стало иначе: штрафы больше, больше видов нарушений, и не только.

Вопросы о персональных данных не относятся напрямую к применению трудового законодательства. Но с ними мы сталкиваемся ежедневно, обрабатывая информацию о сотрудниках, потому день икс коснется каждой компании. Например, можно ли передавать информацию о сотрудниках в головной офис за границей или даже внутри страны, где должна находиться база данных о работниках, какую информацию можно искать о кандидате?

Первого июля 2017 г. административная ответственность за нарушение законодательства в области персональных данных повысились в несколько раз. Максимальный штраф для юридических лиц составит 75 000 руб. вместо 10 000 руб. в настоящий момент. Именно это следует из текста закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Еще одно неприятное нововведение: теперь будет семь видов правонарушений вместо одного. И каждое может наказываться отдельно.

Прежде всего это незаконная обработка данных. Если обработка не предусмотрена законом или не соответствует целям сбора информации, штраф составит до 50 000 руб. Типичный случай: данные о сотрудниках переданы сторонним организациям в рекламных целях. Следующее нарушение – обработка без письменного согласия сотрудников. Оно необходимо в любой соответствующей ситуации, а упущение чревато штрафом в размере до 75 000 руб. Третий пункт списка – доступ к информации о политике компании в области обработки персональных данных. Проще всего этот документ опубликовать на корпоративном сайте, однако закон не ограничивает способы, и это могут быть, например, информационные стенды в компании и т. п. Несоблюдение этого требования может обернуться штрафом до 30 000 руб.

Следующее нарушение – сокрытие данных. Физическое лицо имеет право запросить и получить информацию, касающуюся обработки его персональных данных. Невыполнение этого обязательства грозит штрафом в размере до 40 000 руб. Также в отдельный вид выведена корректировка данных. В соответствии со ст. 21 закона «О персональных данных» иногда компания обязана уточнять, блокировать или уничтожать данные о физических лицах. Например, при неполной или устаревшей информации. И важно не просто выполнить требование, но и соблюсти срок. Нарушение чревато штрафом до 45 000 руб. Кроме того, компания обязана обеспечить сохранность персональных данных. Если кто-то получил доступ к информации, например скопировал или уничтожил ее, вы рискуете заплатить штраф в размере до 50 000 руб.

Еще один вид нарушений касается только государственных и муниципальных органов. Речь идет об обезличивании данных при обработке и обязанности в дальнейшем публиковать информацию, в частности копии судебных решений.

С 1 июля 2017 г. изменяется и подведомственность дел при нарушении закона «О персональных данных». Если ранее дела мог возбудить только прокурор, то теперь протоколы об административных правонарушениях будут составлять в первую очередь должностные лица Роскомнадзора. Выводы делать рано, но, вероятно, нарушителей станет много больше.

Ситуаций, при которых компания может столкнуться с действием данных поправок, достаточно. Например, если штаб-квартира компании находится за рубежом и, создавая единую базу данных, просит предоставить информацию о сотрудниках. Но чаще всего с требованиями придется столкнуться при поиске кандидатов на имеющиеся в компании вакансии. Обычно в такой ситуации работодатели собирают резюме, а между тем в соответствии с законом эта информация является персональными данными. Чтобы хранить их в электронном или бумажном виде и тем более проверять сведения, надо получать согласие самого кандидата. И если такого согласия нет – даже озвученного по телефону или при собеседовании, – информацию из резюме надо удалять. Вопросы материального состояния и финансовых обязательств тоже являются персональными данными. В то же время компания может получить отзыв или характеристику человека с прошлого места работы, так как это является субъективной оценкой личности, а не персонифицированной информацией.

Во многих компаниях защита персональных данных не относится напрямую к применению трудового законодательства. Но я могу озвучить несколько базовых рекомендаций. Я советую всегда получать письменное согласие на обработку персональных данных у каждого сотрудника и кандидата. И обязательно опубликуйте на сайте или разместите в общем доступе политику компании в области обработки персональных данных. Имеющиеся данные обрабатывайте только для тех целей, согласие на которые вы получили. А если с запросом обратился сотрудник, сообщите ему, какая информация о нем у вас есть, что вы с ней делаете и как защищаете. Конечно же, неверные или неполные сведения надо корректировать или удалять по первому требованию. И наконец, правильным шагом будет провести обучение сотрудников основам работы с персональными данными.

Автор – управляющий партнер юридической фирмы BLS