Коротко и ясно с Трудовой практикой. HR & DIGITAL (Выпуск №25)

Ключевые тренды 2024 года в сфере персональных данных («ПДн») для работодателей

Команда Трудовой практики АЛРУД поздравляет Вас с наступающими праздниками!

В крайней в этом году рассылке по информационным технологиям и защите ПДн мы бы хотели подвести итоги уходящего 2024 года и напомнить Вам о ключевых законодательных нововведениях, которые необходимо учитывать работодателям при обработке ПДн.

1. Постепенное снятие моратория на проверки

Речь идет об инициативе Президента РФ, озвученной в ходе послания к Федеральному Собранию. В случае отмены моратория ожидается внедрение риск-ориентированного подхода: работодателей будут проверять по индикаторам риска, а при отсутствии рисков инспекторы проведут профилактические визиты.

Хотя в настоящий момент положения Постановления Правительства РФ от 10 марта 2023 года № 372 не изменились и по-прежнему указывают на продление моратория до 2030 года, риск внезапной отмены моратория не может быть полностью исключен.

2. Последовательное расширение индикаторов риска

На фоне моратория на проверки активно увеличивается число индикаторов риска, выявление которых служит основанием для внеплановых проверок. Так, в перечень индикаторов были включены обнаружение 3 и более расхождений между сведениями, которые опубликованы на сайте компании и данными в уведомлениях о намерении обрабатывать ПДн и (или) осуществлять их трансграничную передачу, которые она направляла в Роскомнадзор; а также выявление в течение 1 года 2 и более нарушений требований Федерального закона от 27 июля 2006 г. № 149-ФЗ в отношении ст. 10.2-2 (особенности предоставления информации с применением рекомендательных технологий).

Напоминаем, что в контексте обработки ПДн работников рекомендательные технологии могут использоваться работодателями, например, на внутренних порталах и сайтах, в корпоративных мессенджерах, на обучающих платформах. При профилировании в HR мы рекомендуем обеспечивать соответствие применимым требованиям, в частности, по транспарентности профилирования.

3. Ужесточение ответственности за нарушения в сфере ПДн

Увеличение штрафов по существующим составам, введение новых составов административных правонарушений и даже преступлений свидетельствуют о повышенном интересе законодателя к сфере приватности, его стремлении минимизировать зачастую чрезмерную обработку ПДн-операторами.

Были установлены штрафы за обработку ПДн без письменного согласия субъекта, если оно необходимо по закону, до 700 тыс. руб. (при повторном нарушении — до 1,5 млн руб.).

Также подписан закон, ужесточающий ответственность для должностных лиц и компаний в случаях:

• утечки ПДн (штраф до 15 млн руб. при первом нарушении, при повторном — до 3% выручки за соответствующий год);

• неуведомления Роскомнадзора об утечке ПДн (до 3 млн руб.), о намерении осуществлять обработку ПДн (до 300 тыс. руб.).

Введена уголовная ответственность за незаконное хранение/сбор/передача ПДн,полученных незаконным путем, создание/функционирование интернет-ресурсов для заведомо незаконного хранения/передачи «криминальных» ПДн (ст. 272.1 УК РФ).

4. Аудит согласий на обработку ПДн

Законодатель планирует обязать операторов (в том числе работодателей) оформлять согласия на обработку ПДн отдельно от других документов, которые подписывает субъект ПДн и/или которые предоставляются ему для ознакомления.

Само по себе включение согласия в иные документы может нивелировать факт его получения, поскольку такое согласие может рассматриваться как несвободное, т.е. предоставленное вопреки явной воле субъекта ПДн. Данный риск особенно возрастает в трудовых отношениях, поскольку работник традиционно рассматривается в качестве слабой стороны. Мы рекомендуем работодателям перепроверить, в какой форме и для каких целей дают согласие на обработку ПДн Ваши работники.

Мы также рекомендуем провести аудит согласий и существующих процессов обработки ПДн в трудовых отношениях с целью фильтрации процессов, не требующих получения согласий вовсе, и отказаться от использования таких согласий.

5. Иностранные санкции и переход на российское ПО

Евросоюз и США в отношении России установили запрет на прямое или косвенное предоставление ПО для управления компаниями, что в том числе включает ПО, используемое в HR-целях.

Мы понимаем, что использование зарубежных информационных систем глубоко укоренилось в кадровой системе многих работодателей. В связи с этим мы рекомендуем рассмотреть такие варианты действий, как смена вендора ПО, локализация соответствующих HR процессов.

Мы также напомним, что с 01 января 2025 года госкорпорациям, системообразующим организациям и субъектам КИИ (критической информационной инфраструктуры) запрещено использовать средства защиты информации, сервисы (работы или услуги) по кибербезопасности от компаний из «недружественных» государств.

Что ожидать и к чему готовиться в 2025 году?

Заглядывая в 2025 год, мы уверенно можем утверждать, что ПДн стали зоной особого внимания. Законодатель нацелен на расширение требований к операторам ПДн, их обязанностей по обеспечению законности обработки ПДн, конфиденциальности и безопасности ПДн. Работники, как субъекты ПДн, все больше узнают о своих правах в сфере приватности, о чем свидетельствует увеличение количества трудовых споров с элементом ПДн.

Мы ожидаем постепенное изменение подходов регулятора к правовым основаниям обработки ПДн, в том числе снижение роли согласия.

Дальнейшее развитие получит регулирование платформенной занятости, что потребует проработки трудовых, налоговых рисков, рисков в сфере ПДн, защиты прав потребителей, разрешения споров, антимонопольного регулирования.

Очевидным становится пересмотр традиционных подходов к управлению персоналом, где основной акцент смещается с человеческого взаимодействия на синергию человека и машины, активное внедрение ИИ в HR-процессы. Мы, в свою очередь, напоминаем о запрете на принятие решений, затрагивающих права и законные интересы работника на основании исключительно автоматизированной обработки ПДн. Компаниям следует разработать правила доступа и мониторинга использования данных ИИ-системами наряду с ЛНА, регулирующими вопросы защиты данных и кибербезопасности при использовании ИИ.

Нашей классической рекомендацией стало проведение аудита процессов обработки ПДн и тренингов для работников. Это не случайные рекомендации. Работники — это не только движущая сила, но и самая уязвимая часть компании. 70% инцидентов с ПДн, в том числе утечек, происходит из-за действий работников. Проведение аудитов и обучение персонала позволит работодателям снизить риски в сфере приватности, использовать комплаенс в сфере приватности в качестве конкурентного преимущества в бизнесе, а также повысить лояльность персонала, что положительно отразится на бренде работодателя.

Мы будем рады оказать Вам комплексную правовую поддержку в этом или уже следующем 2025 году!