Одна из самых опасных тем для работодателей сегодня — персональные данные. Опасной ее делают сразу несколько факторов. Изменение закона, возможный штраф до 6 млн рублей, возобновление проверок Роскомнадзора. А еще — возможные жалобы от сотрудников и даже кандидатов. Как этого избежать и пройти проверку без штрафов?
Персональные данные — это любая информация, которая относится к конкретному лицу. К ней относятся ФИО, дата рождения, паспорт, СНИЛС, адреса и телефоны, образование. А еще доходы, семейный статус. Есть еще специальные и биометрические данные: национальность, рост, вес, отпечатки пальцев и т.д. Делая для сотрудников пропуска с фотографиями, вы используете персональные данные. Любая компания, которая использует и обрабатывает данные, является оператором — по сути каждый работодатель. В итоге для сбора, хранения, обработки информации нужно согласие и соблюдение закона.
Самое опасное нарушение — хранение баз данных за пределами России. За это можно получить 6 млн рублей штрафа. Среди других частых нарушений:
- неучтенные изменения в законе, которые вступили в силу 1 марта;
- нет порядка хранения данных;
- отсутствуют условия о трансграничной передача данных;
- согласие сотрудника содержит ошибки;
- персональные данные кандидатов хранятся без цели и более 30 дней и т.д.
А еще, например, для общедоступных данных не указано основание их обработки. Речь идет о списках с днями рождения, номерами телефонов сотрудников — а это есть по сути в каждой компании.
Все это так или иначе проверяет Роскомнадзор. В чек-листе «самых популярных» у ведомства более 20 документов. Например, назначены ли ответственные за работу с ПД, есть ли на сайте документ, определяющий политику, хранятся ли копии личных документов сотрудников, как организована система согласий от сотрудников на обработку данных.
А еще, например, Cookie-файлы — это персональные данные. Если вы используете на сайте такие сервисы, как Google Analytics, «Яндекс.Метрика», надо уведомить пользователей, какие данные собираются и для чего.
При этом инспектор не вправе эксплуатировать ваши системы, это может делать только ваш сотрудник. А в случае нарушений вы получите акт и предписание об устранении.
Но Роскомнадзор придет не только с плановым визитом. Пожаловаться на незаконную обработку может и сотрудник, и даже бывший кандидат.
Поэтому сейчас самое главное проверить имеющиеся документы по персональным данным. Их должно быть минимум 3 — Положение, согласие на обработку и обязательство о неразглашении. Но может быть и больше в зависимости от того, какие данные и как вы обрабатываете. Но в любом случае обязательно получать согласие от сотрудников. Оно не нужно лишь в некоторых случаях — когда личная информация нужна для выполнения закона — скажем, для начисления зарплаты.
Еще больше о том, как работодателю вести грамотную работу с персональными данными сотрудников и не нарваться на штрафы — в онлайн-курсе Центра обучения «Клерка» «Защита персональных данных: в чем разобраться кадровику, бухгалтеру и директору». На него как раз сейчас 40% скидка.
Начать дискуссию