Что актуализировать в обязательных кадровых документах

• 1 урок

• 2 урок

• 3 урок

1 УРОК ИЗ 3

Документы по персданным: как не допустить, чтобы Роскомнадзор разорил компанию

Автор: Надежда Киселева, юрист образовательного проекта по трудовому законодательству и HR

Работа с персональными данными пугает всех, ведь за каждую ошибку в обработке или хранении такой информации компанию накажут до 75 тыс. руб. Но это вас не коснется, если сможете показать документы, которые захочет увидеть проверяющий, и будете знать ответы на самые актуальные вопросы по проверке. На уроке вместе разберем, какие документы потребует Роскомнадзор, а также ответим на вопросы, которые возникли у ваших коллег по персданным из-за коронавируса.

Какие документы по персданным спросит Роскомндзор

Если специалисты Роскомнадзора придут проверять, как вы работаете с персональными данными своих сотрудников, будьте готовы показать локалку и другие документы о персданных. Это не только поможет избежать штрафов, но и не даст запутаться при работе с информацией, которая относится к персональной. Разберем каждый документ.

Политика обработки персональных данных. Политика – не локальный акт, она распространяется не только на сотрудников, но и на клиентов, контрагентов компании. Название документа говорит за себя. Этот документ определяет направления работы компании по обработке и защите персональных данных.

Как составить документ о политике при работе с персданными, разъяснил Роскомнадзор. Чтобы документ работал на вас – не стоит копировать формулировки ведомства, ориентируйтесь на специфику вашей организации.

Важно не только разработать, но и опубликовать политику на сайте компании. Если его нет, то сделайте документ в бумажном виде доступным для всех заинтересованных лиц. Например, разместите в торговом зале, при входе в организацию. Если работодатель не разместил политику обработки персональных данных в открытом доступе, должностное лицо накажут на сумму до 6000 руб., организацию – до 30 000 руб.

Положение о персональных данных работников. В компании должен быть документ, который говорит, как хранить и использовать персональные данные сотрудников. Роскомнадзор проверит, утвердил ли работодатель положение о персональных данных.

Документ составляют в произвольной форме, но его содержание должно соответствовать закону. Поэтому, в положении прописывают состав персональных данных, порядок их обработки, передачи третьим лицам, права и обязанности работников при обработке персональных данных. Все сотрудники должны быть ознакомлены с положением под подпись. 

Согласие на обработку персональных данных. По общему правилу брать согласие на обработку персданных – надо. Если его не взять, то за каждый случай компании грозит штраф до 75 000 руб. Представьте, если ошибку сделать в отношении хотя бы 15 сотрудников – компания потеряет миллионы. На ту же сумму могут оштрафовать, если в согласии нет необходимых реквизитов. Но вы – ответственный и внимательный кадровик, поэтому не подведете компанию под штраф. Не будет лишним вспомнить основные моменты в согласии на обработку персональных данных.

Письменное согласие сотрудника на обработку персданных требуется, в частности, если компания обрабатывает биометрические данные. Например, сотрудники проходят на территорию по пропускам с фотографией.

Есть еще случаи, кода согласие на обработку не нужно. Например, когда обработку пересданных и публикацию их в Интернете требует закон.          Если согласие нужно, то не забудьте указать все обязательные реквизиты.

Чтобы получить дополнительную информацию о работнике, например, номер его мобильного телефона или адрес личной электронной почты, потребуется его согласие. Ведь и без подобных сведений стороны могут исполнять трудовой договор. Поэтому, чтобы исключить спорные ситуации, безопаснее получать у новых сотрудников письменное согласие на обработку данных и включать в него информацию, которую планируете обрабатывать.

Согласие на передачу персональных данных. Чтобы передать персональные данные, нужно получить отдельное согласие работника

В стандартном согласии об обработке персданных больше нельзя указывать, что сотрудник не возражает, чтобы его данные работодатель передавал третьим лицам. Для этого теперь нужно отдельное согласие. Более того, в нем должна быть графа, где сотрудник сможет отметить, какую информацию он согласен передавать и куда, а какую нет.

Например, сотрудник согласен, чтобы на сайте компании разместили его фотографию, имя и должность, но дату рождения хочет оставить в тайне. В таком случае в согласии на распространение напротив даты рождения он напишет «нет» или «не согласен». Если из согласия непонятно, разрешил ли сотрудник передавать сведения о нем, делать этого нельзя, ч. 4 ст. 10.1 Закона от 27.07.2006 № 152-ФЗ, далее — Закон о персданных.

Сотрудник вправе определить, какие данные о себе он не разрешает никому передавать. Но такой запрет не действует, если обязанность передавать информацию устанавливает закон, ч. 11, 15 ст. 10.1 Закона о персданных.

Независимо от решения сотрудника, вы должны передавать данные в ПФР, налоговую, военкомат и т. д. Еще одна ситуация — если данные о работнике запрашивают врачи или правоохранительные органы.

Если сотрудник обратился к вам с требованием прекратить распространять информацию, которую ранее он в согласии передавать разрешил, немедленно прекращайте. С этого момента его согласие на распространение больше не действует.

В требовании сотрудник напишет Ф. И. О., номер телефона, адрес электронной почты или почтовый адрес и укажет персданные, передавать которые он запрещает. В таком случае вы сможете продолжать их обрабатывать, но не распространять, ч. 12-13 ст. 10.1 Закона о персданных.Сотрудник вправе потребовать, чтобы обрабатывать его персданные прекратили не только вы, но и те, кому вы их уже передали, ч. 14 ст. 10.1 Закона о персданных. В таком случае объясните работнику, что направить требование третьим лицам он должен лично. Ваша обязанность — предоставить ему данные тех, кто получил от вас информацию о работнике.

А теперь давайте посмотрим, как выглядит такое согласие.

Теперь вы можете быть уверенными, что согласия на обработку и передачу персональных данных оформите правильно. Но чтобы не занимать свое время можете воспользоваться онлайн конструктором. С помощью него можете будет легче и быстрее составить согласия.

Приказ о назначении ответственного и доступе работников к персданным. Работодатель обязан назначить ответственного за организацию работы с персданными и утвердить перечень лиц, которых допустили к обработке персональных данных. Это сотрудники, которые работают с личными данными работников, клиентов. В приказе укажите, к каким данным имеет доступ конкретный работник.

Приказ о назначении ответственного и доступе работников к персданным. Работодатель обязан назначить ответственного за организацию работы с персданными и утвердить перечень лиц, которых допустили к обработке персональных данных. Это сотрудники, которые работают с личными данными работников, клиентов. В приказе укажите, к каким данным имеет доступ конкретный работник.

В должностные инструкции или трудовые договоры сотрудников, допущенных к работе с личными данными, включите информацию о том, что они обрабатывают эти данные без использования средств автоматизации.

Часто ответственным за обработку персональных данных назначают кадровика, бухгалтера, секретаря. Логика компании – сотрудник работает с документами, значит, может отвечать и за персональные данные. Однако возлагать такие функции закон разрешает не на любого сотрудника. Есть критерии, которые нужно соблюдать.

Сотрудник должен быть компетентен, напрямую подчиняться гендиректору и быть готовым организовывать обработку данных масштабе организации. Поэтому в большинстве случаев назначить кадровика будет ошибкой. Это допустимо только в маленькой компании.

Безопаснее сделать ответственным за персданные директора по информационной безопасности или по персоналу.

Обязательство о неразглашении персданных. Получите у сотрудников, которых допустили к обработке персональных данных, обязательство о неразглашении. Только в этом случае вы сможете наказать их, если произойдет утечка личных данных. Обязательство составьте в двух экземплярах. Один остается в компании, другой отдайте сотруднику.