Государственные органы, а именно Роскомнадзор и Государственная Инспекция Труда (ГИТ), вплотную взялись за проверки предпринимателей. Проверяют не только крупные организации, но и микро-предприятия и индивидуальных предпринимателей.
В случае выявления нарушений по обработке персональных данных Работника реальные штрафы грозят не только организации или ИП, но и лицу, ответственному за обработку персональных данных. Роскомнадзор составляет акт и отправляет в прокуратуру, для принятия решения.
Не стоит надеяться, что проверки проводятся только у крупных предприятий. Уделять внимание защите персональных данных должны все, у кого есть сотрудники.
При этом, проверяющие органы заранее запрашивают документацию, поэтому всегда есть время подготовится.
Штрафы
Если не утверждено Положение о персональных данных административный штраф за нарушение трудового законодательства по статье 5.27 КоАП РФ. Штраф может составить от 30 000 до 50 000 рублей.
За невыполнение предписания Роскомнадзора об устранении нарушений законодательства о персональных данных возможен административный штраф до 20 000 рублей (статья 19.5 КоАП РФ). Если же просто не ответить на запрос этого органа касательно персональных данных, то штраф может составить до 5 000 рублей (статья 19.7 КоАП РФ).
Документы
Для того, чтобы успешно пройти проверку Роскомнадзора и избежать штрафов, Работодатель обязан разработать и подготовить ряд документов. Обработка персональных данных регулируются Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).
- Первый документ для Работодателя, регулирующий порядок хранения и использования персональных данных работодателя обязывает разработать статья 87 Трудового кодекса, является Положение о персональных данных (далее –Положение).
Положение необходимо утвердить Приказом по организации, ознакомить с ним в обязательном порядка всех Работников (как уже работающих, так и вновь принимаемых).
- Приложением к данному Положению будет «Согласие на обработку персональных данных» о том, что организации можно получить и обрабатывать персональные данные на основании письменного согласия работника.
- Далее организация/руководитель должны издать приказ о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо («кадровый сотрудник», «бухгалтер», «сам руководитель», так и подразделение («отдел кадров» «отдел бухгалтерии» и тд), в таком случае личную ответственность будет нести руководитель такого подразделения.
- Также потребуется утвердить Приказ об утверждении перечня персональных данных сотрудника, содержащий перечень персональных данных, которые используются в деятельности организации.
- Если говорить о защите персональных данных внутри организации, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом.
- Работодатели обязаны соблюдать режим конфиденциальности персональных данных (статья 7 Закона № 152-ФЗ). В подтверждение того, что Работодателем соблюдается режим конфиденциальности персональных данных (статья 7 Закона № 152-ФЗ ), контролирующие органы могут потребовать представить Журнал учета персональных данных, где указано, кто и когда имел доступ к конфиденциальной информации. Форма журнала не установлена, поэтому Работодатель разработать ее требуется самостоятельно.
Сэкономить время и сосредоточиться на своей основной работе можно заранее подготовит документацию, которую обычно разрабатывает специалист отдела кадров либо бухгалтер, если такого нет, всегда можно обратиться за помощью к стороннему специалисту либо организации, которые не только подготовят документы, но и пошагово распишут порядок их внедрения использования.