С 27 марта 2021 г. ужесточат наказания в области персональных данных

С 27 марта (ФЗ от 24.02.2021 № 19-ФЗ) передавать персональные данные нужно по-новому.

Общедоступных персональных данных больше нет, зато в законе появилось новое понятие — персональные данные, которые сотрудник разрешил к распространению. Чтобы не нарушить порядок не платить штраф, соблюдайте новые правила.

Чтобы передать персональные данные, нужно получить отдельное согласие работника.
В стандартном согласии об обработке персональных данных больше нельзя указывать, что сотрудник не возражает, чтобы его данные работодатель передавал третьим лицам. Для этого теперь нужно отдельное согласие. Более того, в нем должна быть графа, где сотрудник сможет отметить, какую информацию он согласен передавать и куда, а какую нет.

Можно ли использовать персональные данные сотрудников из открытых источников
Раньше сведения, которые сотрудник публиковал на открытой страничке в соцсетях, можно было использовать без его согласия. Например, фотографию из открытых источников взять для пропуска или опубликовать на сайте компании. Считалось, что сведения и так в общем доступе. Значит, в охране уже не нуждаются и их можно хранить у себя или передавать третьим лицам без согласия работника. Теперь за это штрафуют на сумму до 75 000 руб. по части 2 статьи 13.11 КоАП — за передачу данных без отдельного согласия сотрудника. С 27 марта штраф увеличат до 150 000 руб.

За что придется заплатить штраф до 500 000 руб.
Сотрудник теперь вправе указать в согласии на распространение, какие данные он запрещает передавать неограниченному кругу лиц. Если из согласия непонятно, запретил ли сотрудник передавать персональные данные, этот вопрос придется уточнить.
Самовольно передавать персональные данные, которых в согласии нет, нельзя. Кроме того, нельзя передавать информацию о сотруднике, если на ваш запрос об этом он ничего не ответил. Молчание сотрудника не считается его согласием на передачу персональных данных, ч. 5, 8-9 ст. 10.1 ФЗ «О персональных данных».

Как составить согласие на распространение данных
Что указывать в согласии на распространение персональных данных, закон не определяет. Однако это не значит, что его можно оформлять в свободной форме. Требования к документу дополнительно установит Роскомнадзор, ч. 9 ст. 9 ФЗ «О персональных данных».
В проекте требований исчерпывающий перечень персональных данных, включая специальные и биометрические. Если будете разрабатывать форму согласия сами, учтите, что вписывать в него все эти данные нельзя — только те, которые нужны для работы.

С 1 марта согласие на распространение своих данных сотрудник может дать только работодателю напрямую. Согласие можно будет подать также через информационную систему Роскомнадзора. Однако в этой части закон изменят с опозданием. Поэтому оформить согласие на передачу персональных данных через портал сотрудники смогут лишь с 1 июля.
Сотрудник вправе определить, какие данные о себе он не разрешает никому передавать. Но такой запрет не действует, если обязанность передавать информацию устанавливает закон, ч. 11, 15 ст. 10.1 Закона о персональных данных.
Независимо от решения сотрудника, вы должны передавать данные в ПФР, налоговую, военкомат и т. д. Еще одна ситуация — если данные о работнике запрашивают врачи или правоохранительные органы.
Работник не может запретить Вам передавать сведения о себе в таких ситуациях. Поэтому если укажет в согласии, что запрещает такую передачу, запрет проигнорируйте. Но сотруднику лучше об этом сообщите, поскольку он может посчитать, что вы нарушаете его права, и обратиться в суд.

Можно ли издавать общие приказы на несколько сотрудников
Можно, если оформите допуск к персональным данным внутри организации. Унифицированные формы приказов, например, о приеме на работу, командировках, отпусках можно издавать сразу на несколько сотрудников, постановление Госкомстата от 05.01.2004 № 1. Это удобно, когда в организации массовый прием, нужно отправить в командировку или в отпуск группу сотрудников. Но есть проблема. Любая информация о сотруднике — его персональные данные, п. 1 ст. 3 Закона о персональных данных. Чтобы знакомить сотрудников с приказами, которые содержат данные коллег, нужно оформить допуск, ст. 88 ТК.

Как именно это сделать, в законе не указали. Поэтому условия допуска и объем информации, к которой допускаете сотрудников, пропишите в локальных актах, ст.8 ТК РФ. Подойдет формулировка: «Работникам организации (наименование) предоставляется доступ к должностям и Ф. И. О. других работников организации (наименование), а также к информации, которая содержится в унифицированных формах групповых приказов по личному составу в целях ознакомления с ЛНА или подписанием приказов, которые работодатель оформляет на несколько человек». Не забудьте ознакомить работников с документом в новой редакции.

Распространять персональных данные можно до тех пор, пока сотрудник это не запретит
Если сотрудник обратился к Вам с требованием прекратить распространять информацию, которую ранее он в согласии передавать разрешил, немедленно прекращайте. С этого момента его согласие на распространение больше не действует. Учтите, что стандартный месячный срок, как с отзывом согласия на обработку, не действует.

В требовании сотрудник напишет Ф. И. О., номер телефона, адрес электронной почты или почтовый адрес и укажет персональные данные, передавать которые он запрещает. В таком случае вы сможете продолжать их обрабатывать, но не распространять, ч. 12-13 ст. 10.1 ФЗ «О персональных данных».
Сотрудник вправе потребовать, чтобы обрабатывать его персональные данные прекратили не только вы, но и те, кому вы их уже передали, ч. 14 ст. 10.1 Закона о персональных данных. В таком случае объясните работнику, что направить требование третьим лицам он должен лично. Ваша обязанность — предоставить ему данные тех, кто получил от Вас информацию о работнике. Уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно, п. 4 ч. 2 ст. 22 ФЗ «О персональных данных».

Президент подписал от 24.02.2021 №19-ФЗ с поправками об административной ответственности, в частности, за нарушения в области персональных данных и безопасности Рунета. Большинство изменений вступят в силу 27 марта. Рассмотрим некоторые из них.

Нарушения в области персональных данных

Срок давности

За нарушения по ст. 13.11 КоАП РФ станут наказывать в течение года. Сейчас срок давности составляет 3 мес.

Незаконная или нецелевая обработка

За обработку личных данных в незаконных случаях должностных лиц и ИП будут штрафовать на сумму от 10 тыс. до 20 тыс. руб., а компании - от 60 тыс. до 100 тыс. руб. То же по общему правилу коснется обработки вопреки целям сбора такой информации.
Сейчас грозит предупреждение или штраф. Его размеры в 2 раза меньше.
Введут штраф за повторное нарушение:
- для должностных лиц - от 20 тыс. до 50 тыс. руб.;
- ИП - от 50 тыс. до 100 тыс. руб.;
- компаний - от 100 тыс. до 300 тыс. руб.

Нет письменного согласия гражданина

Вдвое увеличат штрафы, например, за обработку персональных данных без письменного согласия гражданина, если оно обязательно. Должностные лица и ИП заплатят от 20 тыс. до 40 тыс. руб., а компании - от 30 тыс. до 150 тыс. руб.
Появится состав о повторном нарушении. Он предусматривает штраф:
- для должностных лиц - от 40 тыс. до 100 тыс. руб.;
- ИП - от 100 тыс. до 300 тыс. руб.;
- компаний - от 300 тыс. до 500 тыс. руб.

Нет доступа к политике обработки

Если не обеспечить неограниченный доступ к политике по обработке персональных данных или к информации о выполняемых требованиях к их защите, то штраф составит:
- для должностных лиц - от 6 тыс. до 12 тыс. руб.;
- ИП - от 10 тыс. до 20 тыс. руб.;
- компаний - от 30 тыс. до 60 тыс. руб.

Сейчас нарушителей предупреждают или штрафуют, но на сумму вдвое меньше.


Документ: Федеральный закон от 24.02.2021 N 19-ФЗ