В современном информационном обществе вопросы защиты персональных данных приобретают особую значимость, эти вопросы имеют междисциплинарный характер. В условиях цифровизации экономики, внедрения электронного кадрового документооборота, автоматизированной обработки информации (в том числе с использованием технологий искусственного интеллекта), передачи многими работодателями отдельных процессов на аутсорсинг (например, передача ведения бухгалтерского учета третьим лицам) обостряется необходимость защиты персональных данных работников. Такая информация, особенно в больших объемах, представляет существенную ценность для лиц, желающих использовать ее в корыстных целях.

По некоторым оценкам, в 2023 г. в России в 40 раз увеличилось количество утечек персональных данных с 2021 г. Причем порядка 80% случаев утечки персональных данных связаны с действиями работников. Также случаются кражи баз данных, содержащих персональные данные, при помощи так называемых «хакерских атак», в том числе в ситуациях, когда операторы персональных данных не обеспечили адекватную защиту персональных данных, которые обрабатывались с использованием средств автоматизации, хранились на электронных носителях.

Преследуя цель борьбы с утечками персональных данных, защищая право граждан на неприкосновенность частной жизни, личную и семейную тайну, в последние годы неоднократно вносились изменения в законодательство, ужесточающие требования обработки персональных данных и возлагающие на работодателей новые обязанности. В частности, с 1 сентября 2022 г. вступили в силу изменения в ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»): утратила силу норма, позволявшая работодателям не уведомлять уполномоченный орган – Роскомнадзор – о начале обработки персональных данных работников. При этом такое уведомление должно подаваться не в свободной форме, а его направлению должен предшествовать целый ряд действий со стороны работодателя (например, необходимо назначить ответственного за организацию обработки персональных данных, описать конкретные меры по обеспечению безопасности персональных данных при их обработке и др.). Также работодатели, осуществляющие распространение персональных данных работников, т.е. действия, в результате совершения которых к персональным данным работника может получить доступ неограниченный круг лиц (например, размещение информации о работниках организации на ее сайте в сети «Интернет»), обязаны оформлять отдельное согласие работника. Неоднократно вносились изменения и в ст. 13.11 КоАП РФ, предусматривающую административную ответственность за нарушение законодательства в области персональных данных: появились новые составы правонарушений, ужесточена ответственность за них.

Однако опыт показывает, что по-прежнему значительное количество работодателей не соблюдает требования законодательства в части обработки персональных данных работников в должной мере, многие относятся к этим требованиям лишь формально: принимают «шаблонные» локальные нормативные акты, имеющие мало общего с реально складывающимися отношениями, оформляют «типовые» формы согласий работников на обработку персональных данных, содержащих в себе крайне мало конкретной информации. В большинстве случаев такие недоработки остаются без внимания соответствующих контролирующих органов.

В настоящей статье постараемся со ссылками на актуальную судебную практику рассмотреть отдельные проблемы, возникающие при обработке персональных данных работников.