Семь документов, которые защитят от всех претензий Роскомнадзора
Что вы узнаете: какие документы нужно оформить генеральному директору, чтобы проверяющие не смогли придраться.
В 2019 году инспекторы Роскомнадзора стали чаще придираться к личным делам работников при проверке компаний. Также контролеры запрашивают все локальные акты организации, касающиеся работы с персональными данными.
Всего за одну ошибку в документах, за лишние бумаги или их отсутствие, а также за неправильное хранение документов компанию могут оштрафовать на сумму до 75 тыс. руб. Штрафуют за каждое отдельное нарушение. Например, за одну и ту же ошибку, но допущенную в отношении 10 сотрудников, компания может лишиться до 750 тыс. руб.
Мы разобрали семь основных документов, которые потребуют у вас инспекторы, и рассказали о том, что нужно сделать генеральному директору, чтобы избежать претензий и штрафов.
Этот документ определяет, как ваша компания обрабатывает и защищает персональные данные. Акт распространяется на ваших сотрудников, клиентов, контрагентов и других лиц. Отсутствие политики обработки персональных данных или документ с ошибками — повод для внеплановой проверки Роскомнадзора.
Что сделать. Если в вашей компании еще нет политики обработки данных — разработайте такой документ. Составляют его в произвольной форме, но содержание должно соответствовать закону. Роскомнадзор разъяснил, как его составить, в Рекомендациях от 27.07.2017. Главное, не копировать все формулировки из рекомендаций. Учитывайте специфику работы вашей компании.
Документ по обработке персональных данных нужно разместить в открытом доступе на вашем корпоративном сайте. Если сайта нет, документ нужно распечатать и сделать доступным для заинтересованных лиц. Например, сделать стенд при входе в компанию или в торговом зале.
Если документа нет в открытом доступе, ответственное должностное лицо оштрафуют на 3–6 тыс. руб., а компанию — на 15–30 тыс. руб. (ч. 3 ст. 13.11 КоАП).
Это второй обязательный акт, который регулирует порядок хранения и использования персональных данных сотрудников (абз. 5 ст. 88 ТК, п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ). Роскомнадзор проверяет наличие такого положения в компании.
Что сделать. Документ составляют в произвольной форме, главное, чтобы его содержание не противоречило закону. В положении нужно указать состав персональных данных, порядок их обработки, передачи третьим лицам, права и обязанности работников при обработке персональных данных и т. д. Сотрудников нужно ознакомить с положением под подпись (ст. 22, 68, 88 ТК).
Письменное согласие сотрудника на обработку персональных данных безопаснее получить, хотя оно необходимо не всегда. Согласие нужно, когда компания обрабатывает биометрические данные. Например, сотрудникам выдают пропуска с фотографией. Если передаете информацию о работнике или запрашиваете ее у третьих лиц, тоже получайте письменное согласие. Не требуется оно, только если передаете информацию налоговикам, ФСС или ПФР, а также когда жизни или здоровью сотрудника что-то угрожает.
Когда принимаете на работу нового сотрудника, вам необходимо получить согласие на обработку персональных данных, если собираете дополнительную информацию. Например, номер телефона, адрес личной электронной почты и т. д. Трудовой договор можно заключить и без этих сведений, тогда согласие на обработку не нужно, но лучше перестраховаться (исключения указаны в п. 2, 5 ч. 1 ст. 6 Закона № 152-ФЗ, абз. 1, 2 Разъяснений Роскомнадзора от 14.12.2012).
Что сделать. Не используйте шаблонное согласие. Поручите ответственному сотруднику каждый раз оформлять отдельный документ, иначе компанию оштрафуют на 75 тыс. руб. за каждое нарушение. Если будете обрабатывать персональные данные без согласия работника, компанию тоже оштрафуют на 75 тыс. руб. Такой же штраф грозит, если в согласии отсутствуют необходимые реквизиты (ч. 2 ст. 13.11 КоАП).
Четыре распространенные ошибки в бланке:
- не указан адрес или паспортные данные работника;
- нет перечня персональных данных, на обработку которых компания получает согласие;
- не указан способ, как работник может отозвать согласие;
- указано несколько целей обработки персональных данных.
Генеральному директору нужно назначить сотрудника, который будет отвечать за персональные данные. Этот человек должен подчиняться генеральному директору напрямую. Например, таким лицом может стать директор по персоналу или по информационной безопасности.
Необходимо издать приказ об учреждении перечня лиц, допущенных к обработке персональных данных. Обычно в него входят генеральный директор, его заместители, работники кадровой службы, бухгалтерии, службы безопасности, юридического отдела и т. д. В приказе нужно указать, к каким именно данным есть доступ у каждого работника.
Необязательно указывать в приказе Ф. И. О. каждого работника, достаточно составить список должностей. Так не придется вносить изменения каждый раз при приеме и увольнении работников.
Что сделать. В должностных инструкциях и трудовых договорах должна быть информация о том, что сотрудники обрабатывают персональные данные без использования средств автоматизации. Сотрудников нужно известить под подпись, что они работают с персональными данными, иначе Роскомнадзор сочтет это нарушением. Можно оформить лист ознакомления работников с положениями законодательства о персональных данных и внутренними документами, касающимися их обработки, или сразу включить все положения в трудовой договор.
Сотрудники, которые работают с персональными данными, должны подписать обязательство о неразглашении (в двух экземплярах). Так они будут нести ответственность за утечку личных данных, в противном случае их нельзя за это наказать.
Что сделать. Проинформируйте работников, что за нарушение правил обращения с личными данными Роскомнадзор может оштрафовать их на 5–10 тыс. руб. (ст. 13.14 КоАП). Вы же можете уволить сотрудника за разглашение, оформить замечание или выговор. При этом нужно учитывать последствия проступка.
Инспекторы запрашивают приказ, в котором вы утвердили перечень мест хранения материальных носителей персональных данных. Например, журналы, папки, дела и т. д. Нельзя оставлять такие документы на столах и стеллажах. Это должно быть место, к которому нет свободного доступа.
Что сделать. Издайте приказ, в котором утвердите перечень мест, где храните материальные носители персональных данных. В кабинетах, где обрабатывают персональные данные, таким местом могут быть сейфы или запираемые шкафы. Можно назначить местом хранения и целое помещение — архив компании.
Если Роскомнадзор обнаружит, что вы храните лишние документы с персональными данными сотрудников, вас оштрафуют. Рискованно хранить копии паспортов, дипломов, свидетельств и т. д. Если документы нужны — необходимо получить согласие работника на их хранение.
Что сделать. Разработайте акт об уничтожении персональных данных — это локальный документ, который регламентирует срок и способ уничтожения информации. Компании дается 30 дней на то, чтобы избавиться от данных (ч. 4 ст. 21 Закона № 152-ФЗ). Бумаги можно сжечь, уничтожить с помощью шредера, заключить договор со специализированной организацией.
Срок в 30 дней не действует, если период хранения данных определяет закон или договор. Например, после увольнения сотрудника из компании уничтожать его персональные данные не нужно.
Гендиру не стоит принимать решение об уничтожении личной информации самостоятельно. Лучше создать комиссию. Для этого нужно издать приказ в произвольной форме. В ее состав входят председатель и еще двое сотрудников. В комиссии должен быть работник, ответственный за уничтожение документов. Уничтожение нужно зафиксировать в специальном журнале или акте. Укажите в них документы, дату и способ уничтожения.
