Команда Трудовой практики АЛРУД поздравляет Вас с наступающими праздниками!
В крайней в этом году рассылке по информационным технологиям и защите ПДн мы бы хотели подвести итоги уходящего 2024 года и напомнить Вам о ключевых законодательных нововведениях, которые необходимо учитывать работодателям при обработке ПДн.
Речь идет об инициативе Президента РФ, озвученной в ходе послания к Федеральному Собранию. В случае отмены моратория ожидается внедрение ****риск-ориентированного подхода****: работодателей будут проверять по ****индикаторам риска****, а при отсутствии рисков инспекторы проведут ****профилактические визиты****.
Хотя в настоящий момент положения Постановления Правительства РФ от 10 марта 2023 года № 372 не изменились и по-прежнему указывают на продление моратория до 2030 года, риск внезапной отмены моратория не может быть полностью исключен.
На фоне моратория на проверки активно ****увеличивается число индикаторов риска****, выявление которых служит основанием для ****внеплановых проверок****. Так, в перечень индикаторов были включены обнаружение 3 и более ****расхождений**** между сведениями, которые опубликованы на ****сайте компании**** и данными в ****уведомлениях**** о намерении обрабатывать ПДн и (или) осуществлять их трансграничную передачу, которые она направляла в Роскомнадзор; а также выявление в течение 1 года 2 и более нарушений требований Федерального закона от 27 июля 2006 г. № 149-ФЗ в отношении ст. 10.2-2 (****особенности предоставления информации с применением рекомендательных технологий****).
Напоминаем, что в контексте обработки ПДн работников рекомендательные технологии могут использоваться работодателями, например, на ****внутренних порталах**** и ****сайтах****, в ****корпоративных мессенджерах****, на обучающих ****платформах****. При ****профилировании в HR**** мы рекомендуем обеспечивать ****соответствие применимым требованиям****, в частности, по ****транспарентности**** профилирования.
Увеличение штрафов по существующим составам, введение новых составов административных правонарушений и даже преступлений свидетельствуют о повышенном интересе законодателя к сфере приватности, его стремлении минимизировать зачастую чрезмерную обработку ПДн-операторами.
Были установлены штрафы за обработку ПДн ****без письменного согласия субъекта****, если оно необходимо по закону, до 700 тыс. руб. (при повторном нарушении — до 1,5 млн руб.).
Также подписан закон, ужесточающий ответственность для должностных лиц и компаний в случаях:
****утечки ПДн**** (штраф до 15 млн руб. при первом нарушении, при повторном — до 3% выручки за соответствующий год);
****неуведомления Роскомнадзора**** об ****утечке**** ПДн (до 3 млн руб.), о намерении осуществлять ****обработку ПДн**** (до 300 тыс. руб.).
Введена ****уголовная ответственность**** за незаконное хранение/сбор/передача ПДн,полученных незаконным путем, создание/функционирование интернет-ресурсов для заведомо незаконного хранения/передачи «криминальных» ПДн (ст. 272.1 УК РФ).
Законодатель планирует обязать операторов (в том числе работодателей) оформлять согласия на обработку ПДн ****отдельно**** от других документов, которые подписывает субъект ПДн и/или которые предоставляются ему для ознакомления.
Само по себе ****включение согласия в иные документы**** может нивелировать ****факт**** его ****получения****, поскольку такое согласие может рассматриваться как несвободное, т.е. предоставленное вопреки явной воле субъекта ПДн. Данный ****риск особенно возрастает в трудовых отношениях****, поскольку работник традиционно рассматривается в качестве слабой стороны. Мы рекомендуем работодателям перепроверить, в какой форме и для каких целей дают согласие на обработку ПДн Ваши работники.
Мы также ****рекомендуем провести аудит согласий**** и существующих процессов обработки ПДн в трудовых отношениях с целью фильтрации процессов, не требующих получения согласий вовсе, и ****отказаться от использования таких согласий****.
Евросоюз и США в отношении России установили ****запрет**** на прямое или косвенное ****предоставление ПО для управления компаниями****, что в том числе включает ПО, используемое в ****HR-целях****.
Мы понимаем, что использование ****зарубежных информационных систем**** глубоко укоренилось в кадровой системе многих работодателей. В связи с этим мы рекомендуем рассмотреть такие варианты действий, как ****смена вендора**** ПО, ****локализация**** соответствующих HR процессов.
Мы также напомним, что с 01 января 2025 года госкорпорациям, системообразующим организациям и ****субъектам КИИ**** (критической информационной инфраструктуры) запрещено использовать средства защиты информации, сервисы (работы или услуги) по кибербезопасности от компаний из ****«недружественных» государств****.
Заглядывая в 2025 год, мы уверенно можем утверждать, что ПДн стали ****зоной особого внимания****. Законодатель нацелен на ****расширение требований**** к операторам ПДн, их обязанностей по обеспечению законности обработки ПДн, конфиденциальности и безопасности ПДн. Работники, как субъекты ПДн, все больше узнают о своих правах в сфере приватности, о чем свидетельствует ****увеличение количества трудовых споров**** с элементом ПДн.
Мы ожидаем постепенное изменение подходов регулятора к ****правовым основаниям обработки ПДн****, в том числе ****снижение роли согласия****.
Дальнейшее развитие получит регулирование ****платформенной занятости****, что потребует проработки трудовых, налоговых рисков, рисков в сфере ПДн, защиты прав потребителей, разрешения споров, антимонопольного регулирования.
Очевидным становится пересмотр традиционных подходов к управлению персоналом, где основной акцент смещается с человеческого взаимодействия на синергию человека и машины, ****активное внедрение ИИ в HR-процессы****. Мы, в свою очередь, напоминаем о ****запрете**** на принятие решений, затрагивающих права и законные интересы работника на основании ****исключительно автоматизированной обработки ПДн****. Компаниям следует разработать правила ****доступа**** и ****мониторинга**** использования данных ИИ-системами наряду с ****ЛНА****, регулирующими вопросы защиты данных и кибербезопасности при ****использовании ИИ****.
Нашей классической рекомендацией стало проведение ****аудита процессов обработки ПДн**** и ****тренингов**** для работников. Это не случайные рекомендации. Работники — это не только движущая сила, но и самая ****уязвимая часть**** компании. 70% инцидентов с ПДн, в том числе ****утечек****, происходит из-за действий работников. Проведение аудитов и обучение персонала позволит работодателям ****снизить риски в сфере приватности****, использовать комплаенс в сфере приватности в качестве ****конкурентного преимущества в бизнесе****, а также ****повысить лояльность персонала, что положительно отразится на бренде работодателя****.
Надеемся, предоставленная информация окажется для Вас полезной.