Защита персональных данных – изменения в законе и новые штрафы

05.04.2021

С 1 марта 2021 года вступил в силу закон № 519-ФЗ от 30.12.2020 «О внесении изменений в Федеральный закон "О персональных данных"». Одно из главных изменений – новое понятие «персональные данные, разрешенные субъектом персональных данных для распространения». В соответствии с нововведениями согласие на обработку таких персональных данных оформляется особым образом и отдельно от иных согласий. В законе впервые регламентирован и отзыв согласия.

С 27 марта введены новые штрафы за нарушения в области персональных данных – вступили в силу поправки в КоАП РФ (Федеральный закон от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»). Они вдвое увеличили штрафы за обработку персональных данных без письменного согласия гражданина. Теперь должностные лица и ИП, уличенные в нарушениях, заплатят до 40 тыс. руб., а организации – до 150 тыс.  руб. Введены штрафы и за повторные нарушения. Вдвое (до 60 тыс.  руб. для организаций) увеличен штраф в случае, когда не обеспечен неограниченный доступ к политике по обработке персональных данных или к информации о выполняемых требованиях к их защите.

Понятие персональных данных и обращение с ними регулирует Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных». Обработка персональных данных работников – это любые действия с такими данными: сбор, хранение в бумажном и электронном виде, систематизация, уточнение, передача.

В ст.  3 Закона № 152-ФЗ определено понятие оператора (персональных данных). Это лицо, которое организует и осуществляет обработку персональных данных. Поэтому любой работодатель – юридическое лицо и ИП – являются оператором персональных данных по умолчанию.

Требования к обработке определены законом. Их достаточно много – обратите внимание на существенные:

  • обрабатывайте персональные данные только с определенными целями – помочь работнику трудоустроиться, обеспечить его безопасность, соблюсти безопасность и меры по охране труда. Цели укажите в локальном нормативном акте – Положении о  (защите) персональных данных работников;
  • берите персональные данные у самого работника. Для получения таких данных у третьих лиц требуется согласие самого работника (оформите его в письменном виде). Сделайте это, если планируете запрашивать сведения о кандидате у прежних работодателей;
  • используйте фото работников (даже для доски почета) только после получения письменного согласия сотрудника.

Организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников с учетом всех требований законодательства (ст. 87 ТК РФ). Этот порядок устанавливается во внутреннем Положении о персональных данных работников, утвержденном приказом руководителя. А работники должны быть под подпись ознакомлены с порядком обработки персональных данных, правами и обязанностями обеих сторон в этой области. (п. 8 ст. 86 ТК РФ). Отсутствие такого положения является грубым нарушением, за которое предусмотрен штраф по ст. 13.11 КоАП РФ, увеличенный вдвое с 27 марта 2021 года.

Вы можете бесплатно получить консультацию эксперта по теме статьи

Вы можете бесплатно открыть доступ к Системе КонсультантПлюс