Главные риски для работодателей от Роскомнадзора: что учесть по защите персональных данных

Роскомнадзор возобновил проверки защиты персональных данных. Прежде всего, ему интересны иностранные компании, чтобы проверить, где хранятся данные о сотрудниках, ведь штраф может достигать 6 млн рублей. К тому же, в марте вновь изменился закон и увеличились штрафы.
Главные риски для работодателей от Роскомнадзора: что учесть по защите персональных данных

Роскомнадзор возобновил проверки защиты персональных данных. Прежде всего, ему интересны иностранные компании, чтобы проверить, где хранятся данные о сотрудниках, ведь штраф может достигать 6 млн рублей. К тому же, в марте вновь изменился закон и увеличились штрафы.

Что надо проверить работодателям и как избежать рисков и возможных штрафов в сфере персональных данных?

Санкции ужесточились: за оставленное на столе резюме можно заплатить 75 000 рублей, а за звонок за рекомендацией на кандидата — статью УК РФ за вмешательство в частную жизнь.

Еще одна зона риска — пропуск. Если вы оформляете их с фото для установления личности, надзор считает это биометрическими данными. Также, как и сбор личной информации на сайте. И их обработка требует согласия от людей.

Прежде всего, надо определиться с термином «обработка». В нее входит сбор, запись, хранение, использование, передача и даже уничтожение данных. Существует трансграничная передача — отправка информации за границу. Для каждого процесса есть свои правила и условия. И компания должна уведомить Роскомнадзор о том, что является оператором данных. Не надо уведомлять только, если обработка идет в рамках трудовых отношений (кадровые документы, расчет зарплаты).

Для защиты данных работодатель должен утвердить соответствующую политику, назначить ответственного, проводить аудит и ограничить доступ сторонних лиц к данным. И, конечно, обрабатывать информацию в России и получать согласие сотрудников. Сам работник имеет право на доступ к своим данным и может обратиться с жалобой в суд. Соответственно, компания должна создать Положение о ПД, форму согласия на обработку и форму обязательства о неразглашении.

Кстати, на сайте тоже надо дать ссылку на Политику по обработке данных, чтобы пользователи могли ее изучить и дать свое согласие.

Любое неправильное действие чревато санкциями. Самый большой штраф по ст.13.11 КоАП — за нарушение закона о ПД. Должностное лицо получит до 800 тыс. рублей, компания — до 18 млн. (при повторном нарушении). За нарушение трудового законодательства по ст.5.27 КоАП штраф составит до 70 тыс. рублей на компанию. А повторная «ошибка» чревата дисквалификацией и для директора.

Кроме того, «можно попасть» на ст.137 УК РФ — незаконный сбор и распространение сведений о частной жизни — с штрафом до 300 тыс. рублей и даже до 4 лет лишения свободы.

Все это, конечно, исходит от Роскомнадзора и его проверок. Их может быть 4:

  • плановые;
  • внеплановые;
  • документарные;
  • выездные.

Инспектор обязательно задаст все важные вопросы. Есть даже чек-лист примерно из 20 вопросов. Среди них:

  • есть ли на сайте необходимый документ;
  • соблюдаются ли сроки обработки;
  • есть ли ответственные за обработку;
  • как уничтожаются носители;
  • соблюдается ли политика «чистых столов»;
  • как организован пропускной режим и т.д.

Но надо помнить, что инспектор не может сам проверять / эксплуатировать ваши информационные системы. Это может делать только ваш работник.

В любом случае, чтобы избежать рисков, лучше подготовиться заранее и закрыть все опасные зоны.

Еще больше обо всем самом важном для компаний по защите персональных данных - в онлайн-курсе Центра обучения "Клерка". Начать проходить его можно прямо сейчас

Начать дискуссию