Любая организация собирает, использует, хранит и передает персональные данные, а значит, все компании — операторы персональных данных. Для них власти разработали правила, как в разных ситуациях действовать с информацией, содержащей личные сведения граждан. За нарушение требований предусмотрены немаленькие штрафы.
Навигация
← Обратно к теме № 1 «НПА по персональным данным»
← К теме № 2 «Необходимый минимум документов по работе с персданными»
← К теме № 3 «Биометрические персональные данные»
Уведомляем о начале обработки персональных данных
Первым делом организация обязана подать уведомление в Роскомнадзор о том, что собирается работать с персональными данными. Уведомление подается либо в бумажном варианте, либо в электронном виде. Все подробности его заполнения и необходимая форма представлены на сайте ведомства.
Подача уведомления — это фактически заявка на регистрацию в реестре операторов, постановка на учет в Роскомнадзоре. А дата, которая в нем указана, — это дата начала обработки персональных данных. Потому рекомендуется указывать не фактическую дату подачи уведомления, а дату регистрации организации.
Спустя 2-3 недели следует проверить, что компанию внесли в список операторов персональных данных. В реестре указан регистрационный номер и реквизиты приказа Роскомнадзора, которым организация внесена в перечень. Эти данные — своего рода согласие, одобрение ведомства на то, чтобы компания обрабатывала персональные данные. При желании, вы можете заказать выписку из реестра, которой в дальнейшем можно будет подтвердить даже в суде, что вы законно работали с персональными данными.
Если понадобится уточнить данные об организации, целях обработки, Ф.И.О. уполномоченного лица, ответственного за работу с личной информацией, иные моменты, подавайте информационное письмо с указанием тех сведений, которые меняются. После проверки Роскомнадзор уточнит данные в реестре. Если у чиновников возникнут вопросы, они направят письмо, на которое надо предоставить письменный ответ в течение 30 дней.
Находим работников
При поиске сотрудников работодатель сталкивается с необходимостью обрабатывать персональные данные соискателей. Чтобы все было законно, рекомендуем обратить внимание на разъяснения Роскомнадзора об обработке личных сведений соискателей на замещение вакантных должностей.
Чиновники считают, что на период принятия решения о приеме на работу либо отказе в трудоустройстве организации обязаны получать согласие соискателя на обработку его личных сведений. Только при его наличии допускается изучение анкеты или резюме гражданина. В случае заполнения анкеты в электронном виде, например, на сайте компании, соискателя уведомляют об обработке его персональных данных и ее целях.
Исключение — соискатель самостоятельно предоставил информацию о себе в интернете либо взаимодействует с потенциальным работодателем через кадровое агентство. Но если в адрес компании гражданин направил резюме (анкету) по электронной почте или иным каналам связи, и невозможно подтвердить, что это сделало конкретное физлицо — владелец личной информации, Роскомнадзор рекомендует уничтожить документ в день его получения.
Если гражданин принес анкету (резюме) лично, но после собеседования ему отказали в трудоустройстве, документы с личными данными соискателя следует вернуть владельцу или уничтожить в течение 30 дней, считают чиновники. Исключение — гражданская служба, где законом предусмотрено формирование кадрового резерва и трехлетний срок хранения сведений о потенциальном работнике.
Пример согласия соискателя:
Формируем личные дела
Итак, подписан приказ о приеме на работу и трудовой договор. Чтобы законно работать с персональными данными новоиспеченного работника, получите письменные согласия от него. Учтите, что есть разные виды согласий, но 2 из них обязательны — на обработку и на обработку с целью распространения.
Все согласия, как и копии документов с персональными данными, которые вам принесет работник, следует вложить в личное дело. Но здесь есть нюанс. Если для реализации цели обработки персональных данных вам документы не нужны, уничтожайте их.
Возьмем, к примеру, копию паспорта. На первый взгляд, ни для каких целей в личном деле она не нужна. Чтобы платить налоги, есть ИНН. Чтобы вести персонифицированный учет — СНИЛС. Тем не менее, в некоторых регионах военкоматы требуют, чтобы работодатели имели копию удостоверения личности военнообязанного гражданина вместе с копией военного билета.
А нужны ли в личном деле копии свидетельств о браке или рождении детей? Очевидно, что нет, они не нужны для исполнения обязанностей по трудовому договору. Используйте необходимые персональные данные из таких документов для тех целей, которые преследовались (например, оформление налогового вычета, предоставление доказательств преимущественного права на оставление на рабочем месте), а затем уничтожьте копии. В противном случае компанию и должностное лицо смогут оштрафовать за необоснованное хранение персональных данных.
Совсем другое дело — резюме, копия диплома об образовании, справка о несудимости, согласие на размещение фото на доске почета и иные документы, без которых компания не сможет осуществлять законные обязательства по заключенному с работником договору.
В законе не представлен перечень, какие документы с персональными данными хранить безопасно. И такой список должен составить сам работодатель. Поэтому внимательно пересмотрите, какие документы с персональными данными оставить безопасно, а какие следует уничтожить, чтобы не оштрафовали.
Что делать, если работник отозвал согласие на обработку и распространение персональных данных
Для должностных лиц предусмотрены очень высокие штрафы за обработку персональных данных без письменного согласия их владельца — до 300 000 рублей (п. 2 ст. 13.11 КоАП РФ), а компаниям в случае нарушения грозит до 700 000 рублей. Но что делать, если работник отозвал разрешение использовать его личные сведения? Уволить его на этом основании нельзя, а работать дальше, соблюдая требования законодательства в области персональных данных, необходимо.
В этом случае изучите список оснований, при наличии которых оператор вправе не запрашивать согласие гражданина и работать с его личной информацией, которые предусмотрены пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона от 27.07.2006 № 152-ФЗ о персональных данных.
Помимо этого, согласие разрешается не брать, когда:
- персональные данные обрабатываются для исполнения трудового договора с работником либо обязанностей, функций и полномочий работодателя (п. 2, 5 ч. 1 ст. 6 Закона о персональных данных). Здесь речь идет о взаимодействии с налоговиками, СФР, правоохранительными и контролирующими органами, судами;
- организация или конкретное физлицо обязаны обрабатывать персональные данные в соответствии с законом. Например, медицинские организации обязаны информировать пациентов о своих врачах, их образовании и квалификации, в том числе путем публикации таких материалов в интернете;
- персональные данные используются для защиты жизни, здоровья владельца личной информации или иных лиц, но получить согласие невозможно;
- работодатель ввел и осуществляет пропускной режим на свою территорию;
- обрабатываются сведения уволенных работников для, например, осуществления бухгалтерского и налогового учетов.
Если у вас имеются дополнительные документы (их копии) с персональными данными, которые вы обрабатывали на основании согласия, прекращайте их обработку — закрывайте к ним доступ лицам, которым они не нужны по долгу службы, уничтожайте их.
Что делать при утечке персональных данных
В обязанности организации — оператора персональных данных входит не только обработка в соответствии с заявленными целями, но и обеспечение безопасности персональных данных. Для этого в организации назначают ответственного работника, вводят ограниченный доступ к личной информации работников и клиентов, уточняют требования к помещениям, где хранятся бумажные документы, и носителям информации, если сведения и базы данных электронные. Кроме того, следует определить, какой уровень защищенности обязана установить организация, и что под этим подразумевается, исходя из требований о защите персональных данных, утв. Постановлением Правительства РФ от 01.11.2012 № 1119.
Если утечка все же произошла, следует сразу же заблокировать доступ к данным. Помимо этого, закон требует в течение 24 часов сообщить о неправомерной или случайной передаче персональной информации в Роскомнадзор. В течение 72 часов необходимо провести внутреннее расследование, выяснить, по чьей вине допущена утечка, какие данные были утрачены, какие меры по устранению последствий инцидента приняты, если возможно — какой ущерб нанесен владельцам утекших персональных данных (см. критерии оценивания в Приказе Роскомнадзора от 27.10.2022 № 178).
Сообщения об утечке и результатах расследования подаются на сайте Роскомнадзора в специальном разделе.
Если компания самостоятельно не сообщит об инциденте, его вреде и мерах по устранению последствий, Роскомнадзор все равно узнает об утечке. Например, от тех же работников, которые вправе пожаловаться на недостаточную защиту своих персональных данных. И тогда работодателя вправе оштрафовать за неисполнение обязанностей оператора.
Если утечка произошла из-за хакерской атаки на информационные системы, помимо уведомления Роскомнадзора, компания обязательно сообщает об инциденте еще и в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), уведомления из которой расследует специальный центр при ФСБ. Перечень информации, которую следует предоставить, и порядок подачи информации прописаны в Приказе ведомства от 24.07.2018 № 367. Само сообщение об инциденте подается на официальном сайте Национального координационного центра по компьютерным инцидентам.
Как и сколько хранить документы с персональными данными
Требования к помещениям, где хранятся документы с личной информацией работников, специально не установлены. Но поскольку это данные, которые предполагают наличие максимальной защиты, бумажные документы рекомендуется хранить в сейфах в специально оборудованных помещениях с особым режимом доступа. Еще одна рекомендация — вести журналы учета выдачи или передачи документов с персональными данными определенным работникам, государственным органам. Грамотно составленные журналы включают такие сведения, как получатель документов, цель и сроки использования, даты получения и возврата, список выданных документов (данных). Все это упростит работу с персональными данными и, при необходимости, докажет, что организация делала все, чтобы обеспечить защиту личной информации.
Что касается сроков хранения, то документы и данные хранятся столько, сколько это необходимо для заявленных целей. Если речь о трудовых отношениях, то после расторжения трудового договора, полного расчета с сотрудником и выполнения работодателем всех обязанностей по отчетности персональные данные уничтожаются либо обезличиваются.
Вместе с тем обратите внимание на Приказ Росархива от 20.12.2019 № 236. По нему, к примеру, документы о выплате пособий и материальной помощи хранятся 5 лет, бумаги о расследовании и учете профессиональных заболеваний — не менее 50 лет, а согласия на обработку персональных данных — 3 года.
Как уничтожать персональные данные
В зависимости от ситуации, в законе № 152-ФЗ указаны конкретные сроки уничтожения документов с персональными данными. Так, если они получены незаконно, то уничтожить их следует в течение 7 дней, а если цель обработки достигнута или работник отозвал согласие — в течение 30 дней.
Для правильного оформления уничтожения персональных данных изучите Приказ Роскомнадзора от 28.10.2022 № 179, где представлены требования к подтверждению факта уничтожения. Саму процедуру проводят после выпуска распоряжения об уничтожении конкретных бумажных или электронных носителей персональных данных. В документе прописан:
- состав комиссии, которая займется уничтожением;
- перечень уничтожаемых носителей и документов;
- способы уничтожения (для бумажных документов — например, разрезание, сжигание, измельчение, для электронных носителей — удаление с устройств, механическая порча диска).
По итогам процедуры уничтожения составляется акт. А если при обработке персональных данных использовались средства автоматизации, то еще и выгрузка из журнала регистрации событий в информсистеме. Требования к обоим документам подробно описаны в Приказе Роскомнадзора № 179, но самих бланков нет, их придется разработать и утвердить в ЛНА самостоятельно.
Вот пример акта об уничтожении персональных данных, который вы можете использовать в качестве образца:
Документы, подтверждающие уничтожение персональных данных, хранятся 3 года.
Вопросы для самопроверки
Проверьте себя — ответьте на несколько ключевых вопросов по теме. Каждый вопрос разверните, нажав на него мышкой — и увидите правильный ответ.
-
Надо ли вести личные дела?
На усмотрение работодателя.
-
Надо ли брать согласие на обработку персональных данных у соискателя на работу?
Надо.
-
В течение какого срока надо уничтожить персональные данные при отзыве согласия?
В течение 30 дней.
Постановление Правительства РФ от 01.11.2012 N 1119
Федеральный закон от 27.07.2006 N 152-ФЗ
Приказ ФСБ России от 24.07.2018 N 367
Приказ Росархива от 20.12.2019 N 236
Приказ Роскомнадзора от 27.10.2022 N 178
Приказ Роскомнадзора от 28.10.2022 N 179
Статья 13.11 КОАП РФ. Нарушение законодательства Российской Федерации в области персональных данных