Раздается незнакомый звонок и вам что-то предлагают. Ваше негодование понятно: вы не разрешали использовать личные данные. А теперь представьте, что сотрудник спрашивает у вас: «Кому и зачем вы передавали сведения обо мне?»

Тема персональных данных всегда была одной из самых сложных для работодателей. Ответственность за нарушения немаленькая, а что считать такой информацией и как не нарушить закон – непонятно. Поводов для волнений стало намного больше в конце прошлого года с введением новых штрафов. А режим самоизоляции добавил возможных причин для нарушений. Многие будут «выходить» с удаленки постепенно или останутся в режиме дистанционной работы. Как в таком случае направлять-пересылать персональные данные, чтобы не стать нарушителем?

Итак, «течение времени» изменилось 2 декабря 2019 г., когда вступили в силу поправки в ст. 13.11 КоАП РФ о персональных данных. Теперь невыполнение требований о правильном хранении данных приведет к штрафу до 200 тыс. рублей на должностное лицо и от 1 до 6 млн. рублей. А повторное нарушение приведет к штрафу до 800 тыс. рублей – на руководителя и от 6 до 18 млн. рублей – на компанию. Напомню, что раньше максимальный штраф был равен 50 тыс. рублей.

Кроме того, Роскомнадзор придет с проверкой без предупреждения, а поводом для этого может стать жалоба сотрудника или, например, решение руководителя ведомства. Если вспомнить, то и правоприменительная практика не заставила себя ждать: дела со штрафами по 4 млн. рублей против Facebook и Twitter – яркое тому подтверждение.

Но чтобы оценить риски, обратимся к закону. Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» – такими данным является информация, которая относится к определенному физическому лицу. Другими словами, если есть просто имя и фамилия и идентифицировать человека нельзя – это не персональные данные, а вот если указан еще и телефон – то уже надо соблюдать закон. Недаром, в указе мэра Москвы о пропусках была фраза о том, что работодатель должен предоставить численность сотрудников (для получения пропусков) без указания персональных данных.

Оператором таких данных выступает любая компания, которая обрабатывает их и тем более передает. И де-факто каждое действие с такой информацией требует согласия с человеком, причем персонального. Если вы используете список сотрудников для отправки им информации, для начисления зарплаты и т.д. – для каждого действия нужно согласие. Хорошо, если оно было получено раньше и лично. А если в условиях карантина? Либо вводить электронный документооборот, чтобы узаконить корпоративную почту, либо отправлять по почте с возвратом.

А вот чтобы не «нарваться» на миллионные штрафы, вы должны еще раз проверить, где хранятся данные о сотрудниках (тем более, если они – у третьих лиц, хотя и на законных основаниях и с согласия людей). Если за границей – дело сулит неприятности.

Кроме того, надо проверить, какие данные вы собираете, для каких целей и как регламентируете. В конце концов, есть ли “Положение о сборе и обработке персональных данных”, официально утвержденное в компании. Цели должны быть связаны с вашей деятельностью и соответствовать законодательству. Допустим, закон не позволяет просто запустить маркетинговую рассылку. Или может быть незаконной проверка на наличие уголовной ответственности, кредитной истории и т.д.

Но в тупик может привести другая история. Недавно сотрудник одного из наших клиентов прислал в HR-службу запрет на обработку своих данных. Как начислять зарплату и что делать – не ясно. Но спешу успокоить – не все так печально. В этой связи приведу вопрос еще одного сотрудника: «Как вы можете обрабатывать данные, если у вас это не указано в кодах экономической деятельности (ОКВЭД)?». Я это вспомнила к тому, что обработка информации не зависит от ОКВЭД.

Да, каждое новое действие с персональными данными требует «одобрения» человека. И если он отказывается, то необходимо перестать обрабатывать информацию и уничтожить ее. Но не нужно по умолчанию бояться штрафов – согласие надо отнюдь не всегда.

Закон не распространяется на хранение данных для личных нужд (например, в блокнотах), на обработку данных, относящихся к государственной тайне, на работу с информацией, которая относится к публичной деятельности судов.

И еще. Вы в любом случае продолжите обработку данных во исполнение законодательства. Например, если данные нужны налоговому инспектору для исполнения полномочий. Или для выполнения кадровых и бухгалтерских процедур – в частности, начисления зарплаты.

Так или иначе, закон о персональных данных зачастую не относится напрямую к применению ТК РФ. И мы предлагаем воспользоваться рядом основных рекомендаций, чтоб снизить риски:

• Получайте письменное согласие на обработку данных у каждого сотрудника и кандидата.
• Разместите на сайте политику компании в области обработки данных.
• Обрабатывайте персональные данные только для целей, согласие на которые вы получили.
• Блокируйте по требованию работников и компетентных органов неполные/неверные данные.
• Обеспечьте обучение сотрудников правилам работы с персональными данными.

Это позволит вам избежать большого количества проблем и сохранить бюджет фирмы.

Автор: Елена Кожемякина, управляющий партнер юридической фирмы BLS