Этот год «подарил» кадровикам и эйчарам много изменений в персональных данных. Миллионные штрафы для Facebook, Google и др. — дело серьезное для каждого работодателя. Чтобы избежать санкций, любой специалист должен знать, что и как можно делать с личной информацией сотрудников.
Коротко разберем самые важные пункты.
В чем ошибаются чаще всего
Вот перечень самых распространенных ошибок в сфере персональных данных:
- не оформляется согласие с кандидатами;
- данные кандидатов хранятся более 30 дней;
- в компании есть общие источники данных — сайт, сетевые диски, где хранятся данные, но на это нет согласия сотрудников;
- в компании нет ответственности за этот процесс;
- в согласии указывается несколько целей обработки.
Каждая из перечисленных ошибок чревата штрафом до 150 тыс. рублей, а если серверы находятся за рубежом — штраф может достигать 6 млн рублей! Кстати, именно с этим связаны санкции для мировых соцсетей.
Что важно знать
Прежде всего, надо отталкиваться от понятия персональных данных. Это любая информация, которая относится к конкретному человеку. Данные бывают:
- обычные;
- специальные;
- биометрические.
К первым относятся ФИО, документы, даты, паспорт, доход. Ко вторым — раса, национальность, вера, политические взгляды, здоровье. И наконец, биометрия — это отпечатки пальцев, оболочка глаз, рост, вес, фото и видео.
Например, оформляя сотруднику пропуск с фото, вы используете биометрические данные.
Далее, надо помнить, что каждая компания использует данные сотрудников, а значит, является оператором персональных данных. Проверить это можно на сайте Роскомнадзора в «Реестре операторов персональных данных».
Еще больше о защите персональных данных и важных для любой компаии моментах мы рассказываем в онлайн-курсе «Клерка»: начинайте проходить как можно скорее, чтобы избежать штрафов.
Так или иначе, надо получать согласие людей на обработку (сбор, запись, хранение, передача).
Если обработка нужна для выполнения закона (начисление зарплаты, оформление договора, передача данных в фонды), то по закону согласие не нужно, во всех других целях — для каждой потребуется разрешение от человека.
Еще один блок — соискатели. Правильный вариант — с каждым кандидатом, информацию о котором обрабатывает компания, подписывать соответствующее соглашение. И, если человека не взяли в штат, прекратить использовать данные и удалить их в течение 30 дней — так гласит закон.
Как себя обезопасить от штрафов
Важнейшая часть работы для компании в отношении персональных данных — это грамотно составленный документальный фонд.
В компании должно быть минимум несколько документов: Положение, Политика по обработке, форма согласия, назначение ответственного по обработке. И, как минимум, уведомление для Роскомнадзора.
Скажем, если вы передаете данные третьим лицам в случаях, не предусмотренных законом, об этом обязательно надо сообщить в ведомство, иначе это признают нарушением.
А еще проверьте, размещена ли информация о политике обработки данных в общедоступном месте.
Изменения в законе в 2021 г. гласят: у сотрудников должен быть свободный доступ к этой информации, они должны знать, как обрабатывается их личная информация.
Начать дискуссию