Типичные ошибки при работе с персональными данными

Автор: | 11.07.2023
Типичные ошибки при работе с персональными данными

Многие ошибочно полагают, что можно взять с работника одно согласие на обработку персональных данных и «забыть» об этой проблеме. Это совсем не так. Для каждой цели должно быть свое согласие. Кроме того, с осени 2022 года, практически все работодатели должны уведомлять Роскомнадзор о сборе персональных сведений в рамках трудовых отношений.

Роскомнадзор о работе с персональными данными уведомляют только крупные компании

Требование уведомлять Роскомнадзор о сборе персональных сведений в рамках трудовых отношений введено с 1 сентября 2022 года, раньше такой обязанности не было. Это касается всх работодателей.

Изменения были внесены с статью 22 Федерального закона от 27.07.2006 № 152-ФЗ о персональных данных.

Новая редакция статьи 22 обязала подавать уведомление в Роскомнадзор, даже если компания всего лишь получает и обрабатывает эти данные в рамках трудового законодательства. И том случае, если эти данные включают в себя только фамилии, имена и отчества.

Персональные данные пациентов «закроют» от потенциальных мошенников

Роскомнадзор можно уведомить один раз в любое время

О намерении осуществлять обработку персональных данных, в том числе необходимых для оформления трудовых отношений с работниками, Роскомнадзор нужно уведомить до начала такой обработки.

Если сведения, ранее указанные в уведомлении об обработке персональных данных, которое подано в Роскомнадзор изменились, их нужно скорректировать. Требование вносить изменения, если данные устарели появилось с 1 марта 2023 года.

На портале персональных данных Роскомнадзора можно сформировать и отправить уведомление одним из следующих способов:

  • в бумажном виде;
  • в электронном виде с использованием усиленной квалифицированной электронной подписи;
  • в электронном виде с использованием средств аутентификации ЕСИА.

На Портале персональных данных Роскомнадзора реализована возможность заполнения электронной формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.

Одно согласие работника на обработку его персональных данных

Одно согласие на обработку персональных данных работника не может быть использовано для всех целей. Каждое согласие должно быть составлено под конкретные нужды с учетом положения о работе с персональными данными компании. Поэтому те, кто использует готовые шаблоны из разных систем, рискуют «попасть» на штраф до 500 000 рублей.

Чтобы ваше согласие было правильным, составляйте его сами. Главное указать:

  • наименование организации или ФИО ИП, адрес;
  • цель обработки персональных данных (например, оформление трудовых отношений, ведение кадрового и бухгалтерского учета, оформление гражданско-правовых отношений, ведение воинского учета, содействие в трудоустройстве, содействие в повышении квалификации, оформление награждений, обеспечения личной безопасности и т.д.);
  • перечень обрабатываемых данных;
  • способы обработки (например, автоматизированная в программе 1С, неавтоматизированная);
  • перечень действий с персональными данными, на совершение которых дается согласие (например, сбор, запись, систематизация, накопление, хранение, изменение, распространение, публикация, удаление и уничтожение);
  • срок, в течение которого действует согласие, способ отзыва согласия.

Согласие на обработку данных может включать в себя только одну цель обработки персональных данных.

Подписание согласие после заключения трудового договора

Как только компания попросит соискателя на должность заполнить анкету, предоставить паспорт, диплом и т.п., начинается сбор персональных данных. Согласие на обработку персональных данных должно быть получено и подписано до заключения трудового договора.

Обработка персональных данных без согласия грозит компании штрафом до 150 тыс. рублей по ч. 2 и 2.1 ст. 13.11 КоАП.

Какие документы нельзя хранить в личном деле работника

Согласие на обработку данных из свидетельства о браке или рождении ребенка

Обычно, такие персональные данные не нужны, соответственно и согласия не нужны.

Если в вашей компании есть необходимость обработки подобных данных, подписывайте согласие с родственниками, законными представителями ребенка. Так как, в свидетельстве о браке или рождении ребенка содержатся не данные работника, а данные его родственников. Именно они должны давать согласие.

Сбор данных через иностранные сервисы и хранение данных на иностранных серверах

Если вы собираете персональные данные через интернет-сервисы, об это также необходимо уведомлять Роскомнадзор

Хранить персональные данные на любых иностранных серверах (например, облачные хранилища гугл-диск) запрещено. За несоблюдение обязанности по локализации баз данных в РФ вам грозит штраф до 6 000 000 рублей.

Запрещенные мессенджеры: перечень Роскомнадзора

Размещение данных работников на сайте компании без согласия

Размещение на сайте компании ФИО руководителей, работников, их должностей и навыков, личных мобильных телефонов и электронных почтовых ящиков и т.п. — все это обработка персональных данных, на которое требуется согласие со своей целью. Например, исполнение обязанностей по трудовому договору, обеспечение прямой связи с клиентами, партнерами и т.п.

На сайте нет Политики по работе с персональными данными

Если у вас на сайте не размещена политика обработки персональных данных, компании грозит штраф 60 000 рублей. А, за сбор данных на сайте без согласия субъекта — 150 000 рублей.

Как фирме оформить сайт, не нарушив законы о персональных данных. 10 правильных шагов


Источник