Персональные данные – самая опасная тема для работодателей, т.к. штрафы за серьезные нарушения могут измеряться миллионами рублей. При этом в соответствии с законом в компании должен быть назначен работник, который отвечает за работу с персданными. Более того, на такую роль часто назначают «специалиста по информационной безопасности» - именно за безопасность информации. Кто его назначает и какая у него ответственность?
Сотрудника, ответственного за обеспечение персональных данных, назначают приказом генерального директора. Такого работника наделяют полномочиями по созданию системы защиты персданных и обеспечению ее работы, организации защиты информации и взаимодействию с надзорными органами. Также он должен проверять и расследовать инциденты в области информационной безопасности и контролировать соответствие защиты данных.
Законодательных стандартов к квалификации и опыту такого сотрудника нет: им могут назначить любого работника. Но на практике таким назначают представителя HR-cлужбы или IT-департамента. Еще лучше для качества работы – если у него релевантный опыт или обучение. Но этот сотрудник ведет в т.ч. организационно-распорядительные функции – т.е. полномочия по осуществлению руководства в данном вопросе, то он является должностным лицом компании. и его могут привлечь к административной ответственности за нарушения в сфере персональных данных.
В частности, его могут оштрафовать за следующие нарушения:
· Обработка персональных данных, когда она не предусмотрена законом и в целях, не совместимых с целями сбора. Штраф за такое нарушение – до 20 тыс. рублей, повторное – до 50 тыс. рублей
· Обработка данных без согласия человека, когда оно требуется, или в согласии неполные сведения. Штраф составляет до 300 тыс. рублей, повторное нарушение – до 500 тыс. рублей
· Невыполнение требований по обеспечению сохранности данных, если из-за этого произойдет неправомерный или случайный доступ к данным, их уничтожение, изменение, копирование и т.д. Сотрудника накажут штрафом до 20 тыс. рублей
· Обработка данных без использования баз данных, находящихся в России (без локализации на сервере в России). Штраф составляет до 200 тыс. рублей, повторно – до 800 тыс. рублей.
Наказания указаны в ст.13.11 КоАП РФ. Они фиксируют, что сотрудник лично несет ответственность за нарушение закона в области персданных. А диапазон штрафов - от 8 тыс. до 800 тыс. рублей.
В судебной практике также встречаются случаи такой ответственности, хотя таких дел немного. Так, в одном кейсе сотрудника оштрафовали на 100 тыс. рублей за нарушение локализации данных на сервере в России, база данных с контактами работников находилась за пределами нашей страны (Решение Фрунзенского районного суда города Санкт-Петербурга от 01.03.2022 по делу № 12-227/2022). В другом деле специалиста наказали за то, что он не обеспечил безопасность данных для ограничения доступа к документам, из-за чего произошла их утечка (Постановление Самарского областного суда от 14.06.2017 № 4а-638/2017).
В любом случае нарушения чреваты серьезным наказанием – как для ответственного лица, так и для работодателя, поэтому вопросы персональных данных надо ставить на первый план, проверить и подготовить все необходимые меры и документы.
