Практически каждой организации приходится работать с персональными данными как своих сотрудников, так и клиентов. При этом важно соблюдать правила, регламентируемые Федеральным законом №152-ФЗ «О персональных данных». За соблюдением этого закона следит Роскомнадзор. Он контролирует, чтобы данные использовались с согласия владельца и никуда не просочились. О том, как соответствовать требованиям 152-ФЗ, рассказывает Анна Веденеева, генеральный директор «Бухгалтерского бюро Анны Веденеевой».
Для начала стоит разобраться какие данные считаются персональными.
Персональные данные — это любая информация, с помощью которой можно идентифицировать человека, как конкретное физическое лицо. К ним относят такие сведения, как: паспортные данные, Фамилия Имя Отчество, номер телефона, ИНН, СНИЛС, образование, профессия, имущество и доход, cookie в браузере, семейное положение, фото, ссылка на профиль в социальной сети. Если в адресе электронной почты фигурирует личная информация — Фамилия Имя Отчество или дата рождения (ivanov1979@mail.du), то она тоже относится к личным данным. То есть для того, чтобы идентифицировать человека важны скорее не сами данные, а их совокупность.
Варианты контроля
Плановая проверка
Специалисты Роскомнадзора составляют график плановых проверок еще до начала года и публикуют его на своем официальном сайте. Каждая организация может заблаговременно узнать о проверке. А также за три дня по почте придет уведомление, в котором будет указано на какую дату она назначена.
Плановые проверки проводятся раз в три года, для отдельных категорий — раз в два года.
Внеплановая проверка
Они не включены в график, проводятся по жалобам граждан, которые считают, что их права нарушили. Люди обычно жалуются на SMS-спам, назойливые звонки и прочее. Также проверку могут организовать по требованию прокурора.
О внеплановой вы будете извещены лишь за 24 часа до ее начала.
Количество внеплановых проверок неограниченно, одной жалобы достаточно, чтобы инспекторы выехали к вам.
Документарная проверка
В этом случае Роскомнадзор запрашивает копии необходимых документов или какие-либо пояснения по определенной ситуации. Запрос происходит письменно — вы получаете соответствующее письмо. И ответит на него надо в течение пяти дней.
Такие проверки проводятся исключительно по плану.
Текущий контроль
В этом случает проверка проходит без участия организации или ИП. Специалисты проверяют информацию о компании. Для того они изучают сайт, а также другие сведения, находящиеся в открытом доступе.
О такой проверке можно узнать, только в том случае, если специалисты найдут нарушения. В этом случае вы получите требование об устранении недостатков. Его надо выполнить, иначе вас оштрафуют.
Вас может заинтересовать наш материал «Как начать бизнес правильно»
Нарушения, которые может выявить Роскомнадзор
- Не уведомили территориальный орган Роскомнадзора об обработке персональных данных.
Если вы собираете личные сведения на сотрудников, в рамках трудовых отношений, уведомлять никого не нужно.
При работе с персональными данными клиентов, необходимо отправить уведомление в Роскомнадзор. А также уведомлять нужно, если вы собираетесь обрабатывать данные уволенных сотрудников или кандидатов на вакансии. Для этого используйте специальную форму на сайте ведомства. Уведомление также следует отправить и в бумажном виде.
- Не разработали политику обработки персональных данных.
Ее нужно не только сгенерировать, но и предоставить в публичном доступе — на сайте организации, в офисе или мобильном приложении.
- Отсутствует согласие на обработку персональных данных.
Согласие граждан необходимо получать в обязательном порядке. Это базовый документ, в котором прописано, какие данные и с какими целями вы планируете собрать.
Если собираете данные через интернет, то понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму сбора данных, на которой человек ставит галочку, тем самым соглашаясь на обработку персональных данных.
- Не позаботились о системе технической защиты персональных данных.
Серверы с базами данных необходимо размещать в защищенном месте, чтобы к ним имели доступ только те, кто имеет на это право. Необходимо установить антивирусные программы.
Издайте приказ, который утвердит порядок хранения персональных данных и утвердите перечень работников, которые будут иметь к ним доступ. Назначьте ответственного за обработку личной информации.
Персональные данные на бумаге храните в сейфе или в архиве.
Если компания не защитит данные, и кто-то получит к ним доступ, то ее оштрафуют. А если в результате утечки данных пострадает человек, то компания должна будет компенсировать ущерб.
- Отсутствуют внутренние документы с правилами обработки и защиты персональных данных в вашей компании.
- В личных делах сотрудников лишние документы.
К примеру, документы сотрудник должен предъявить лишь при оформлении трудовых отношений. Поэтому после завершения процедуры хранить их копии в отделе кадров не нужно.
Если в компании приняты все меры, документы поддерживаются в актуальном состоянии, уведомление подано, то контролирующему органу не к чему будет придраться.
Если вам понравилась наша статья, то, пожалуйста, поставьте лайк и подпишитесь на наш канал.
Статья была подготовлена для вас порталом Sovcom.pro