Компания опубликовала на сайте персональные данные работника без его согласия и при отсутствии других законных оснований обработки данных. Нужно ли в такой ситуации уведомлять Роскомнадзор?
Да, нужно.
“Утечка” персональных данных – это факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (ч. 3.1 ст. 21 №152-ФЗ).
В данном случае соблюдаются одновременно два критерия:
- неправомерность передачи персональных данных в форме распространения;
- наличие формального вреда, причиненного субъекту персональных данных (средней степени в соответствии с Приказом №178).
Суды считают, распространение персональных данных работников без их согласия или иного законного основания образует состав административного правонарушения по ч. 2 ст. 13.11 КоАП РФ.
При этом в судебных решениях указано, что своевременное уведомление в надзорный орган о факте неправомерной передачи персональных данных является обстоятельством, смягчающим административную ответственность (дела №05-0470/456/2023, №05-0450/347/2023).