Правила обработки персональных

Содержание

Обработка персональных данных

Правила обработки персональных

13.01.2020

В 2006 г. на правительственном уровне был утвержден нормативно-правовой акт об обработке персональных данных. В свод федерального акта включены любые сведения о человеке, которые прямо или косвенно относятся к гражданину и передаются третьей стороне отношений. Об условиях передачи сведений о субъекте, а также об обеспечении конфиденциальности указано в ФЗ № 152.

Суть правового документа № 152

Порядок обработки и защиты персональных данных (ПДН) регулируется актуальным на 2020 год ФЗ № 152. Подобная процедура предусмотрена в отношении материалов передаваемых в формате online и offline.

Основные положения

Примечательно, что нормативный акт сформирован не для защиты системного обеспечения и серверных станций, а направлен на предупреждение угроз личных сведений субъекта. Ввиду этого соблюдение правового документа начинается не с установки антивируса на сервер, а с организации системы обработки персональных данных.

В качестве основного органа, на которого возложены полномочия проверки, является Роскомнадзор. Учреждение не принимает в учет состояние технического оборудования и средств, а обращает внимание на основания для ПДН:

  • цель сбора;
  • объем;
  • период хранения;
  • наличие на сайте политики конфиденциальности;
  • сбор согласия на передачу и обработку третьей стороной.

ФЗ № 152 о согласии на обработку персональных данных был разработан в 2006 г., однако наиболее существенные корректировки были внесены спустя 12 мес. Так, меры ужесточения были внесены в отношении ответственности, а также изменениям подверглись требования и правила хранения информации. В 2020 г. эта редакция федерального акта остается в силе.

В настоящей статье № 3 части № 1 установлено, что под ПДН подразумевается любой тип информации, которая косвенно или прямо относятся к конкретному гражданину. В подобных ситуациях человек представляется, как субъект персональных материалов.

Последние изменения

Корректировки в отношении ответственности операторов, занимающихся анализом, сбором и хранением личных материалов, были внесены в 2018 г. В соответствии с частью № 5 статьи № 6 оператор обязан:

  1. Нести ответственность за переработку сведений и осуществление надлежащего уровня защиты согласно действующему законодательству России.
  2. Порядок проведения контроля за действиями человека или юридического лица, устанавливается самостоятельно.

В связи с этим, если оператор привлекает к работе по ПДН третью сторону, то за их нарушения несет ответственность.

Исключения из правил по обработке личных данных

В соответствии со ст. № 22 п. № 2 настоящего Федерального закона исключениям из правил являются следующие случаи:

  • переработка ИСПДН для личных нужд, в том числе семьи;
  • необходимость продиктована соблюдением ТК России;
  • информация передана по итогам подписания контракта и применяется для его реализации, но при этом не подлежит передаче другой стороне;
  • материалы относятся к членам или представителям социальных и религиозных организаций, действующих в рамках закона, но при условии, что информация не будет передаваться сторонним лицам;
  • субъект в самостоятельном порядке сделал личные сведения доступными;
  • при условии, что информация содержит только Ф. И. И. субъекта;
  • в качестве разового пропуска на территорию объекта работы оператора ИСПДН;
  • если информация внесена в госсистему для сохранения конфиденциальности и проведения мер безопасности;
  • когда сверка сведений происходит вручную в рамках нормативных актов;
  • переработка, предусмотренная транспортной безопасностью, в том числе для предупреждения угрозы работы общественных ТС.

Читать так же:  ​​Документы, удостоверяющие личность граждан

Категории

Закон № 152 об обработке персональных данных относится ко всем владельцам web-порталов, где происходит взаимодействие с личными сведениями людей. Нормативный акт описывает порядок обеспечения безопасности персональных материалов, сроки и условия хранения.

К видам обработки персональных данных относится:

  • форма, предназначенная для обратной связи с посетителем портала;
  • web-страницы для размещения объявлений;
  • анкеты;
  • опросники;
  • сбор биометрической информации;
  • формы отзывов, комментариев, заказа;
  • процедура сбора сведений о пользователях веб-портала.

Таким образом, ФЗ № 152 относится к получению сведений о посетителях web-страницы, если это касается:

  • Ф. И. О. субъекта;
  • место регистрации или проживания;
  • налоговый идентификатор;
  • e-mail;
  • номер мобильного, стационарного телефона;
  • дата рождения, в том числе место;
  • фотокарточка;
  • ссылка на личный портал или аккаунт в социальных сетях;
  • указано образование, трудовая деятельность;
  • финансовый и семейный статус;
  • геоположение, IP, cookies.

В категорию личных сведений может входить и другая информация, т. к. ФЗ № 152 не вводит ограничений в этот список.

Субъекты и их права по ФЗ № 152

Субъектом ИСПД выступает физлицо, личность которого возможно определить прямым или косвенным способом за счет полученной информации. Таким образом, каждый пользователь попадает под действие закона, если владелец web-портала собирает сведения.

В связи с этим нормативный акт определяет права субъектов персональной информации:

  1. Получать информирование о переработке его ИСПД. В частности:
  • факт обработки;
  • законные основания;
  • цель;
  • способ переработки;
  • название и расположение оператора;
  • источники;
  • период хранения и действия процедуры;
  • предполагаемая передача;
  • если от лица оператора выступает третий участник, то указывается Ф. И. О. и адрес проживания.
  1. Пользователь сайта вправе потребовать уточнить состав ИСПДН, а также подвергать блокировке и удалять, если они неполные, утратили актуальность, либо получены незаконным путем.
  2. Получать отчет в доступном формате по запросу.
  3. Направлять повторный запрос.

Требования к хранению и обработке персональных сведений

Под ПДН понимаются любые операции или комплекс мер, совершаемых с применением систем автоматизации или без использования подобных средств. В перечень действий включен:

  • сбор;
  • запись;
  • распространение;
  • хранение;
  • блокировка;
  • ликвидация;
  • обезличивание.

Обработка

Список требований к обработке персональных данных:

  • правомочность;
  • период операции имеет ограничение в виде достижения цели;
  • запрещена «склейка» баз, сформированных для разных целей;
  • обработке подлежит только та информация, которая соответствует целям, заявленному содержанию и объему;
  • ИСПДН должны быть при этом точными, актуальными — при несоответствии критериям оператор обязан их ликвидировать либо внести корректировки.

Хранение

К хранению и правилам обработки персональных данных предъявляются такие требования, как:

  • форма хранения должна определять человека;
  • период не должен превышать даты завершения цели, если время не определено настоящим федеральным законом или соглашением;
  • при достижении целей ИСПДН материалы обезличиваются, ликвидируются оператором;
  • сервера для хранения должны находиться в Российской Федерации.

Читать так же:  Налог на добавленную стоимость в 2020 году

Система безопасности формируется в соответствии с требованиями уровня защиты, предупреждающие угрозы для личных материалов субъекта. Допускается проведение проверки ФСТЭК.

Дополнительные условия для юр. лиц

Организациям необходимо проанализировать сайт на предмет соответствия требованиям ФЗ № 152 и актуальному на 19 г. законодательству Российской Федерации:

Хостинг, серверРасположение в пределах Российской Федерации согласно требованиям ФЗ № 242
Текст возле формы для сбора материалов«При нажатии/пользовании сайтов пользователь автоматически дает согласие на обработку ПДН». Дополнительно на портале владелец обязан установить файл о Пользовательском соглашении.
Размещение пользовательского соглашенияЭксперты рекомендуют расположить текст в отдельном разделе сайта
Требования к содержанию документа
  • название, Ф. И. О. оператора в согласно приказа;
  • цель сбора материала о физическом лице;
  • список пунктов, на которые дается согласие;
  • при поручении проводить анализ, сбор и хранение ИСПДН указать Ф. И. О. третьей стороны;
  • список операций, для которых делается запрос на согласие;
  • период;
  • указание на возможность отзыва разрешения лично или по доверенности от законного представителя.
Политика переработки ИСПДНУказание в виде ссылки
Новые пользователи сайтаДолжна высвечиваться всплывающая форма предупреждения о сборе IP, геоположения, cookies и т. п. Если пользователь не согласен с проводимой политикой web-страницы — обязан покинуть её.

Способы защиты ПДН

Роскомнадзор — уполномоченный орган для проведения проверок web-ресурсов, в том числе внеплановых. Примечательно, что последний вариант анализа порталов осуществляется по заявке граждан.

В связи с этим, если не соблюдается федеральный закон, то существует высокий риск стать фигурантом дела по КоАП или УК России.

Каждый пользователь вправе подать жалобу за несанкционированный доступ и использование личных материалов.

Выявление нарушений Роскомнадзором влечет утрату репутации и наложении высоких штрафных санкций. При возбуждении дела по статье УК России сайт подвергается блокировке. Подобная ситуация произошла с соцсетью LinkedIn.

Защита личной информации — это комплекс мер, направленных на обеспечение безопасности сведений о субъекте, на основании которых можно его идентифицировать.

В Российской Федерации защитные меры от угрозы передачи в свободный доступ ИСПДН проводится за счет специального режима переработки материалов. В состав процедуры включены следующие операции:

  • формирование внутренних документов для работы оператора;
  • установки технических средств защиты;
  • получение лицензии от уполномоченного органа — ФСТЭК, ФСБ;
  • получение сертификата для защиты информационных пакетов данных через аналогичные органы контроля.

Степени защиты личных данных

Этапы средств защиты информации на обработку персональных данных:

  • выявление действий, требующих сверки личных материалов;
  • выделение процессов;
  • определение списка работников и филиалов организации, имеющих доступ к личным материалам пользователей;
  • установление сотрудников и процессов для проведения анализа;
  • выявление набора систем и комплекса для сверки;
  • установление категорий ИСПДН и классификации систем;
  • формирование необходимой формы предполагаемых угроз для обеспечения безопасности;
  • подготовка ТЗ для формирования системы безопасности;
  • подача заявления в письменной форме о субъектах персональных данных в Роскомнадзор — процедура регистрации;
  • направление в ФСТЭК заявки на получение соответствующей документации;
  • разработка требований для отдельной системы безопасности, в т. ч. с учетом уровня защиты;
  • подготовка проекта по предупреждению угроз;
  • сформировать внутренние бумаги по защите личных материалов пользователей;
  • разработка и внедрение проекта системы;
  • получение от посетителей web-страницы согласия субъекта персональной информации;
  • систематически проводить меры по контролю нарушений.

Читать так же:  Обязательная сертификация

Уровни защищенности ПДн

В ПП № 1119 от 1 ноября 12 года утверждены уровни защиты личных материалов пользователей информационных сетей. Для каждого этапа предусмотрены отдельные требования, подлежащие выполнению. Для подбора необходимого уровня нужно выявить параллельные условия, а именно:

  • категория данных;
  • форма взаимоотношений между физическим и юридическим лицом;
  • численность субъектов;
  • возможные виды угроз.

После сопоставления сведений владелец сайта получает представление о том, какой уровень защиты в соответствии с Федеральным законом № 152 Российской Федерации требуется.

При нарушении положений нормативно-правового акта предусмотрена ответственность в отношении оператора. Размер санкций прописан в статье № 13.11 КоАП России. Например, в отношении должностных лиц вводится сначала предупреждение, затем штраф в объеме 1000-3000 руб. Для ИП наказание предусмотрено в размере 5000-10000 рублей, а для юридических лиц — 30000-50000 р.

Источник: https://zakonoved.su/%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B0-%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85-%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85.html

5 шагов по организации учета и хранения персональных данных

Правила обработки персональных

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://School.Kontur.ru/publications/1583

Как правильно работать с персональными данными?

Правила обработки персональных

Роскомнадзор проверяет, как компании соблюдают правила обработки персональных данных. За несоблюдение некоторых предусмотрены серьёзные санкции, причём не только компаниям, но и лично кадровикам — от штрафа в 300 000 рублей до лишения свободы сроком до четырёх лет.

Рассказываем, какие документы можно хранить в личных делах сотрудников, а какие — нет, какие нарушения Роскомнадзор фиксирует чаще всего и как их устранить, пока не пришла проверка.

Для начала: что такое персональные данные?

Любая информация, прямо или косвенно относящаяся к физлицу: ФИО, дата рождения, паспортные данные, СНИЛС и медицинский полис, номера счетов и банковские выписки, сведения о здоровье и кредитных обязательствах. К косвенным персданным относится любая информация о семье физического лица. Полный список можно посмотреть тут.

Что такое обработка персональных данных?

Любые действия с личной информацией — сбор и запись, систематизация и хранение, обновления и изменения, использование и передача третьим лицам. Блокировка, удаление из публичного доступа и уничтожение персональных данных — тоже обработка.

Сбор и хранение лишних документов

По закону работодателю нельзя собирать и хранить лишние персональные данные сотрудников — такие, которые не относятся к трудовой деятельности.

Это могут быть ксерокопии паспортов и дипломов сотрудника, копии свидетельств о рождении и браке, документы с номером СНИЛС — причём запросить их можно, но вот хранить копию — нет.

Если данные зачем-то потребовалось оставить — внесите их в личную карточку работника по форме № Т-2.

Если инспектор Роскомнадзора узнает о нарушении, компании грозит штраф до 50 000 рублей.

Как исправить?
Лучше завести на сотрудника личное дело — по закону это необязательно (если вы не работаете с государственными и муниципальными служащими или педагогами), но удобнее. В личное дело помещайте только необходимые документы — остальные храните отдельно, лучше в сейфе.

Под замок можно положить копии бумаг, которые появились в рабочем процессе, — заявление о приёме на работу, копию трудового договора с допсоглашением, приказы о премиях и привлечениях к дисциплинарной ответственности, результаты медосмотров. Пришедшему инспектору показывайте не все бумаги — он может запросить только те, что соответствуют тематике проверки.

Используете неправильный бланк согласия на обработку персональных данных

Если сотрудник дал согласие на обработку личных данных, но документ был составлен неверно, за это штрафуют — кадровика на сумму от 10 000 до 20 000 рублей, компанию — от 15 000 до 75 000 рублей.

Как исправить?
Для каждой конкретной цели сбора персональных данных используйте отдельный шаблон. В одном документе должна быть указана одна цель сбора информации.

В форме, которую отдаёте на подпись, укажите адрес и паспортные данные работника, перечень сведений, на обработку которых получаете согласие, для каких целей собираете информацию и способ, как сотрудник может отозвать согласие.

Не провели внутренний аудит работы с персональными данными

По закону внутренний аудит — одна из возможных мер для защиты персональных данных. Роскомнадзор же считает, что компания должна проводить его обязательно — кто не согласен, получает предписание.

Как исправить?
Разработайте положение о внутреннем аудите и разошлите его работникам. Получите их подписи, составьте план и соберите комиссию, состав которой подтвердите внутренним приказом.

Комиссия должна будет провести аудит и оформить протокол или акт — в нём нужно указать, когда была проведена работа с персданными, и выдать рекомендации, как исправить несоответствия закону, если такие обнаружатся в результате проверки.

Забыли опубликовать политику обработки персональных данных

Если политика не опубликована на сайте компании или не находится в открытом доступе, кадровика могут оштрафовать на сумму от 3000 до 6000 рублей, а организацию — от 15 000 до 30 000 рублей.

Как исправить?
Роскомнадзор рекомендует разработать документ с политикой безопасности — формулировки можно не копировать, а адаптировать под специфику своей компании. Готовую политику нужно опубликовать на сайте компании, если его нет — распечатать и положить физическую копию в торговом зале или у входа в организацию.

Не утвердили перечень лиц, имеющих доступ к персональным данным

Сделать это нужно приказом — собрать должности всех, кому для работы нужны личные сведения о сотрудниках. Специалисты из списка могут получить доступ только к тем данным, которые необходимы им для работы.

Как исправить?
Издать соответствующий приказ. В стандартный перечень профессий, имеющих доступ к личным делам, входят гендиректор и заместители, кадровики и бухгалтеры, юристы и безопасники.

Раньше список составляли из фамилий и должностей, сейчас можно выбрать что-то одно. Укажите в документе, что сведения из личных дел работников нельзя разглашать — за это наказывают дисциплинарно, административно и уголовно.

Работники не подписали закон о персональных данных

Сотрудники, которые работают с личными данными, должны ознакомиться с действующим законодательством под подпись.

Как исправить?
Можно просить сотрудников подписывать положение о персональных данных сразу при приёме на работу — достаточно добавить соответствующий параграф в трудовой договор. Тех, кто уже работает в компании, попросите отметиться в листе ознакомления или приказе.

Неверно заполнили уведомление об обработке персональных данных

О любом действии с персданными нужно уведомить местный Роскомнадзор. За недостоверные или неполные сведения кадровик заплатит от 300 до 500 рублей, компания — от 3000 до 5000 рублей.

Как исправить?
Изучить уставы, локальные акты и договоры, регулирующие вопрос. Уведомление заполняйте самостоятельно, лучше по рекомендациям Роскомнадзора — неточности обычно берутся, если использовать шаблоны из интернета без учета специфики компании.

Забыли назначить ответственного за обработку данных

Или назначили сразу нескольких — Роскомнадзор требует, чтобы это был один человек, вне зависимости от размеров компании и количества филиалов.

Как исправить?
Назначить ответственным директора по персоналу или другого сотрудника, который подчиняется гендиректору и может управлять менеджерами подразделений.

Будем на одной волне 

Источник: https://worki.ru/blog/hr/kak-pravilno-rabotat-s-piersonalnymi-dannymi/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.