Рассказываем о 7 главных мифах при работе с персональными данными и объясняем, как избежать штрафов при работе с ними.

Токен erid: LDTCK2FX8

Сегодня мы разберем семь частых заблуждений о работе с персональными данными и предоставим рекомендации о том, как избежать штрафов. Узнайте, в каких случаях Роскомнадзор проверит вашу компанию, несмотря на мораторий, и другую важную информацию. 

Напомним об изменениях в законодательстве с 1 сентября 2022 года

С 1 сентября 2022 года изменился порядок сбора и обработки персональных данных физлиц. Ключевым новшеством является введение для работодателей обязанности по уведомлению Роскомнадзора о сборе персональных сведений в рамках трудовых отношений.

Что изменилось для работодателей

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • Получаемых и обрабатываемых в рамках трудового законодательства;
  • Получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
  • Относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
  • Разрешенных физлицом для распространения;
  • Включающих в себя только фамилии, имена и отчества физлиц;
  • Необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Таким образом, практически любые компании и ИП, являющиеся работодателями или планирующие заключать договоры с физлицами, должны будут заблаговременно уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных до начала такой обработки. Причем действующих работодателей, которые уже осуществляют обработку данных своих сотрудников, данная обязанность также коснется. Все они должны будут направить в Роскомнадзор уведомление о том, что планируют осуществлять сбор сведений, необходимых для оформления трудовых отношений с работниками.

Какие ошибки в работе с персональными данными допускают работодатели

Заблуждение 1

Нужно сначала подать уведомление в Роскомнадзор, а ЛНА о персональных данных подготовить потом. 

Как правильно

Компания обязана уведомить регулятора до начала обработки ПД, то есть еще до того, как оформит первого работника. Перед тем как направлять уведомление, обеспечьте безопасность ПД и подготовьте пакет документов по работе с ними. Данное правило поможет избежать штрафа от 5 до сотни тысяч рублей.

Совет

Если вы уже подали в Роскомнадзор уведомление, проверьте, чтобы данные в нем соответствовали требованиям законодательства и фактическому положению дел в компании. При необходимости актуализируйте сведения в Реестре.

Заблуждение 2

У работника достаточно взять одно согласие на обработку персональных данных для разных целей. Чтобы упростить себе работу, часто работодатели скачивают согласие из интернета или правовой системы, не адаптируя под реальные нужды и положения ЛНА компании. Такие ошибки могут повлечь штрафы до 500 тыс.

Как правильно

Для каждой цели обработки ПД необходимо брать отдельное согласие. Кроме цели обработки ПД, указывайте в согласии перечень обрабатываемых данных, действий с ПД, используемые способы обработки. 

Заблуждение 3

До заключения трудового договора согласие на обработку персональных данных не требуется. Компания начинает обрабатывать ПД соискателя еще до заключения трудового договора: просит заполнить анкету, изучает трудовую книжку, паспорт, характеристику. Это сбор и обработка персональных данных.

Обработка ПД без согласия субъекта грозит компании штрафом до 150 тыс. ₽ по ч. 2 и 2.1 ст. 13.11 КоАП. Штраф за повторное нарушение составит 500 тыс. ₽.

Как правильно

Обработка ПД кандидата и обработка ПД работника преследуют разные цели и включают разный состав обрабатываемых данных. Поэтому важно разработать разные по содержанию документы.

Заблуждение 4

Брать согласие на обработку персональных данных из свидетельства о браке или рождении ребенка не нужно.

Как правильно

Сведения о родственниках работника — это ПД родственников, а не самого работника. Поэтому обрабатывать их можно только с согласия этих лиц. Разработайте шаблон согласия на обработку ПД родственников работника. Шаблон выдавайте работникам и просите подписать у родственников.

Совет

Если у работника несовершеннолетний ребенок, согласие запросите у самого работника как у его законного представителя.

Заблуждение 5

Собирать персональные данные, используя Google-сервисы, можно без уведомления Роскомнадзора. Многие используют в работе иностранные облачные хранилища, операционные системы, и пр. Это означает, что ПД работников и клиентов хранятся и обрабатываются за пределами РФ. Тем самым компания нарушает требование о локализации ПД в России и осуществляет их трансграничную передачу без уведомления Роскомнадзора.

Такие нарушения — одни из самых распространенных. За несоблюдение обязанности по локализации баз данных в РФ штрафуют на сумму до 6 млн ₽, штраф за повторное нарушение — до 18 млн ₽.

Как правильно

При передаче данных на территорию иностранного государства иностранному юрлицу необходимо соблюсти требования, предусмотренные ст. 12 Закона № 152-ФЗ. ПД граждан сперва локализуйте в России. Потом вы вправе передать их за рубеж с соблюдением требований по трансграничной передаче ПД.

Заблуждение 6

Требования закона о персональных данных на сайт компании не распространяются. Информация на сайте о должности, образовании специалистов компании их Ф. И. О., сбор на сайтах ПД клиентов при оформлении подписки на рассылки, заполнении формы обратной связи и пр. Все это — сбор и обработка персональных данных.

Роскомнадзор постоянно мониторит сайты и в любой момент вправе запросить документы, выдать предписание, по факту неисполнения которого провести внеплановую проверку и оштрафовать компанию. Неразмещение на сайте компании политики обработки ПД влечет штраф до 60 тыс. ₽. За сбор данных на сайте без согласия субъекта, штраф составит до 150 тыс. ₽, при повторном нарушении — до 500 тыс. ₽.

Как правильно

Получайте от пользователей сайта согласие на обработку ПД. Разместите на сайте политику обработки персональных данных. Для каждой цели обработки ПД в этом документе необходимо указать конкретику. На сайте также должно быть предупреждение о сборе cookie-файлов, данных об IP-адресе и местоположении пользователя. Сделайте «всплывающую» форму — уведомление об обработке метаданных пользователя.

Заблуждение 7

Пока действует мораторий на проверки, Роскомнадзора можно не бояться Мораторий на плановые проверки не распространяется на компании с высоким и чрезвычайно высоким риском. Основания для внеплановых указаны в постановлении Правительства от 10.03.2022 № 336. Риск в таком случае — от предупреждения до миллионных штрафов.

Как правильно

Обработка ПД — это постоянный процесс, а значит, и работать с документами и техническими средствами защиты необходимо непрерывно. Не относитесь к работе с ПД формально. Разработайте пакет документов под реальное содержание и потоки ПД в компании, внедрите техническую защиту, приведите сайт в порядок. 

ВАЖНО: несмотря на мораторий, Роскомнадзор провел 200 проверок, 3200 мероприятий без взаимодействия с компаниями, выдал 186 предписаний об устранении нарушений и взыскал штрафы на 50 млн ₽.

Что нужно сделать, чтобы уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • Наименование компании (ФИО ИП) и ее адрес;
  • Цель обработки персональных данных (например, заключение трудовых договоров);
  • Категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
  • Категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
  • Направовое основание обработки персональных данных;
  • Перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
  • Сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
  • ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
  • Предполагаемая дата начала обработки персональных данных;
  • Срок или условие прекращения обработки персональных данных;
  • Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • Сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
  • Сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

  • В бумажном виде;

  • В электронном виде с использованием усиленной квалифицированной электронной подписи;

  • В электронном виде с использованием средств аутентификации ЕСИА.

Получив от компании уведомление, Роскомнадзор в течение 30 дней внесет ее в специальный реестр операторов персональных данных, с помощью которого любой желающий сможет проверить, законно ли та или иная компания осуществляет сбор и обработку его сведений или нет.

Если Ваша компания еще не подала уведомление о начале обработки персональных данных, в этом Вам помогут юристы компании “MЦОБ”.

Контакты МЦОБ:

Телефон: +7(495)230-07-13

Сайт: https://mcob.ru/

Dzen: https://dzen.ru/mcob

Tg: t.me/mcob_ru

Vk: vk.com/mcob_ru

На правах рекламы