Основное про защиту персональных данных для работодателя

Кадры

18.04.2025

Основное про защиту персональных данных для работодателя

Многие работодатели до сих пор считают, что защита данных – не более чем формальность, пока не столкнутся с кибератакой или проверкой регуляторов. В 2024 году утекло 1,5 млрд записей персональных данных (ПД), что на 30% больше, чем в 2023 году (данные ЭАЦ ГК InfoWatch), причем в общем объеме зафиксирован рост утечек именно по вине руководства организаций. Рассказываем, как обезопасить бизнес и избежать штрафов.

Команда BIZNESINALOGI

Авторы статей и новостей

просмотров

Последствия утечек в нашей стране не такие катастрофические, как, например, в США. Согласно отчету IBM Security, там в результате утечек 57% респондентов вынуждены повышать цены, чтобы компенсировать убытки от этого происшествия. В России же последствия наступают в виде санкций. Так, руководитель и (или) иное лицо, разгласившее чужие ПД, может быть оштрафовано на сумму до 50 000 руб. или же подвергнуто дисквалификации сроком до трех нет. Штрафы для организаций тоже немаленькие: до 100 000 руб. для малых предприятий, в т.ч. микропредприятий, и до 200 000 руб. для иных юридических лиц (ч. 2 ст. 4.1.2, ст. 13.14 КоАП).

Узнайте, чем опасно небрежное обращение с ПД в интернет-коммерции

Читать

ПД работника – это любая информация о человеке (не только работнике, но и кандидате), полученная работодателем. Это, в частности:

Ф.И.О.;
паспортные данные;
ИНН;
СНИЛС;
номер телефона;
сведения об образовании;
данные о заработной плате, иных доходах и т.д. (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон о ПД).

Данные дактилоскопии (пальцевые отпечатки), цвет радужной оболочки глаз, голос, анализы ДНК, фото, аудио- и видеозаписи – это биометрические ПД. На это указывал, в частности, Роскомнадзор (см. письмо от 10.02.2020 № 08АП-6782).

ПД – это не нечто оторванное от жизни и существующее в футуристических фильмах.

Представим себе, что частный элитный детский сад принимает на работу воспитателя Алену, она представляет целый набор ПД:

резюме, в котором указаны Ф.И.О., адрес, телефон и т.п.;
диплом педагогического университета;
медицинские документы;
фото и т.п.

И вот представим, что в родительском чате родительница утверждает, что в сад нанимают без медицинских осмотров, а администратор чата в качестве доказательства обратного выкладывает фото результатов Алениных свежих анализов. Хорошо, если сотрудница неконфликтная и не станет поднимать шум, но факт тот, что допущено нарушение законодательства о ПД (ст. 13.11 КоАП). Может последовать штраф: для ИП или должностного лица – от 10 000 до 20 000 руб., для юрлица – от 60 000 до 100 000 руб.

Так что любой работодатель – это оператор ПД, т.е. лицо, которое самостоятельно или совместно с другими лицами организует и (или):

осуществляет обработку ПД;
определяет цели обработки;
устанавливает состав ПД, подлежащих обработке;
формирует список операций, совершаемых с ПД (п. 2 ст. 3 Закона о ПД).

Таким образом, ИП и организация – это операторы ПД по отношению к своим сотрудникам и иным физлицам, чьи ПД получает.

Любой работодатель как оператор ПД обязан уведомлять Роскомнадзор о начале обработки ПД работников до того, как начнет эту деятельность (ст. 22 Закона о ПД).

Закон не содержит списка мер, которые надо принимать для защиты ПД работников, но и не ограничивает их. Как правило, предпринимают следующие шаги:

утверждают положение о защите ПД и политику обработки ПД;
назначают лицо, ответственное за обработку ПД, от которого, равно как и от остальных лиц, имеющих доступ к ПД, следует получить обязательство о неразглашении ПД;
всех работников, кандидатов просят дать согласие на обработку ПД. Это может быть как отдельный документ, так и условие трудового договора.

Если работодателю требуется использование биометрических ПД, например фото для пропуска, обязательно необходимо указать их в перечне ПД, на обработку которых человек дает согласие (ст. 11 Закона о ПД). Целесообразно просить согласие на обработку ПД до дня отзыва такого согласия (п. 8 ч. 4 ст. 9 Закона о ПД).

Если ПД работника изменяются, то на основании подтверждающих документов и (или) его заявления необходимо вносить новые данные в личную карточку и иные кадровые документы. Трудовой договор можно не изменять, достаточно оформить дополнительное соглашение.

В трудовую книжку изменения вносятся при изменении таких ПД, как образование, Ф.И.О., дата рождения, сведения об образовании, профессии и т.п. (пп. 7, 8 порядка, утв. приказом Минтруда от 19.05.2021 № 320н).

Без согласия работника его ПД допускается передавать третьим лицам лишь в строго определенных законом случаях (см. ниже), в иных ситуациях надо получать письменное согласие (ст. 88 ТК).

Поговорим о том комплекте документов, который должен быть у любого работодателя, чтобы избежать обвинений в необеспечении защиты ПД работников.

В документах не должно быть ни положений, которые ограничивают права работников, ни положений, которые возлагают на работодателя полномочия и обязанности, не предусмотренные законом (ст. 87 ТК, п. 2 ч. 1 ст. 18.1 Закона о ПД).

Приказ о назначении ответственного лица

Назначьте того, кто будет отвечать за организацию обработки ПД (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона о ПД). Им можно назначить любого сотрудника, который способен выполнять как минимум следующие операции (ч. 4 ст. 22.1 Закона о ПД):

контролировать соблюдение работодателем и работниками законодательства о ПД, в т.ч. требований к защите ПД;
информировать работников о положениях законодательства о ПД, ЛНА, требованиях к защите ПД;
принимать и обрабатывать обращения, запросы работников, иных субъектов ПД или их представителей и (или) организовывать и контролировать эти процессы.

Внимание: это не исчерпывающий перечень того, что должен делать ответственный. В должностные инструкции лиц, ответственных за организацию обработки ПД, включают, в частности, обязанности:

принимать необходимые меры для восстановления нарушенных прав субъектов ПД;
блокировать неправомерно обрабатываемые ПД;
прекращать обработку ПД в соответствии с законодательством РФ;
уведомлять работников и иных субъектов ПД об устранении допущенных нарушений;
проводить оценку вреда, который может быть причинен субъектам ПД допущенным нарушением;
участвовать в рассмотрении проектов ЛНА, решений в сфере своей компетенции и т.п.

Назначьте приказом перечень лиц, отвечающих за обработку ПД работников, определив в нем сферы деятельности, в том числе указав, за обработку каких ПД отвечает каждый. У всех таких лиц следует получить письменное обязательство о неразглашении ПД.

ВС подчеркивал, что ставить вопрос об ответственности работника, который разгласил ПД коллеги, можно, если:

эта информация стала ему известна в связи с исполнением трудовых обязанностей;
он обязался не разглашать такие сведения (п. 43 постановления от 17.03.2004 № 2).

Например, бухгалтер ООО «Ромашка» Людочка хотела разослать в дружеский чат открытку на Первомай, но случайно прикрепила таблицу с предполагаемыми премиями – это как раз распространение ПД сотрудников. Есть все основания уволить Людочку по подп. «в» п. 6 ч. 1 ст. 81 ТК, что остается на усмотрение работодателя.

А вот если из-за Людочкиной рассеянности работодателю пришлось возмещать материальный ущерб и (или) моральный вред пострадавшим, то законно ставить вопрос о привлечении к полной материальной ответственности (п. 7 ч. 1 ст. 243 ТК).

Положение об обработке и защите ПД

ЛНА, регулирующий порядок обработки и защиты ПД, как правило, издается в форме положения и устанавливает, в частности:

цель, порядок и условия обработки ПД;
категории субъектов, ПД которых обрабатываются;
перечни обрабатываемых ПД: Ф.И.О., пол, дата и место рождения, паспортные данные и т.п.;
способы, сроки обработки и хранения ПД;
порядок уничтожения ПД при достижении целей обработки или наступлении иных законных оснований и т.п.

В какие категории можно объединить субъектов ПД? Например:

соискатели, претендующие на должность (работу);
действующие сотрудники;
бывшие сотрудники.

В качестве целей обработки ПД указывают применение, исполнение трудового законодательства в рамках трудовых отношений и иных, непосредственно связанных с ними, например, при:

трудоустройстве;
ведении кадрового, налогового, бухгалтерского учета;
создании условий для получения работниками образования, продвижения по службе;
оформлении поощрений;
предоставлении гарантий, компенсаций и т.п.

Также в положении устанавливаются:

порядок и условия обработки ПД;
способы обработки: неавтоматизированная, автоматизированная, смешанная;
сроки обработки и хранения ПД;
порядок блокирования и уничтожения ПД;
способы защиты ПД;
процедуры, устраняющие последствия утечек, и т.п.;
ответственность за нарушение норм, регулирующих обработку ПД, и т.п.

Политика обработки ПД

Этот документ обязателен для всех работодателей – операторов ПД физических лиц: сотрудников, соискателей, клиентов и других субъектов. Проще всего при составлении такой политики руководствоваться рекомендациями от Роскомнадзора.

В любом случае разработанный и утвержденный документ необходимо разместить в открытом доступе, например, на корпоративном сайте, странице в соцсети, на информационном стенде в офисе и т.п. Главное, чтобы с ним могли ознакомиться работники, соискатели, иные заинтересованные лица.

При сборе данных через интернет (например, через формы на сайте) политика должна быть размещена и доступна на соответствующих страницах (это требования ст. 18.1 Закона о ПД).

Согласие на обработку персональных данных

В большинстве случаев у работников надо получать согласие на обработку их ПД, причем в письменной форме. Целесообразно разработать форму согласия на обработку ПД в зависимости от целей:

на обработку ПД;
на обработку ПД, разрешенных субъектом для распространения;
на передачу его ПД третьей стороне.

В таблице указаны ситуации, когда работодатель не обязан получать согласие на передачу ПД.

Таблица. Когда на передачу ПД не надо спрашивать разрешения

Кому представляются ПД	Норма-обоснование
Третьим лицам – для предупреждения угрозы жизни и здоровью работника	абз. 2 ст. 88 ТК
Соцфонду – для выполнения возложенных на него функций	ст. 22 ТК, п. 2 ст. 12 Федерального закона от 16.07.1999 № 165-ФЗ, ч. 2 ст. 15 Федерального закона от 01.04.1996 № 27-ФЗ, п. 2 ст. 14 Федерального закона от 15.12.2001 № 167-ФЗ
Налоговым органам – для выполнения возложенных на них функций	подп. 1, 2, 4 п. 3 ст. 24 НК, п. 2 ст. 12 Федерального закона от 16.07.1999 № 165-ФЗ
Военным комиссариатам – для выполнения возложенных на них функций	абз. 4 п. 1 ст. 4 Федерального закона от 28.03.1998 № 53-ФЗ, подп. «г» п. 30, подп. «а», «б», «д», «е» п. 32 положения о воинском учете (утв. постановлением Правительства от 27.11.2006 № 719)
Профсоюзам – для контроля соблюдения трудового законодательства работодателем	ст. 370 ТК, п. 1 ст. 17, п. 1 ст. 19 Федерального закона от 12.01.1996 № 10-ФЗ
Прокуратуре – по мотивированному запросу	п. 1 ст. 22 Федерального закона от 17.01.1992 № 2202-1
Правоохранительным органам и органам госбезопасности – по мотивированному требованию	(ст. 6 Федерального закона от 29.07.2004 № 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ, п. «м» ч. 1 ст. 13 Федерального закона от 03.04.1995 № 40-ФЗ
Органам ГИТ – по запросу, при осуществлении ими контрольной деятельности	ст. 357 ТК
Судам – по их запросам	чч. 4–7 ст. 66 АПК, чч. 1, 2 ст. 57 ГПК
В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в т.ч. со смертельным исходом	ст. 228, ст. 228.1 ТК
Гостиницам, транспортным компаниям, билетным агентствам и проч. организациям, которые содействуют в организации командировок	чч. 5–5.2 ст. 11 Федерального закона от 09.02.2007 № 16-ФЗ, п. 13 правил предоставления гостиничных услуг (утв. постановлением Правительства от 18.11.2020 № 1853)

Согласно разъяснениям Роскомнадзора (абз. 10 п. 4 разъяснений), не требуется получать согласие работника на передачу ПД кредитной организации, обслуживающей платежные карты работника, при условии что в договоре о выпуске карт, колдоговоре, ЛНА работодателя предусмотрено это право. Или же работник выдал доверенность на представление своих интересов работодателю.

Поясним на примере, чем может обернуться незнание этого момента. В компании «Пирожок & Ко» сменяется зарплатный банк. А персонал – 100 человек – оформлен по рыбе, которую руководитель скачал когда-то в интернете. Поскольку в этих шаблонах нет фразы о праве работодателя отправлять ПД в банк для выпуска карт (нет таких условий и в ЛНА), то бухгалтер Зинаида сначала будет распечатывать 100 согласий, потом рассаживать 100 человек, которые еще какое-то время будут их заполнять, хотя могли бы в это время продуктивно работать.

Помимо согласий, логично также утвердить и форму отзыва данного согласия на обработку ПД. И вообще, мы привели лишь примеры документов, которые абсолютно точно необходимы для грамотной работы с ПД сотрудников. Работодатели же утверждают те формы, которые им нужны на практике.

Закон ничего не говорит о том, как именно это сделать, только предписывает принимать все необходимые меры (п. 7 ст. 86 ТК, ч. 1 ст. 19 Закона о ПД).

Следует руководствоваться довольно лаконичным положением об особенностях обработки ПД, осуществляемой без использования средств автоматизации (утв. постановлением Правительства от 15.09.2008 № 687), которое предписывает:

отдельно хранить ПД (их материальные носители), которые обрабатываются в различных целях;
создать условия, которые обеспечат сохранность ПД и исключат несанкционированный доступ к ним (какие именно меры – решать оператору ПД).

Что на практике можно сделать:

хранить документы в отдельных помещениях, оптимально в сейфовых комнатах, но в любом случае в помещении, достаточно хорошо защищенном (надежная дверь, сигнализация и т.п.);
организовать раздельное хранение материальных носителей ПД, которые обрабатываются для разных целей;
утвердить список сотрудников, которые имеют доступ в эти помещения.

Документы воинского учета должны храниться в железных шкафах (п. 21 методических рекомендаций по ведению воинского учета в организациях, утв. Генштабом Вооруженных Сил РФ 11.07.2017).

Основное требование такое же: принимать все необходимые меры для защиты ПД (п. 7 ст. 86 ТК, ч. 1 ст. 19 Закона о ПД). Однако есть масса уточнений, которые содержат специфические документы – приказы:

ФСТЭК России от 18.02.2013 № 21;
ФСБ России от 10.07.2014 № 378.

Положения этих приказов неспециалисту понять непросто, не говоря уже о том, чтобы реализовывать их на практике. Разумнее привлечь профессионального исполнителя с лицензией на деятельность по технической защите конфиденциальной информации.

Чтобы определиться с комплексом мер, необходимых для защиты ПД, необходимо сначала:

самостоятельно определить тип угрозы безопасности ПД (п. 7 требований, утв. постановлением Правительства от 01.11.2012 № 1119);
выбрать один из четырех уровней защиты ПД, исходя из определенного типа угрозы (пп. 8–16 указ. требований).

Минимальный уровень защиты ПД – четвертый. Он предполагает принятие следующих мер (п. 13 требований):

обезопасить помещения, в которых размещена информационная система, от неконтролируемого проникновения;
обеспечить сохранность носителей ПД;
защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
издать приказ (распоряжение) с перечнем работников, имеющих доступ к ПД в информационной системе.

Работодатели как операторы ПД обязаны взаимодействовать с ГосСОПКА – это система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России. Прежде всего – уведомлять о компьютерных инцидентах, из-за которых ПД неправомерно переданы (предоставлены, распространены и т.д.) (ч. 12 ст. 19 Закона о ПД), в порядке, утв. приказом ФСБ России от 13.02.2023 № 77.

Неприятное допущение, но предположим, что у работодателя произошла утечка данных сотрудников: например, вирус похитил базу. Не позднее 24 часов после того, как проблема будет обнаружена, следует направить сообщение в Роскомнадзор в порядке, установленном п. 1 ч. 3.1 ст. 21 Закона о ПД. Конкретный алгоритм установлен приказом Роскомнадзора от 14.11.2022 № 187.

Так, потребуется сообщить:

какие конкретно ПД утекли (Ф.И.О., паспортные данные, номера телефонов, емейлы и т.п.);
по каким причинам это произошло (хакерская атака, заражение вирусом и т.п.);
какие меры уже приняты (например, заблокировали доступ к ИС, БД);
кто будет контактным лицом по этому вопросу.

В течение 72 часов потребуется отправить Роскомнадзору второе сообщение, с результатами внутреннего расследования, в котором должны быть отражены:

выявленные причины утечки;
нарушенные права;
выводы о виновности тех или иных лиц;
принятые меры.

Уведомления надо направлять, даже если Роскомнадзор сам обнаружил утечку.

Если Роскомнадзор пришлет требование, то ответить на него нужно за один рабочий день. Если ведомство сочтет представленные сведения неполными и (или) некорректными, то могут быть затребованы недостающие сведения и (или) пояснения, которые надо направить не позднее трех рабочих дней с даты получения запроса.

В заключение напомним, что нарушение законодательства в области ПД может привести работодателя, в частности, к административной ответственности (по ст. 13.11, 13.11.3 КоАП). Например, за обработку ПД без письменного согласия работника (если оно необходимо), исключая случаи, предусмотренные ст. 17.13 КоАП (и если это еще не преступление), штраф составит (ч. 2 ст. 13.11 КоАП):

от 100 000 до 300 000 руб. – для должностных лиц;
от 300 000 до 700 000 руб. – для юрлиц.

Штрафы при повторном нарушении еще более суровы (ч. 2.1 ст. 13.11 КоАП):

от 300 000 до 500 000 руб. – для должностных лиц;
от 500 000 до 1 000 000 руб. – для ИП;
от 1 000 000 до 1 500 000 руб. – для юрлиц.

Это только один пример, на самом деле составов правонарушений гораздо больше. Кроме того, работодатель, нарушив законодательство в области ПД и причинив материальный ущерб и (или) моральный вред работникам, должен будет возместить их (ст. 90, 232, 233, 235, 237 ТК).