Информационное письмо
Ведомство опубликовало Приказ от 01 августа 2024 г. № 682, включающий новый ****индикатор риска**** нарушения требований при осуществлении государственного контроля (надзора) за обработкой ПДн. Это выявление в течение 1 года ****2 и более нарушений требований**** Федерального закона от 27 июля 2006 г. № 149-ФЗ в отношении ст. 10.2–2 (особенности предоставления информации с применением ****рекомендательных технологий****).
Напомним, что с 1 октября 2023 г. владельцы вебсайтов при использовании ****рекомендательных технологий****
1) Не допускать применение таких технологий, ****нарушающих права и законные интересы**** граждан и организаций, а также законодательства РФ;
2) ****Информировать**** пользователей о применении рекомендательных технологий;
3) Указывать ****адрес электронной почты**** для направления пользователями обращений;
4) Разместить в доступе ****правила применения**** технологий ****на русском языке****.
Напоминаем, что в контексте обработки ПДн работников рекомендательные технологии могут использоваться работодателями, например, на внутренних порталах и сайтах, в корпоративных мессенджерах, на обучающих платформах.
Принято Постановление Правительства РФ от 26 августа 2024 г. №1149, согласно которому:
1) Предусмотрена ****отмена проверки доли дохода**** от ИТ-деятельности стартапов, включённых в реестр малых технологических компаний и созданных менее ****3 лет**** назад. Сейчас для получения аккредитации такая доля дохода должна превышать 30% выручки.
2) ИT-компании из ****новых регионов**** (Донецкая НР, Луганская НР, Запорожская и Херсонская области) смогут получить аккредитацию ****независимо от среднемесячного размера выплат работникам****. Эта льгота будет действовать до 1 июля 2025 г.
3) Заявления на ежегодную процедуру ****подтверждения аккредитации**** будут приниматься только в ****электронном виде**** через ****Госуслуги****.
4) В рамках процедуры подтверждения ****проверка по уровню заработной платы**** будет проводиться в отношении ****двух кварталов вместо пяти****.
5) Если компания получила аккредитацию в ****год своего создания****, то она может в этот год ****не проходить плановую процедуру подтверждения****.
Напомним, что по общему правилу организации вправе получить ****государственную аккредитацию****, если:
1) ****Основным видом экономической деятельности**** является один из видов, содержащихся в перечне видов экономической деятельности, предусмотренных Приложением № 1 к Положению о государственной аккредитации;
2) ****Средняя заработная плата**** работников не менее средней по стране или субъекту, в котором зарегистрирована организация;
3) ****Доход от ИТ-деятельности**** более 30%;
4) На официальном сайте организации ****размещена информация**** об осуществляемой ИТ-деятельности на русском языке.
Размещение ****фотографии работника**** в сети ****Интернет**** является распространением ****биометрических ПДн**** неопределённому кругу лиц и допустимо только при наличии его письменного ****согласия****.
К такому выводу пришёл 2 КСОЮ в Определении от 04 июля 2023 г. № 88-13675/2023.
В период работы в компании работница участвовала в ****корпоративной фотосессии****, устроенной работодателем в качестве меры поощрения. После ****увольнения**** она обнаружила, что бывший работодатель незаконно, ****без её согласия**** обнародовал и использует её фотоизображение ****на сайте поиска работы**** для привлечения соискателей на трудоустройство.
Работница обратилась с ****претензией**** к бывшему работодателю, который сообщил ей, что из ****обстановки****, в которой проводилась фотосессия и ****дальнейшего**** поведения работницы, следовало, что её согласие имелось, она была проинформирована ****о целях фотосессии****.
Указанные доводы работодателя поддержал суд первой инстанции, дополнительно пояснив, что фотосессия осуществлялась в ****рабочее время****, за которое работодателем начислена и выплачена ****заработная плата****. Такой вывод суда апелляционная инстанция признала ****ошибочным****, так как добровольное участие в фотосессии ****не означает наличие согласия работницы**** на обнародование и использование полученных снимков/изображения компанией в имиджевых целях при размещении вакансий в сети Интернет, а наличие законных оснований для использования изображений не доказано.
Кроме того, использование изображения могло быть оправданным в период времени работы и ****ограничивалось увольнением работницы****. Выводы суда апелляционной инстанции ****поддержала кассация****, а также уточнила, что размещение фотографии в открытом доступе – это ****распространение биометрических ПДн**** работника.
В адрес ****РКН**** поступили материалы из администрации г. Краснодара об обнаружении в ходе санитарного мониторинга ****документации****, содержащей ****ПДн работников**** и ****клиентов**** АО «РТК».
По результатам рассмотрения в отношении должностного лица АО «РТК» составлен ****протокол**** об административном правонарушении, предусмотренном ****частью 6 статьи 13.11 КоАП РФ****.
Постановлением мирового судьи судебного участка № 243 должностное лицо АО «РТК» признано виновным, и ему назначен ****штраф**** в размере ****8 000 рублей****.
Данное решение положительно отвечает на часто задаваемый нашими клиентами вопрос: может ли лицо, ответственное за организацию обработки ПДн, быть привлечено к ответственности.
Надеемся, предоставленная информация окажется для Вас полезной.