Коротко и ясно с Трудовой практикой. HR & DIGITAL (Выпуск №25)

Коротко и ясно с Трудовой практикой. HR & DIGITAL (Выпуск №25)

19 декабря 2024

Ключевые тренды 2024 года в сфере персональных данных («ПДн») для работодателей


Команда Трудовой практики АЛРУД поздравляет Вас с наступающими праздниками!

В крайней в этом году рассылке по информационным технологиям и защите ПДн мы бы хотели подвести итоги уходящего 2024 года и напомнить Вам о ключевых законодательных нововведениях, которые необходимо учитывать работодателям при обработке ПДн.

1. Постепенное снятие моратория на проверки

Речь идет об инициативе Президента РФ, озвученной в ходе послания к Федеральному Собранию. В случае отмены моратория ожидается внедрение ****риск-ориентированного подхода****: работодателей будут проверять по ****индикаторам риска****, а при отсутствии рисков инспекторы проведут ****профилактические визиты****.

Хотя в настоящий момент положения Постановления Правительства РФ от 10 марта 2023 года № 372 не изменились и по-прежнему указывают на продление моратория до 2030 года, риск внезапной отмены моратория не может быть полностью исключен.

2. Последовательное расширение индикаторов риска

На фоне моратория на проверки активно ****увеличивается число индикаторов риска****, выявление которых служит основанием для ****внеплановых проверок****. Так, в перечень индикаторов были включены обнаружение 3 и более ****расхождений**** между сведениями, которые опубликованы на ****сайте компании**** и данными в ****уведомлениях**** о намерении обрабатывать ПДн и (или) осуществлять их трансграничную передачу, которые она направляла в Роскомнадзор; а также выявление в течение 1 года 2 и более нарушений требований Федерального закона от 27 июля 2006 г. № 149-ФЗ в отношении ст. 10.2-2 (****особенности предоставления информации с применением рекомендательных технологий****).

Напоминаем, что в контексте обработки ПДн работников рекомендательные технологии могут использоваться работодателями, например, на ****внутренних порталах**** и ****сайтах****, в ****корпоративных мессенджерах****, на обучающих ****платформах****. При ****профилировании в HR**** мы рекомендуем обеспечивать ****соответствие применимым требованиям****, в частности, по ****транспарентности**** профилирования.

3. Ужесточение ответственности за нарушения в сфере ПДн

Увеличение штрафов по существующим составам, введение новых составов административных правонарушений и даже преступлений свидетельствуют о повышенном интересе законодателя к сфере приватности, его стремлении минимизировать зачастую чрезмерную обработку ПДн-операторами.

Были установлены штрафы за обработку ПДн ****без письменного согласия субъекта****, если оно необходимо по закону, до 700 тыс. руб. (при повторном нарушении — до 1,5 млн руб.).

Также подписан закон, ужесточающий ответственность для должностных лиц и компаний в случаях:

  • ****утечки ПДн**** (штраф до 15 млн руб. при первом нарушении, при повторном — до 3% выручки за соответствующий год);

  • ****неуведомления Роскомнадзора**** об ****утечке**** ПДн (до 3 млн руб.), о намерении осуществлять ****обработку ПДн**** (до 300 тыс. руб.).

Введена ****уголовная ответственность**** за незаконное хранение/сбор/передача ПДн,полученных незаконным путем, создание/функционирование интернет-ресурсов для заведомо незаконного хранения/передачи «криминальных» ПДн (ст. 272.1 УК РФ).

4. Аудит согласий на обработку ПДн

Законодатель планирует обязать операторов (в том числе работодателей) оформлять согласия на обработку ПДн ****отдельно**** от других документов, которые подписывает субъект ПДн и/или которые предоставляются ему для ознакомления.

Само по себе ****включение согласия в иные документы**** может нивелировать ****факт**** его ****получения****, поскольку такое согласие может рассматриваться как несвободное, т.е. предоставленное вопреки явной воле субъекта ПДн. Данный ****риск особенно возрастает в трудовых отношениях****, поскольку работник традиционно рассматривается в качестве слабой стороны. Мы рекомендуем работодателям перепроверить, в какой форме и для каких целей дают согласие на обработку ПДн Ваши работники.

Мы также ****рекомендуем провести аудит согласий**** и существующих процессов обработки ПДн в трудовых отношениях с целью фильтрации процессов, не требующих получения согласий вовсе, и ****отказаться от использования таких согласий****.

5. Иностранные санкции и переход на российское ПО

Евросоюз и США в отношении России установили ****запрет**** на прямое или косвенное ****предоставление ПО для управления компаниями****, что в том числе включает ПО, используемое в ****HR-целях****.

Мы понимаем, что использование ****зарубежных информационных систем**** глубоко укоренилось в кадровой системе многих работодателей. В связи с этим мы рекомендуем рассмотреть такие варианты действий, как ****смена вендора**** ПО, ****локализация**** соответствующих HR процессов.

Мы также напомним, что с 01 января 2025 года госкорпорациям, системообразующим организациям и ****субъектам КИИ**** (критической информационной инфраструктуры) запрещено использовать средства защиты информации, сервисы (работы или услуги) по кибербезопасности от компаний из ****«недружественных» государств****.

Что ожидать и к чему готовиться в 2025 году?


Заглядывая в 2025 год, мы уверенно можем утверждать, что ПДн стали ****зоной особого внимания****. Законодатель нацелен на ****расширение требований**** к операторам ПДн, их обязанностей по обеспечению законности обработки ПДн, конфиденциальности и безопасности ПДн. Работники, как субъекты ПДн, все больше узнают о своих правах в сфере приватности, о чем свидетельствует ****увеличение количества трудовых споров**** с элементом ПДн.

Мы ожидаем постепенное изменение подходов регулятора к ****правовым основаниям обработки ПДн****, в том числе ****снижение роли согласия****.

Дальнейшее развитие получит регулирование ****платформенной занятости****, что потребует проработки трудовых, налоговых рисков, рисков в сфере ПДн, защиты прав потребителей, разрешения споров, антимонопольного регулирования.

Очевидным становится пересмотр традиционных подходов к управлению персоналом, где основной акцент смещается с человеческого взаимодействия на синергию человека и машины, ****активное внедрение ИИ в HR-процессы****. Мы, в свою очередь, напоминаем о ****запрете**** на принятие решений, затрагивающих права и законные интересы работника на основании ****исключительно автоматизированной обработки ПДн****. Компаниям следует разработать правила ****доступа**** и ****мониторинга**** использования данных ИИ-системами наряду с ****ЛНА****, регулирующими вопросы защиты данных и кибербезопасности при ****использовании ИИ****.

Нашей классической рекомендацией стало проведение ****аудита процессов обработки ПДн**** и ****тренингов**** для работников. Это не случайные рекомендации. Работники — это не только движущая сила, но и самая ****уязвимая часть**** компании. 70% инцидентов с ПДн, в том числе ****утечек****, происходит из-за действий работников. Проведение аудитов и обучение персонала позволит работодателям ****снизить риски в сфере приватности****, использовать комплаенс в сфере приватности в качестве ****конкурентного преимущества в бизнесе****, а также ****повысить лояльность персонала, что положительно отразится на бренде работодателя****.

Мы будем рады оказать Вам комплексную правовую поддержку в этом или уже следующем 2025 году!

Скачать текст в виде PDF документа

Надеемся, предоставленная информация окажется для Вас полезной.

Если кто-то из Ваших коллег также хотел бы получать наши информационные письма, пожалуйста, направьте ему ссылку на электронную форму подписки.
Узнать больше об услугах практик:
Трудовое право



Примечание: обращаем Ваше внимание на то, что вся информация была основана на нашем анализе данных из открытых источников, а также на нашем понимании предусмотренных законодательных норм и практики правоприменения. Авторы данного письма, равно как и юридическая фирма АЛРУД, не несут ответственности за последствия, возникшие в результате принятия решений на основе данной информации.

В случае возникновения вопросов, пожалуйста, свяжитесь с нами.

С уважением,
Юридическая фирма АЛРУД

ул. Лесная, д. 7, этаж 12, Москва, Россия, 125196
Т: +7 495 234 96 92, Т: +7 495 926 16 48, info@alrud.com
alrud.ru
Для улучшения работы сайта, а также и в некоторых иных целях, описанных в Политике конфиденциальности, мы используем файлы cookies. Проставляя отметку, Вы соглашаетесь на использование файлов cookies. В противном случае мы будем использовать только технические файлы cookies, которые необходимы для правильного функционирования сайта.
Принять