Закон обязывает компании информировать Роскомнадзор при передаче персональных данных работников третьим лицам.
Передача персональных данных сотрудников производится, когда организация оформляет им полиса ДМС или передает личную информацию работников в рамках зарплатных проектов в банки.
Во избежание штрафов, на предприятии необходимо разработать локальный акт – положение о персональных данных, которым будут регулироваться вопросы хранения и использования данных, а также цели их использования. В качестве цели использования личных данных работников нужно указать выплату зарплаты в рамках зарплатного проекта, а также оказание услуг в рамках ДМС. Работников знакомят с положением под подпись.
Свое согласие с тем, что работодатель получает право на обработку и хранение персональных данных, работник подтверждает, подписывая отдельный документ. Письменное согласие не нужно только в тех случаях, когда данные обрабатываются для исполнения заключенного с сотрудником трудового договора. Если согласие работник подписал, Роскомнадзор о передаче сведений в банк или при оформлении ДМС уведомлять не нужно.
За нарушения этих правил предусмотрена административная ответственность. Директора компании могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организацию – на сумму от 15 000 до 75 000 руб. (ст. 13.11 и 13.14 КоАП). Компенсацию морального вреда может потребовать и сам работник (ст. 1099 ГК).
Материал в тему. 10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор