Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) дано понятие персональных данных, под которыми понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В соответствии с ч. 2 данной статьи Федерального закона № 152-ФЗ оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом ч. 3 данной статьи Федерального закона № 152-ФЗ под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В нарушение требований законодательства о персональных данных работодателями зачастую не назначаются ответственные лица, отвечающие за организацию обработки персональных данных; не разрабатываются документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; не ознакомливают работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников, и др.

Так, в 2016 г. по результатам прокурорских проверок факты нарушений законодательства о персональных данных выявлены в деятельности 5 работодателей, в связи с чем лица привлечены к административной ответственности по ст. 13.11 КоАП РФ, за истекший период 2017 г. нарушения выявлены уже у 11 работодателей.

Статьей 13.11 КоАП РФ предусмотрена административная ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Нарушения закона в данной сфере влекут административную ответственность в виде предупреждения или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от пятисот до одной тысячи рублей; на юридических лиц – от пяти тысяч до десяти тысяч рублей.

Федеральным законом от 07.02.2017 № 13-ФЗ в Кодекс Российской Федерации об административных правонарушениях внесены изменения, согласно которым административная ответственность за нарушения законодательства в области персональных данных значительно усилена, расширен перечень составов правонарушений.

Прокуратура предлагает работодателям принять дополнительный комплекс мер, направленный на приведение работы по установлению порядка сбора, хранения, использования персональных данных работников в соответствие с требованиями федерального законодательства о защите персональных данных.