Сегодня мы разоблачим семь частых мифов о работе с персональными данными и предоставим рекомендации о том, как избежать миллионных штрафов. Узнайте, в каких случаях Роскомнадзор проверит вашу компанию, несмотря на мораторий, и другую важную информацию.
МИФ 1
Нужно сначала подать уведомление в Роскомнадзор, а ЛНА о персональных данных подготовить потом;
Как правильно?
Компания обязана уведомить регулятора до начала обработки ПД, то есть еще до того, как оформит первого работника. Перед тем как направлять уведомление, обеспечьте безопасность ПД и подготовьте пакет документов по работе с ними. Данное правило поможет избежать штрафа от 5 до сотни тысяч рублей.
Совет
Если вы уже подали в Роскомнадзор уведомление, проверьте, чтобы данные в нем соответствовали требованиям законодательства и фактическому положению дел в компании. При необходимости актуализируйте сведения в Реестре.
МИФ 2
У работника достаточно взять одно согласие на обработку персональных данных для разных целей. Чтобы упростить себе работу, часто работодатели скачивают согласие из интернета или правовой системы, не адаптируя под реальные нужды и положения ЛНА компании. Такие ошибки могут повлечь штрафы до 500 тыс;
Как правильно
Для каждой цели обработки ПД необходимо брать отдельное согласие. Кроме цели обработки ПД, указывайте в согласии перечень обрабатываемых данных, действий с ПД, используемые способы обработки.
МИФ 3
До заключения трудового договора согласие на обработку персональных данных не требуется. Компания начинает обрабатывать ПД соискателя еще до заключения трудового договора: просит заполнить анкету, изучает трудовую книжку, паспорт, характеристику. Это сбор и обработка персональных данных;
Обработка ПД без согласия субъекта грозит компании штрафом до 150 тыс. ₽ по ч. 2 и 2.1 ст. 13.11 КоАП. Штраф за повторное нарушение составит 500 тыс. ₽.
Как правильно
Обработка ПД кандидата и обработка ПД работника преследуют разные цели и включают разный состав обрабатываемых данных. Поэтому важно разработать разные по содержанию документы.
МИФ 4
Брать согласие на обработку персональных данных из свидетельства о браке или рождении ребенка не нужно;
Как правильно
Сведения о родственниках работника — это ПД родственников, а не самого работника. Поэтому обрабатывать их можно только с согласия этих лиц. Разработайте шаблон согласия на обработку ПД родственников работника. Шаблон выдавайте работникам и просите подписать у родственников.
Совет
Если у работника несовершеннолетний ребенок, согласие запросите у самого работника как у его законного представителя.
МИФ 5
Собирать персональные данные, используя Google-сервисы, можно без уведомления Роскомнадзора. Многие используют в работе иностранные облачные хранилища, операционные системы, и пр. Это означает, что ПД работников и клиентов хранятся и обрабатываются за пределами РФ. Тем самым компания нарушает требование о локализации ПД в России и осуществляет их трансграничную передачу без уведомления Роскомнадзора.
Такие нарушения — одни из самых распространенных. За несоблюдение обязанности по локализации баз данных в РФ штрафуют на сумму до 6 млн ₽, штраф за повторное нарушение — до 18 млн ₽.
Как правильно
При передаче данных на территорию иностранного государства иностранному юрлицу необходимо соблюсти требования, предусмотренные ст. 12 Закона № 152-ФЗ. ПД граждан сперва локализуйте в России. Потом вы вправе передать их за рубеж с соблюдением требований по трансграничной передаче ПД.
МИФ 6
Требования закона о персональных данных на сайт компании не распространяются. Информация на сайте о должности, образовании специалистов компании их Ф. И. О., сбор на сайтах ПД клиентов при оформлении подписки на рассылки, заполнении формы обратной связи и пр. Все это — сбор и обработка персональных данных.
Роскомнадзор постоянно мониторит сайты и в любой момент вправе запросить документы, выдать предписание, по факту неисполнения которого провести внеплановую проверку и оштрафовать компанию. Неразмещение на сайте компании политики обработки ПД влечет штраф до 60 тыс. ₽. За сбор данных на сайте без согласия субъекта, штраф составит до 150 тыс. ₽, при повторном нарушении — до 500 тыс. ₽.
Как правильно
Получайте от пользователей сайта согласие на обработку ПД. Разместите на сайте политику обработки персональных данных. Для каждой цели обработки ПД в этом документе необходимо указать конкретику. На сайте также должно быть предупреждение о сборе cookie-файлов, данных об IP-адресе и местоположении пользователя. Сделайте «всплывающую» форму — уведомление об обработке метаданных пользователя.
МИФ 7
Пока действует мораторий на проверки, Роскомнадзора можно не бояться Мораторий на плановые проверки не распространяется на компании с высоким и чрезвычайно высоким риском. Основания для внеплановых указаны в постановлении Правительства от 10.03.2022 № 336. Риск в таком случае — от предупреждения до миллионных штрафов.
Как правильно
Обработка ПД — это постоянный процесс, а значит, и работать с документами и техническими средствами защиты необходимо непрерывно. Не относитесь к работе с ПД формально. Разработайте пакет документов под реальное содержание и потоки ПД в компании, внедрите техническую защиту, приведите сайт в порядок.
На заметку: несмотря на мораторий, в 2022 году Роскомнадзор провел 200 проверок, 3200 мероприятий без взаимодействия с компаниями, выдал 186 предписаний об устранении нарушений и взыскал штрафы на 50 млн ₽.
Если у Вас остались вопросы, команда МЦОБ готовы помочь разобраться, нажимайте на кнопку!
Подписывайтесь социальные сети МЦОБ, чтобы не пропустить полезную информацию в бухгалтерской и юридической сфере!
VK
#персональныеданные #право #закон #штраф