Если компания захочет разместить у себя на сайте данные своего сотрудника (например, в разделе «команда»), ей необходимо получить два документа:
- согласие на обработку персональных данных;
- согласие на распространение персональных данных.
Согласие работника на распространение должно соответствовать следующим требованиям:
- быть оформлено отдельным документом;
- быть четким и информативным (молчание или бездействие работника не будет означать, что он дал согласие на распространение его персональных данных).
- содержать конкретный перечень сведений, разрешенных для распространения.
Компании должны уточнять у работника, какие именно сведения о себе он разрешает опубликовать (например, работник может разрешить разместить на сайте данные о ФИО, но запретить распространять сведения о дате рождения и образовании).
В согласии на распространение работник должен иметь возможность установить:
- запрет на распространение персональных данных в целом (при наличии такого запрета обрабатывать личные данные сотрудника сможет только сам работодатель, разместить их в сети будет нельзя).
- запрет на передачу личных данных неограниченному кругу лиц (кроме предоставления доступа) – в таком случае личные данные сотрудника, размещенные в общем доступе, можно будет только просматривать, но нельзя скопировать, сохранить себе на компьютер или использовать их иным образом.
- конкретные условия обработки персональных данных неограниченным кругом лиц (например, сотрудник может разрешить пользователям сайта хранить у себя его персональные данные, но запретить им их дальнейшую передачу).
Шаблон согласия на распространение персональных данных можно оформить с помощью специального сервиса на сайте Роскомнадзора.
Согласие на распространение персональных данных можно получить двумя способами:
- Непосредственно, то есть в письменном виде;
- С помощью информационной системы Роскомнадзора. Правила использования новой информационной системы вступили в силу 1 марта 2022 года (Приказ Роскомнадзора № 106 от 21.06.2021). Согласно приказу согласие на распространение предоставляется и отзыватется субъектом на информационном ресурсе оператора и должно быть подписано электронно-цифровой подписью.
Важно! Запреты и условия, указанные в согласии на распространение, должны быть опубликованы работодателем в течение 3 рабочих дней с момента их получения.
Где именно должна быть опубликована такая информация в законе не указано. Полагаем, что до предоставления регулятором разъяснений на этот счет, информацию об условиях и запретах следует размещать в том же месте, где опубликованы персональные данные (например, на сайте компании, на котором размещены личные данные сотрудника).
Работодатель обязан прекратить распространение персональных данных и удалить их из общего доступа в любое время по требованию сотрудника. Согласие на распространение перестанет действовать в момент получения работодателем такого требования.
Таким образом, если Ваша компания публикует в общем доступе персональные данные своих сотрудников:
- запросите у сотрудников, чьи данные вы публикуете на своем сайте, согласие на распространение персональных данных;
- составьте такое согласие с помощью специального сервиса на сайте Роскомнадзора или самостоятельно;
- опубликуйте на своем веб-сайте информацию об условиях обработки и запретах на обработку, которые были указаны сотрудником в согласии на распространение;
- удалите персональные данные сотрудника из общего доступа при получении от него требования о прекращении обработки его персональных данных неограниченным кругом лиц.
В 2021 году была существенна ужесточена ответственность за нарушения в области персональных данных. Теперь нарушителю грозит сразу штраф. Предупреждение исключено как мера ответственности.
Кроме того:
- Установлена ответственность за «повторное правонарушение»
- Размер штрафов увеличен в 2 раза. К примеру, за обработку персональных данных без согласия их владельца, организации грозит штраф до 150 тысяч рублей, а за повторное нарушение такого рода – до 500 тысяч рублей.
Также увеличен срок давности привлечения лица к ответственности. Ранее такой срок составлял 3 месяца. Теперь он составляет 1 год. Изменения отражены в статье 4.5. КоАП.