Роскомнадзор возобновил проверки защиты персональных данных. Прежде всего, ему интересны иностранные компании, чтобы проверить, где хранятся данные о сотрудниках, ведь штраф может достигать 6 млн рублей. К тому же, в марте вновь изменился закон и увеличились штрафы.
Что надо проверить работодателям и как избежать рисков и возможных штрафов в сфере персональных данных?
Санкции ужесточились: за оставленное на столе резюме можно заплатить 75 000 рублей, а за звонок за рекомендацией на кандидата — статью УК РФ за вмешательство в частную жизнь.
Еще одна зона риска — пропуск. Если вы оформляете их с фото для установления личности, надзор считает это биометрическими данными. Также, как и сбор личной информации на сайте. И их обработка требует согласия от людей.
Прежде всего, надо определиться с термином «обработка». В нее входит сбор, запись, хранение, использование, передача и даже уничтожение данных. Существует трансграничная передача — отправка информации за границу. Для каждого процесса есть свои правила и условия. И компания должна уведомить Роскомнадзор о том, что является оператором данных. Не надо уведомлять только, если обработка идет в рамках трудовых отношений (кадровые документы, расчет зарплаты).
Для защиты данных работодатель должен утвердить соответствующую политику, назначить ответственного, проводить аудит и ограничить доступ сторонних лиц к данным. И, конечно, обрабатывать информацию в России и получать согласие сотрудников. Сам работник имеет право на доступ к своим данным и может обратиться с жалобой в суд. Соответственно, компания должна создать Положение о ПД, форму согласия на обработку и форму обязательства о неразглашении.
Кстати, на сайте тоже надо дать ссылку на Политику по обработке данных, чтобы пользователи могли ее изучить и дать свое согласие.
Любое неправильное действие чревато санкциями. Самый большой штраф по ст.13.11 КоАП — за нарушение закона о ПД. Должностное лицо получит до 800 тыс. рублей, компания — до 18 млн. (при повторном нарушении). За нарушение трудового законодательства по ст.5.27 КоАП штраф составит до 70 тыс. рублей на компанию. А повторная «ошибка» чревата дисквалификацией и для директора.
Кроме того, «можно попасть» на ст.137 УК РФ — незаконный сбор и распространение сведений о частной жизни — с штрафом до 300 тыс. рублей и даже до 4 лет лишения свободы.
Все это, конечно, исходит от Роскомнадзора и его проверок. Их может быть 4:
- плановые;
- внеплановые;
- документарные;
- выездные.
Инспектор обязательно задаст все важные вопросы. Есть даже чек-лист примерно из 20 вопросов. Среди них:
- есть ли на сайте необходимый документ;
- соблюдаются ли сроки обработки;
- есть ли ответственные за обработку;
- как уничтожаются носители;
- соблюдается ли политика «чистых столов»;
- как организован пропускной режим и т.д.
Но надо помнить, что инспектор не может сам проверять / эксплуатировать ваши информационные системы. Это может делать только ваш работник.
В любом случае, чтобы избежать рисков, лучше подготовиться заранее и закрыть все опасные зоны.
Еще больше обо всем самом важном для компаний по защите персональных данных - в онлайн-курсе Центра обучения "Клерка". Начать проходить его можно прямо сейчас.
Начать дискуссию