Коротко и ясно с Трудовой практикой. HR & DIGITAL (Выпуск №21)
12 сентября 2024Минцифры расширило перечень индикаторов риска нарушений в сфере персональных данных («ПДн»)
Ведомство опубликовало Приказ от 01 августа 2024 г. № 682, включающий новый индикатор риска нарушения требований при осуществлении государственного контроля (надзора) за обработкой ПДн. Это выявление в течение 1 года 2 и более нарушений требований Федерального закона от 27 июля 2006 г. № 149-ФЗ в отношении ст. 10.2–2 (особенности предоставления информации с применением рекомендательных технологий).
Напомним, что с 1 октября 2023 г. владельцы вебсайтов при использовании рекомендательных технологий1Информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей, находящихся на территории РФ. Включает HR профилирование. обязаны:
1) Не допускать применение таких технологий, нарушающих права и законные интересы граждан и организаций, а также законодательства РФ;
2) Информировать пользователей о применении рекомендательных технологий;
3) Указывать адрес электронной почты для направления пользователями обращений;
4) Разместить в доступе правила применения технологий на русском языке.
Напоминаем, что в контексте обработки ПДн работников рекомендательные технологии могут использоваться работодателями, например, на внутренних порталах и сайтах, в корпоративных мессенджерах, на обучающих платформах.
Правительство упростило получение ИТ-аккредитации для малых ИТ-стартапов
Принято Постановление Правительства РФ от 26 августа 2024 г. №1149, согласно которому:
1) Предусмотрена отмена проверки доли дохода от ИТ-деятельности стартапов, включённых в реестр малых технологических компаний и созданных менее 3 лет назад. Сейчас для получения аккредитации такая доля дохода должна превышать 30% выручки.
2) ИT-компании из новых регионов (Донецкая НР, Луганская НР, Запорожская и Херсонская области) смогут получить аккредитацию независимо от среднемесячного размера выплат работникам. Эта льгота будет действовать до 1 июля 2025 г.
3) Заявления на ежегодную процедуру подтверждения аккредитации будут приниматься только в электронном виде через Госуслуги.
4) В рамках процедуры подтверждения проверка по уровню заработной платы будет проводиться в отношении двух кварталов вместо пяти.
5) Если компания получила аккредитацию в год своего создания, то она может в этот год не проходить плановую процедуру подтверждения.
Напомним, что по общему правилу организации вправе получить государственную аккредитацию, если:
1) Основным видом экономической деятельности является один из видов, содержащихся в перечне видов экономической деятельности, предусмотренных Приложением № 1 к Положению о государственной аккредитации;
2) Средняя заработная плата работников не менее средней по стране или субъекту, в котором зарегистрирована организация;
3) Доход от ИТ-деятельности более 30%;
4) На официальном сайте организации размещена информация об осуществляемой ИТ-деятельности на русском языке.
Напоминаем
Размещение фотографии работника в сети Интернет является распространением биометрических ПДн неопределённому кругу лиц и допустимо только при наличии его письменного согласия.
К такому выводу пришёл 2 КСОЮ в Определении от 04 июля 2023 г. № 88-13675/2023.
Обстоятельства дела
В период работы в компании работница участвовала в корпоративной фотосессии, устроенной работодателем в качестве меры поощрения. После увольнения она обнаружила, что бывший работодатель незаконно, без её согласия обнародовал и использует её фотоизображение на сайте поиска работы для привлечения соискателей на трудоустройство.
Работница обратилась с претензией к бывшему работодателю, который сообщил ей, что из обстановки, в которой проводилась фотосессия и дальнейшего поведения работницы, следовало, что её согласие имелось, она была проинформирована о целях фотосессии.
Указанные доводы работодателя поддержал суд первой инстанции, дополнительно пояснив, что фотосессия осуществлялась в рабочее время, за которое работодателем начислена и выплачена заработная плата. Такой вывод суда апелляционная инстанция признала ошибочным, так как добровольное участие в фотосессии не означает наличие согласия работницы на обнародование и использование полученных снимков/изображения компанией в имиджевых целях при размещении вакансий в сети Интернет, а наличие законных оснований для использования изображений не доказано.
Кроме того, использование изображения могло быть оправданным в период времени работы и ограничивалось увольнением работницы. Выводы суда апелляционной инстанции поддержала кассация, а также уточнила, что размещение фотографии в открытом доступе – это распространение биометрических ПДн работника.
Должностное лицо привлечено к административной ответственности за нарушения в сфере обработки ПДн
В адрес РКН поступили материалы из администрации г. Краснодара об обнаружении в ходе санитарного мониторинга документации, содержащей ПДн работников и клиентов АО «РТК».
По результатам рассмотрения в отношении должностного лица АО «РТК» составлен протокол об административном правонарушении, предусмотренном частью 6 статьи 13.11 КоАП РФ.
Постановлением мирового судьи судебного участка № 243 должностное лицо АО «РТК» признано виновным, и ему назначен штраф в размере 8 000 рублей.
Данное решение положительно отвечает на часто задаваемый нашими клиентами вопрос: может ли лицо, ответственное за организацию обработки ПДн, быть привлечено к ответственности.
Информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей, находящихся на территории РФ. Включает HR профилирование.
Надеемся, предоставленная информация окажется для Вас полезной.
