Роскомнадзор проверяет, как компании соблюдают правила обработки персональных данных. За несоблюдение некоторых предусмотрены серьёзные санкции, причём не только компаниям, но и лично кадровикам — от штрафа в 300 000 рублей до лишения свободы сроком до четырёх лет.
Рассказываем, какие документы можно хранить в личных делах сотрудников, а какие — нет, какие нарушения Роскомнадзор фиксирует чаще всего и как их устранить, пока не пришла проверка.
Для начала: что такое персональные данные?
Любая информация, прямо или косвенно относящаяся к физлицу: ФИО, дата рождения, паспортные данные, СНИЛС и медицинский полис, номера счетов и банковские выписки, сведения о здоровье и кредитных обязательствах. К косвенным персданным относится любая информация о семье физического лица. Полный список можно посмотреть тут.
Что такое обработка персональных данных?
Любые действия с личной информацией — сбор и запись, систематизация и хранение, обновления и изменения, использование и передача третьим лицам. Блокировка, удаление из публичного доступа и уничтожение персональных данных — тоже обработка.
Какие нарушения фиксируют и за что штрафуют чаще всего?
Сбор и хранение лишних документов
По закону работодателю нельзя собирать и хранить лишние персональные данные сотрудников — такие, которые не относятся к трудовой деятельности. Это могут быть ксерокопии паспортов и дипломов сотрудника, копии свидетельств о рождении и браке, документы с номером СНИЛС — причём запросить их можно, но вот хранить копию — нет. Если данные зачем-то потребовалось оставить — внесите их в личную карточку работника по форме № Т-2.
Если инспектор Роскомнадзора узнает о нарушении, компании грозит штраф до 50 000 рублей.
Как исправить?
Лучше завести на сотрудника личное дело — по закону это необязательно (если вы не работаете с государственными и муниципальными служащими или педагогами), но удобнее. В личное дело помещайте только необходимые документы — остальные храните отдельно, лучше в сейфе.
Под замок можно положить копии бумаг, которые появились в рабочем процессе, — заявление о приёме на работу, копию трудового договора с допсоглашением, приказы о премиях и привлечениях к дисциплинарной ответственности, результаты медосмотров. Пришедшему инспектору показывайте не все бумаги — он может запросить только те, что соответствуют тематике проверки.
Используете неправильный бланк согласия на обработку персональных данных
Если сотрудник дал согласие на обработку личных данных, но документ был составлен неверно, за это штрафуют — кадровика на сумму от 10 000 до 20 000 рублей, компанию — от 15 000 до 75 000 рублей.
Как исправить?
Для каждой конкретной цели сбора персональных данных используйте отдельный шаблон. В одном документе должна быть указана одна цель сбора информации.
В форме, которую отдаёте на подпись, укажите адрес и паспортные данные работника, перечень сведений, на обработку которых получаете согласие, для каких целей собираете информацию и способ, как сотрудник может отозвать согласие.
Не провели внутренний аудит работы с персональными данными
По закону внутренний аудит — одна из возможных мер для защиты персональных данных. Роскомнадзор же считает, что компания должна проводить его обязательно — кто не согласен, получает предписание.
Как исправить?
Разработайте положение о внутреннем аудите и разошлите его работникам. Получите их подписи, составьте план и соберите комиссию, состав которой подтвердите внутренним приказом.
Комиссия должна будет провести аудит и оформить протокол или акт — в нём нужно указать, когда была проведена работа с персданными, и выдать рекомендации, как исправить несоответствия закону, если такие обнаружатся в результате проверки.
Забыли опубликовать политику обработки персональных данных
Если политика не опубликована на сайте компании или не находится в открытом доступе, кадровика могут оштрафовать на сумму от 3000 до 6000 рублей, а организацию — от 15 000 до 30 000 рублей.
Как исправить?
Роскомнадзор рекомендует разработать документ с политикой безопасности — формулировки можно не копировать, а адаптировать под специфику своей компании. Готовую политику нужно опубликовать на сайте компании, если его нет — распечатать и положить физическую копию в торговом зале или у входа в организацию.
Не утвердили перечень лиц, имеющих доступ к персональным данным
Сделать это нужно приказом — собрать должности всех, кому для работы нужны личные сведения о сотрудниках. Специалисты из списка могут получить доступ только к тем данным, которые необходимы им для работы.
Как исправить?
Издать соответствующий приказ. В стандартный перечень профессий, имеющих доступ к личным делам, входят гендиректор и заместители, кадровики и бухгалтеры, юристы и безопасники.
Раньше список составляли из фамилий и должностей, сейчас можно выбрать что-то одно. Укажите в документе, что сведения из личных дел работников нельзя разглашать — за это наказывают дисциплинарно, административно и уголовно.
Работники не подписали закон о персональных данных
Сотрудники, которые работают с личными данными, должны ознакомиться с действующим законодательством под подпись.
Как исправить?
Можно просить сотрудников подписывать положение о персональных данных сразу при приёме на работу — достаточно добавить соответствующий параграф в трудовой договор. Тех, кто уже работает в компании, попросите отметиться в листе ознакомления или приказе.
Неверно заполнили уведомление об обработке персональных данных
О любом действии с персданными нужно уведомить местный Роскомнадзор. За недостоверные или неполные сведения кадровик заплатит от 300 до 500 рублей, компания — от 3000 до 5000 рублей.
Как исправить?
Изучить уставы, локальные акты и договоры, регулирующие вопрос. Уведомление заполняйте самостоятельно, лучше по рекомендациям Роскомнадзора — неточности обычно берутся, если использовать шаблоны из интернета без учета специфики компании.
Забыли назначить ответственного за обработку данных
Или назначили сразу нескольких — Роскомнадзор требует, чтобы это был один человек, вне зависимости от размеров компании и количества филиалов.
Как исправить?
Назначить ответственным директора по персоналу или другого сотрудника, который подчиняется гендиректору и может управлять менеджерами подразделений.