Работа с персональными данными
В настоящее время государственные органы, а именно Роскомнадзор, взялись вплотную за проверки предпринимателей, не только крупных организаций, но и микро-предприятий, индивидуальных предпринимателей, которые обычно не уделяют должного внимания защите персональных данных, полагая, что проверки проводятся только у крупных работодателей. Однако, проверки стали совместными идет проверка государственная инспекции труда (ГИТ) и проверка Роскомнадзора.
В случае выявления нарушений по обработке персональных данных Работника реальные штрафы грозят не только организации или ИП, но и лицу, ответственному за обработку персональных данных. Роскомнадзор составляет акт и отправляет в прокуратуру, для принятия решения.
При этом, проверяющие органы заранее запрашивают документацию, поэтому есть время подготовится. Поэтом правильная работа с персональными данными сейчас стала особенно важна.
1. Для начала немного о штрафах:
Если не утверждено Положение о персональных данных административный штраф за нарушение трудового законодательства по статье 5.27 КоАП РФ. Штраф может составить от 30 000 до 50 000 рублей.
За невыполнение предписания Роскомнадзора об устранении нарушений законодательства о персональных данных возможен административный штраф до 20 000 рублей (статья 19.5 КоАП РФ). Если же просто не ответить на запрос этого органа касательно персональных данных, то штраф может составить до 5 000 рублей (статья 19.7 КоАП РФ).
2. По документам:
Для того, чтобы успешно пройти проверку Роскомнадзора и избежать штрафов, Работодатель обязан разработать и подготовить ряд документов. Обработка персональных данных регулируются Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).
- Первый документ для Работодателя, регулирующий порядок хранения и использования персональных данных работодателя обязывает разработать статья 87 Трудового кодекса, является Положение о персональных данных (далее –Положение).
Положение необходимо утвердить Приказом по организации, ознакомить с ним в обязательном порядка всех Работников (как уже работающих, так и вновь принимаемых).
- Приложением к данному Положению будет «Согласие на обработку персональных данных» о том, что организации можно получить и обрабатывать персональные данные на основании письменного согласия работника.
- Далее организация/руководитель должны издать приказ о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо («кадровый сотрудник», «бухгалтер», «сам руководитель», так и подразделение («отдел кадров» «отдел бухгалтерии» и тд), в таком случае личную ответственность будет нести руководитель такого подразделения.
- Также потребуется утвердить Приказ об утверждении перечня персональных данных сотрудника, содержащий перечень персональных данных, которые используются в деятельности организации.
- Если говорить о защите персональных данных внутри организации, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом.
- Работодатели обязаны соблюдать режим конфиденциальности персональных данных (статья 7 Закона № 152-ФЗ). В подтверждение того, что Работодателем соблюдается режим конфиденциальности персональных данных (статья 7 Закона № 152-ФЗ ), контролирующие органы могут потребовать представить Журнал учета персональных данных, где указано, кто и когда имел доступ к конфиденциальной информации. Форма журнала не установлена, поэтому Работодатель разработать ее требуется самостоятельно.
Сэкономить время и сосредоточиться на своей основной работе можно заранее подготовит документацию, которую обычно разрабатывает специалист отдела кадров либо бухгалтер, если такого нет, всегда можно обратиться за помощью к стороннему специалисту либо организации, которые не только подготовят документы, но и пошагово распишут порядок их внедрения использования, помогут построить работу с персональными данными должным образом.
