Типовые нарушения по персональным данным: судебная практика и практика проверок
Откуда мы можем взять эту информацию? Во-первых, из практики проверок Роскомнадзора, во-вторых, из судебной практики. Что касается практики проверок, то здесь два варианта - неформальный (опыт коллег, знакомых, экспертов, участвовавших в проверках), второй - формальный (из официальных отчетов госорганов, опубликованных на их сайтах или иных ресурсах). Ну а судебную практику нужно просто искать в правовых базах (по ключевым словам, по готовым подборкам и т.д.). Да, кстати, такая методика сбора информации о типовых ошибках подойдет для любого направления работы отдела кадров))
Но продолжим именно по ошибкам по персональным данным...
Смотрим на сайте Роскомнадзора и видим, что опубликован Отчет о выполнении в 2020 году плана: Отчет 1. Это отчет о деятельности Роскомнадзора вообще (у него много направлений работы). Ранее еще был отчет деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2019 год: Отчет 2.
Но в этих отчетах, честно говоря, типовые нарушения описаны как-то нечетко... В частности, указаны нарушения при направлении уведомления об обработке (неверные данные, несвоевременность корректировок), обработка в непредусмотренных случаях (но это не наша тема)). А вот там, где могут быть как раз нарушения работодателей, указано в общем - непринятие мер, необходимых для соблюдения законодательства))
Но зато отчеты интересны в плане статистики проверок, на вебинаре будем их разбирать, чтобы понять, какова вероятность проверки для вашей компании ...
Тогда обратимся к судебной практике. Честно говоря, и она не очень многочисленная при том, что мы подбирали все дела - и по работникам, и по клиентам, получилось 50 дел с 2017 года (опубликованы в правовых системах).
В судебной практике видим дела о следующих нарушениях (выбираю именно по работникам):
Нарушены сроки удаления персональных данных с сайта (Определение Первого кассационного суда общей юрисдикции от 24.08.2021 по делу N 88-21272/2021)
Не получено согласие на передачу данных третьим лицам, в частности, страховой компании (Определение Второго кассационного суда общей юрисдикции от 28.09.2021 по делу N 88-22322/2021)
Незаконно взыскан с работника штраф госоргана, наложенного на работодателя, за нарушение работы с персональными данными (Определение Четвертого кассационного суда общей юрисдикции от 22.10.2020 по делу N 88-16568/2020)
Работники не ознакомлены с ЛНА о персональных данных (Постановление Мирового судьи судебного участка № 1 Игринского района Удмуртской Республики от 05.11.2019 по делу № 5-766/2019)
Видеонаблюдение без согласия (Решение Верховного суда Республики Дагестан от 24.05.2018 N 21-607/2018)
Не разработаны ЛНА о персональных данных, образцы согласий не соответствуют закону (Постановление Арбитражного суда Московского округа от 15.01.2018 N Ф05-18981/2017 по делу N А40-81171/17-149-793)
Отсутствие согласия при передаче функций на аутсорсинг (Постановление Мирового судьи судебного участка № 6 Октябрьского судебного района города Архангельска от 19.01.2018 по делу № 5-28/2018)
Не уведомлен госорган об обработке персональных данных (Постановление Мирового судьи судебного участка № 57 Ленинского судебного района г. Кирова от 11.01.2018 по делу 5-21/2018)