Защита персональных данных в организации пошаговая инструкция 2021

Про обязательный перечень документов, штрафы, уведомление Роскомнадзора и контрольные точки

2021 год — всплеск изменений в законодательстве по персональным данным. О том, что нужно знать кадровику, какие документы проверить и как привести их в соответствие новым требованиям, какова ответственность, рассказывает Мария Финатова, юрист по трудовому праву, эксперт в области работы с персональными данными и автор вебинара про изменения в работе с персональными данными.

  • Скачайте бесплатно шпаргалку в конце статьи: случаи, когда Роскомнадзор можно не уведомлять о начале обработки персональных данных.

В конце статьи есть шпаргалка

Мария Финатова

Мария, давайте начнем с краткого обзора изменений законодательства. На что нужно обратить внимание?

Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.

С 1 марта 2021 года:

  • Появился обязательный документ — согласие на распространение персональных данных. В связи с этим необходимо знать порядок его получения, требования к содержанию, условиям прекращения действия и др. В Закон № 152-ФЗ от 27.07.2006 «О персональных данных» введена новая статья 10.1.
  • Законодатели ужесточили меры за нарушение обработки персональных данных. Изменения внесены в ст. 13.11 КоАП РФ.

С 1 июля 2021 года:

  • Определен новый порядок прохождения инспекционных проверок, в том числе и Роскомнадзора. Вступает в силу Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».
  • Определен новый порядок прохождения проверок органами Роскомнадзора, который введен в действие Постановлением Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

Есть ли обязательный перечень документов по персональным данным для организаций?

Перечень обязательных документов по персональным данным, которые должны быть в каждой организации, зависит от того, каким оператором является работодатель и какие персональные данные он обрабатывает.

Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.

Главный нормативно-правовой акт, которым необходимо руководствоваться в работе с персональными данными, — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

Основные обязательные документы:

  • Политика в отношении персональных данных — в первую очередь должна быть в организации (ст. 18.1 Федерального закона № 152-ФЗ). ​

Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.

  • Локальный нормативный акт по персональным данным  определяет порядок обработки персональных данных в конкретной организации, с ним должны быть ознакомлены все работники под подпись. Наличие документа обусловлено требованием ст. 86 Трудового кодекса РФ.

При анализе содержания локального нормативного акта по персональным данным необходимо руководствоваться:

  • Федеральным законом № 152-ФЗ  он определяет основные требования в отношении оператора по персональным данным; 
  • Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  • Согласие на обработку персональных данных необходимо оформлять практически с каждым субъектом персональных данных (соискателем, работником, родственниками работника, клиентами, третьими лицами и др.), чьи данные обрабатывает организация.

Требования к форме согласия установлены ст. 9 Федерального закона № 152-ФЗ. Количество согласий на обработку персональных данных зависит от количества субъектов, чьи данные обрабатываются в организации.

Пример: от работника необходимо получить как минимум два согласия: одно при прохождении собеседования (когда он еще соискатель) и второе, когда он уже стал работником, до заключения с ним трудового договора.

Внимание: с 1 марта 2021 года в организации нужно также оформлять новый документ — согласие на распространение персональных данных (ст. 10.1 Федерального закона № 152-ФЗ).

Это минимальный список обязательных документов по персональным данным, который должен быть в каждой организации.

Точный перечень зависит от того, какие данные обрабатываются организацией и какие законодательные требования к их обработке установлены.

Каковы штрафы за нарушения обработки и распространения персональных данных?

Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.

Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.

Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:

  • для должностных лиц — от 20 000 до 40 000 руб.
  • для юридических лиц — от 30 000 до 150 000 руб.

За повторное нарушение ввели новые штрафы:

  • для должностных лиц — от 40 000 до 100 000 руб.
  • для индивидуальных предпринимателей — от 100 000 до 300 000 руб.
  • для юридических лиц — от 300 000 до 500 000 руб.

Назовите контрольные точки. Что нужно знать кадровику, чтобы не попасть на штрафы?

Что необходимо проверить:

  1. Состоит ли организация в реестре Роскомнадзора как оператор, осуществляющий обработку персональных данных в соответствии с требованиями ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    Для этого нужно: зайти на сайт Роскомнадзора, в разделе «Персональные данные» выбрать «Реестр операторов персональных данных» и указать в нем название организации, ИНН и регистрационный номер. Если поиск не дал результатов, регистрация отсутствует.
  2. Есть ли в организации Политика в отношении персональных данных. Если есть, проверьте, размещена ли она в открытом доступе на сайте организации. При отсутствии сайта для ознакомления с Политикой в организации к ней должен быть обеспечен неограниченный доступ.
    Пример: Политику можно разместить перед входом в организацию на информационном стенде.
  3. Со всеми ли соискателями, работниками и иными третьими лицами подписаны согласия на обработку персональных данных. Если нет, необходимо получить эти согласия. При этом обязательно проверьте, соответствует ли форма согласия на обработку персональных данных требованиям п. 4 ст. 9 Федерального закона № 152-ФЗ.
    Пример: в согласии могут быть не указаны все третьи лица, которым передаются персональные данные. Или отсутствует перечень действий по персональным данным. Или некорректно указаны или вовсе не указаны условия обработки и распространения персональных данных.
  4. Если в организации персональные данные субъектов распространяются в неограниченном кругу лиц, есть ли специальные согласия на такое распространение. Это новое требование, которое вступило в силу с 1 марта 2021 года.
  5. Всем ли работникам, в должностные обязанности которых входит работа с персональными данными, установлены разграничения по соответствующему доступу (полному или ограниченному).
    Необходимо оформить доступ: условия указать в локальном нормативном акте (например, Положении по персональным данным) либо приказах по организации, а также должностных инструкциях работников.
  6. Назначено ли ответственное лицо или лица за организацию обработки персональных данных (ст. 18.1 и 22.1 Федерального закона № 152-ФЗ).
  7. Соответствуют ли используемые типовые формы документов (приказов, уведомлений, соглашений, графиков и т.д.) требованиям Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Нужно ли уведомлять Роскомнадзор об обработке персональных данных? И что будет, если этого не сделать?

Да, уведомлять органы Роскомназдора о начале обработки персональных данных обязательно в соответствии с требованиями ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных вышеуказанной статьей. Если вы попадаете под исключения, то уведомлять Роскомнадзор не требуется:

  • перечень случаев-исключений смотрите в шпаргалке (скачайте в конце статьи).

В конце статьи есть шпаргалка

За нарушение порядка уведомления Роскомнадзора предусмотрена административная ответственность. Работодателю грозит предупреждение или наложение административного штрафа:

  • для должностных лиц — от 300 до 500 руб.;
  • для юридических лиц — от 3 000 до 5 000 руб.

Штраф носит разовый характер, нарушение необходимо исправить по предписанию инспектора (ст. 19.7 КоАП РФ).

С чего кадровику начать внутренний аудит документации по персональным данным, чтобы выявить и исправить нарушения?

Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.

  • В обязательном порядке необходимо проверить не только правильность оформления документов, но и каким образом выстроены процессы и процедуры при осуществлении обработки персональных данных.

Алгоритм действий:

  1. Отберите документы по персональным данным, которые будут подлежать проверке: локальные нормативные акты, согласия от работников, соискателей, третьих лиц, и др. субъектов, чьи данные обрабатываются), приказы, инструкции, регламенты, типовые формы документов, содержащие персональные данные. Проанализируйте их на предмет соответствия требованиям действующего законодательства.
  2. Проверьте порядок получения персональных данных от каждого субъекта.
  3. Проанализируйте, как осуществляется обработка персональных данных за пределами организации третьими лицами и внутри организации — при передаче из отдела в отдел по электронной почте, телефону, по запросу.
  4. Результаты аудита оформите актом или заключением. Форма может быть любой — главное, выявить нарушения, для того чтобы их можно было в дальнейшем устранить.

Какие самые частые нарушения допускают кадровики при работе с персональными данными?

Самые распространенные нарушения по персональным данным:

  1. Обработка персональных данных соискателя и третьих лиц без получения от них согласия в установленном порядке.
  2. Использование согласия на обработку персональных данных по форме, не соответствующей требованиям норм действующего законодательства.
  3. Отсутствие или неразмещение Политики в отношении персональных данных на сайте организации либо необеспечение неограниченного доступа к данному документу в организации.
  4. Несоответствие локального нормативного акта по персональным данным требованиям норм действующего законодательства.
  5. Отсутствие в организации ответственного лица или лиц за организацию обработки персональных данных.
  6. Незаконная передача персональных данных третьим лицам (без согласий либо с согласиями, оформленными с нарушениями).
  7. Нарушение порядка хранения и уничтожения персональных данных в информационных системах и на бумажных носителях.
  8. Нарушение порядка предоставления персональных данных или документов, содержащих персональные данные работников.

О том, как Роскомнадзор проводит проверки, на что обращает особое внимание, читайте в статье Марии Финатовой Проверки Роскомнадзора. Как подготовиться работодателю.

Какие согласия нужно взять с работника при приеме на работу?

  • При приеме на работу необходимо получить от работника согласие на обработку тех его персональных данных, которые работодатель собирается обрабатывать в деловых целях, а не для исполнения требований норм действующего законодательства. 

Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).

  • Если работодатель будет распространять персональные данные работника, то ему необходимо получить на это отдельное согласие от работника (ст. 10.1 Федерального закона № 152-ФЗ).
  • Еще одно согласие в обязательном порядке работодатель как оператор персональных данных должен получить до начала трудовых отношений, когда работник имеет статус соискателя и его данные обрабатываются в других целях, нежели при трудоустройстве.

Есть ли срок действия согласий, которые мы берем у работников, нужно ли их обновлять?

У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.

Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.

На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.

Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.

Как реагировать на запрос сведений о работниках сторонними организациями? Кому можно отказать, а кому нет? Как аргументировать свои действия?

Когда можно предоставлять персональные данные без согласия работника

Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.

Когда нельзя предоставлять персональные данные без согласия работника

На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.

Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.

Как действовать при запросе данных третьими лицами

Попросите направить к вам в организацию официальный письменный запрос. Это может быть текст на официальном или обычном бланке организации с подписью ответственного лица и печатью при ее наличии. Требований к таким запросам законодательно не предусмотрено.

  • Главное условие, чтобы это был запрос от того юридического или физического лица, кто хочет получить персональные данные. Поясните, что ответ будет предоставлен только при наличии письменного согласия субъекта персональных данных. Если данные необходимо получить вашей организации, действуйте по аналогии — направляйте официальный запрос.

Сбор сведений в рамках зарплатного проекта является обработкой персональных данных?

Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.

Работодатель собирает сведения о детях работников с целью вручения подарков к праздникам — как правильно оформить процедуру?

Достаточно получить от работника согласие на обработку персональных данных его детей. Если дети не достигли 18-летнего возраста, работник будет выступать законным представителем своего ребенка, и этого документа будет достаточно, чтобы вручить подарки. Согласие оформляется в соответствии с п. 4 ст. 9 Федерального закона № 152-ФЗ.

Оптимальный перечень документов на работника: какие данные запрещено требовать и хранить?

Помните, что работодатель вправе запрашивать у работника как при приеме на работу, так и в дальнейшем только те документы, которые являются обязательными по закону:

  • документ, удостоверяющий личность, СНИЛС (если он есть у работника), военный билет, документ об образовании и т.д.

Обработка иных дополнительных персональных данных из документов, предоставленных работником, требует наличия согласия на обработку персональных данных от работника.

Запрашивать нужно только те документы, которые в первую очередь необходимы для выполнения требований законодательства, а во вторую очередь — для целей работодателя.

  • Пример целей, определенных законом: для приема на работу, для заключения трудового договора, для начисления заработной платы, для предоставления отпуска и т.д.
  • Пример целей работодателя: создание адреса электронной почты с указанием имени или фамилии работника, для оформления визиток, для поздравления с днем рождения, для заказа пропуска и т.д.

Оптимально хранить оригиналы документов, необходимые работодателю:

  • к таким документам относятся трудовой договор, письменные соглашения к нему, согласия на обработку и распространение персональных данных, заявления, приказы, личная карточка Т-2.

Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.

Рекомендации кадровикам по работе с персональными данными работников

Мария Финатова

Мы наблюдаем тенденцию стремительного изменения законодательства по персональным данным. Рекомендую держать руку на пульсе, ведь одновременно с изменениями в порядке оформления документов и процессов по персональным данным ужесточается и ответственность за нарушения. 

Штрафы выросли в разы и достигают уже не тысячных, а миллионных цифр в отношении операторов, которые допускают нарушения по ПД.

  • Регулярно отслеживайте изменения и своевременно вносите исправления в документы, корректируйте процессы по персональным данным, которые существуют в организации.
  • Чтобы вовремя разобраться в новых правилах, зарегистрируйтесь на вебинар «Законодательные изменения по персональным данным. Чек-лист для кадровика».
  • Следите за актуальностью локальных нормативных актов, согласий, приказов, инструкций, регламентов, типовых форм и другие документов, в которых содержатся персональные данные и к которым установлены требования законодательства по их оформлению.
  • Помните о соблюдении процессов обработки персональных данных.
  • При работе с персональными данными учитывайте обязательные требования норм действующего законодательства, которые несут наибольшие риски.
  • Обязательно сделайте чек-лист и проверьте по нему: состоите ли вы на учете в органах Роскомнадзора или нет, какие документы по персональным данным у вас оформлены с учетом их содержания, а какие нет, сo со всеми ли субъектами, чьи данные вы обрабатываете, подписаны необходимые согласия, все ли процессы по передаче персональных данных налажены и защищены, есть ли ответственные лица за организацию обработки персональных данных.
  • Скачайте шпаргалку в конце статьи.

Это позволит вам организовать работу правильно, выявить и исправить нарушения до прихода инспектора.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

  • Случаи, когда Роскомнадзор можно не уведомлять о начале обработки ПД
    548.7 КБ

Скачать

Источник

Новые правила обработки персональных данных сотрудников с 2021 г. в 1С: Бухгалтерии

Бухгалтеры и специалисты по кадровому учету уже давно привыкли, что при приеме на работу нового сотрудника у него нужно брать Согласие на обработку персональных данных. А если сотрудник отказывается подписывать его? Какие штрафы ждут организацию за отсутствие этого документа? Да и как показывает судебная практика по таким вопросам, не все так просто, как кажется на первый взгляд. В этой статье мы подробно разберем все нюансы и расскажем о нововведениях в работе с личными данными в 1С: Бухгалтерии предприятия ред. 3.0.

В рамках трудовых отношений компании — работодателю необходимо обладать личными данными физ. лица для корректного оформления кадровых документов и выполнения работником своих трудовых функций.

Персональные данные (по тексту далее ПДн) — это информация, которую можно отнести к конкретному физ. лицу (Закон от 27.07.2006 № 152-ФЗ). Как правило, такими данными является Ф.И.О., сведения о предыдущих местах работы, паспортные данные, и прочие.

Стоит заметить, что работодатель вправе запрашивать только те сведения, которые нужны для выполнения должностных обязанностей. Это значит, что информацию, касающуюся национальной принадлежности, политических взглядов, вероисповедания и другие подобные сведения работодатель запрашивать не имеет права.

Форма согласия

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Управленческий учет: с нуля до настройки в 1С, Excel и Google-таблицах

Уметь настраивать и вести управленку — значит быть полезным для руководителей. Научитесь понимать, откуда приходят и куда уходят деньги компании на курсе повышения квалификации от «Клерка».

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Рассмотрим основные нововведения.

1. Появился документ «Согласие на распространение ПДн сотрудника».

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

Отказ от согласия

В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).

Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).

Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

Как работодателю получить согласие?

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Форма документа

Требования к содержанию согласия на распространение персональных данных утверждены Приказом Роскомнадзора от 24.02.2021 N 18. Стоит заметить, что не нужно уведомлять Роскомнадзор о своем намерении распространять персональные данные, имея на это разрешение субъекта.

Можно ли получить одно согласие от работника, прописав в нем все возможные цели обработки/распространения?

Зачастую документ «Согласие» содержит в себе не одну цель обработки и не одно третье лицо, которому распространяется информация, а сразу несколько, что по мнению Роскомнадзора противоречит действующему законодательству.

Согласно позиции ведомства, на каждую цель и на каждое третье лицо, которому разглашается информация о физическом лице, должно быть свое согласие. Это следует из ч. 4 ст. 9, ч. 5 ст. 18 Закона от 27.07.2006 № 152-ФЗ.

В этих статьях «цель обработки» и третье лицо указаны в единственном числе, следовательно, совмещать несколько целей и несколько третьих лиц в одном документе неправомерно.

Данное правило применимо ко всем случаям, когда необходимо получить письменное согласие работника.

Судебная практика на данный момент не на стороне работодателя (Постановление от 15 января 2018 г. по делу № А40-81171/2017). В связи с этим компаниям придется оформлять большое количество согласий от работников, чтоб соблюсти нормы законодательства.

Отзыв согласия

Работник организации в любой момент имеет право отозвать свое согласие на обработку и распространение персональных данных.

Для этого ему достаточно будет подтвердить свое решение письменным требованием в произвольной форме.

В документе следует указать:

  • ФИО заявителя;

  • контакты заявителя;

  • ПДн, обработку и распространение которых необходимо прекратить.

Работодатель должен прекратить пользоваться информацией в течение трех рабочих дней. Иначе сотрудник имеет право обратиться в суд (п. 14 ст. 10.1 Закона № 152-ФЗ).

Не стоит забывать, что есть ПДн, на обработку которых согласие сотрудника не требуется, например, те, что нужны для исполнение трудового договора. Все остальные данные компании-работодателю стоит уничтожить.

Штрафы

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

Учет персональных данных в 1С: Бухгалтерии предприятия ред. 3.0

В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.

Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».

Не заметить кнопку, выводящую на печать нужный нам документ сложно, ведь она располагается прямо на панели инструментов

Рассмотрим подробнее алгоритм заполнения Согласия на обработку ПНд.

Основные сведения о физ. лице и о компании заполняются автоматически.

Следует проверить отраженные программой информации и заполнить следующие строки:

1. Ответственный за обработку — выбираем работника организации, на которого возложена ответственность за обработку данных;

2. ФИО ответственного лица для печати.

Самая частая ошибка в этом документе — это дата получения согласия.

Зачастую документ печатают позже необходимой даты и уделяют внимание лишь полю «дата», меняя значение на корректное, но забывают сменить дату в поле «согласие получено».

В итоге показатели в этих полях существенно различаются и могут не соответствовать действительности.

Поле «Срок действия» заполняется только в том случае, если согласие предоставлено на определенные период времени, иначе конечную дату устанавливать не нужно, согласие будет бессрочным.

Распечатать документ можно в формате Word или в табличном формате 1С.

При получении от сотрудника письменного заявления на отзыв согласия на обработку ПДн, есть возможность сформировать одноименный документ из «Согласие на обработку ПДн».

Нужная для этого кнопка располагается на панели инструментов.

В отзыве снова заполняем ответственное лицо и его ФИО.

Особое внимание стоит уделить полям «Дата» и «Согласие отзывается». Они должны соответствовать дате заявления работника. Документ оповещает нас о том, что ранее у субъекта было получено Согласие.

В нашем примере оно было бессрочным. Данный документ не имеет печатной формы, но в 1С сведения регистрируются.

Все полученные и отозванные физическими лицами согласия можно найти в отчетах по кадрам.

Здесь интересны сразу два отчета, выделенные на скриншоте ниже. Они позволяют отследить действующие согласия и согласия, по которым истекает срок действия.

Также возможно увидеть отзывы согласий сотрудников.

Сформируем отчет по действующим согласиям.

У Васильева К.М. дата получения согласия и дата документа основания совпадают, чего нельзя сказать о Березовском А.

Двойным щелчком мыши по документу основанию можно открыть Согласие на обработку ПДн.

Дата получения согласия существенно отличается от даты создания документа. Если различие дат является ошибкой, то это необходимо исправить.

Обратим внимание, что в документе установлена дата, до которой будет действовать согласие, т.е. данное согласие не бессрочно.

Теперь сформируем отчет «Согласие на обработку ПДн, срок действия которых истекает».

По этому отчету легко проследить сроки действия согласий. Если данное поле пустое, значит согласие действует бессрочно. Также с помощью этого отчета можно увидеть отзывы согласий.

В соответствии с ФЗ от 27.07.2006 No 152-ФЗ работодатели обязаны сохранять конфиденциальность персональных данных, полученных от физических лиц.

В 1С можно отследить информацию по работе пользователей с данными.

Для этого необходимо произвести следующие настрой программы. Переходим в «Администрирование» — «Настройки пользователей и прав».

Раскрываем группу «Защита персональных данных».

Сначала зайдем в «Настройки регистрации событий доступа к персональным данным».

По умолчанию здесь не проставлены галочки, но для того, чтобы программа регистрировала события доступа к ПДн, необходимо проставить галочки вручную.

Список данных предопределен. Пользователю надо выбрать ту информацию, по которой предполагается отслеживание изменений.

После того, как в программе будут установлены необходимые галочки, станет доступен журнал «Защита персональных данных».

Данный журнал позволяет отследить действия сотрудников в программе.

Важно, чтоб каждый из них заходил под своим именем и паролем. Регистрация в программе происходит в режиме реального времени. В журнале удалить данные нельзя. Все необходимые кнопки по отбору вынесены на панель инструментов.

Таким образом программа 1С позволяет регистрировать события доступа к персональным данным физических лиц.

Источник

С каждым годом все чаще появляются сообщения об утечке персональных данных. Только в начале 2022 года Роскомнадзор сообщил о 40 инцидентах. Как правило, нападкам злоумышленников подвергаются крупные компании, которые не оказали меры по достаточной защите своих баз данных.Такие кражи и кибератаки наносят владельцам бизнесов непоправимые потери и вредят репутации.

Рассказываем, как организовать защиту персональных данных в организации и соблюсти все требования 152-ФЗ, чтобы не получить штраф.

Какие данные сотрудника считаются персональными?

Персональными данными считается любая информация, которая прямо или косвенно относится к работнику и позволяет его идентифицировать. Информация об этом содержится в статье 3 Федерального закона «О персональных данных», от 27.07.2006 № 152-ФЗ.

Стоит отметить, что hr-специалист имеет дело с персональными данными не только сотрудников, но и кандидатов на вакансии. Например, уже на этапе просмотра резюме, оформлении у охраны пропуска на собеседование или заключении трудового договора.

Что может считаться персональными данными?

В список входят место и дата рождения, ФИО сотрудника, место проживания, фото или видео, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН, сведения о родственниках и семейном положении, индивидуальные личные данные, биометрические данные. Однако следует учитывать некоторые нюансы. Так, определенные данные могут и не быть персональными без связки с другой информацией. Например, номер телефона без указания фамилии, имени и отчества. Однако, если компания укажет на сайте только ФИО сотрудника, не указав при этом должность или дату рождения, Роскомнадзор все равно посчитает это персданными.

Как организовать защиту персональных данных в организации?

Работодатель выступает оператором персональных данных: в его обязательства входят сохранность конфиденциальной информации.

Чтобы организовать защиту пнд, необходимо:

1)  Начать с приказа о назначения ответственного за организацию обработки персданных.

Для этого может быть создана новая должность или дополнительные функции для действующего сотрудника. Также ему необходимо предоставить должностную инструкцию.

2)  Издать внутренние документы, которые определят действия работодателя в отношении обработки пнд, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных.

Исходя из ст. 87 ТК РФ, каждый работодатель обязан утвердить порядок хранения и использования персданных в Положении о персональных данных. В данном документе прописывают: Общие положения, Основные понятия, Состав персональных данных, Обработка персональных данных, Передача персональных данных (внутри организации и третьим лицам), Доступ к персональным данным, Ответственность за нарушения и т.д.

Кроме того, у работодателя должна быть Политика обработки персональных данных согласно ч. 2 ст. 18.1 Закона № 152-ФЗ.

3)  Проконтролировать, соответствует ли обработка пнд законам и локальным актам организации. Ответственное лицо должно контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты и т.п.

4)  Оценить вред, который может быть причинен сотрудникам при нарушении защиты пнд. Законодательно подобная оценка не закреплена, поэтому работодатель может осуществлять ее по собственному усмотрению.

5)  Применять организационные и технические меры по защите персональных данных. Они должны защищать пнд от неправомерного доступа, блокирования, изменения, копирования и многого другого. Подробнее о них мы поговорим в следующем пункте.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

  • ограниченное число работников, которые имеют доступ к персданным;

  • принятие нормативных документов;

  • утверждение перечня документов, которые содержат пнд;

  • внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

  • проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

  • установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?

1.  Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.

Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.

2.  Не забывать получать разрешение у сотрудников на сбор и обработку данных.

3.  Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После  достижения целей сбора или истечению срока по заявлению работников уничтожать.

4.  Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.

 5.  Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.

Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных». 

Источник

В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов. Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.

Обеспечить защиту данных

Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:

  1. Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
  2. Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
  3. Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
  4. Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки,
    можно получить на него сертификат самостоятельно.

Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.

Если вы храните данные в защищенном облаке от VK Cloud (бывш. MCS), часть требований выполняем мы. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Что будет, если не защитить данные

Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:

  • Физлицо — на 700–2000 рублей.
  • Должностное лицо — на 4 000–10 000 рублей.
  • ИП — на 10 000–20 000 рублей.
  • Юрлицо — на 25 000–50 000 рублей.

Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

Разработать документы, описывающие порядок работы с персональными данными

Публичные документы: их показываем тем, у кого берем персональные данные

Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.

Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.

Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.

Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».

Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».

Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.

Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными

Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.

Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.

Что будет, если не разработать документы

Можно получить сразу два штрафа:

  1. За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
  2. За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

Уведомить Роскомнадзор

Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

Отправить уведомление можно онлайн, на сайте Роскомнадзора.

Что будет, если не отправить уведомление

Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

  • 100–500 рублей для физлиц
  • 300–500 рублей для должностных лиц.
  • 3 000—5 000 рублей для юрлиц.

Получать согласие на хранение и обработку персональных данных

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Получить согласие можно двумя способами:

  1. Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
  2. Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.

Что будет, если не спрашивать разрешения

За это нарушение положен большой штраф:

  • 3 000–5 000 рублей для физлиц.
  • 10 000–20 000 рублей для должностных лиц и ИП.
  • 15 000–75 000 рублей для юрлиц.

Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ

  1. Обеспечить защиту данных: установить антивирус, предотвратить доступ к данным посторонних.
  2. Разработать пакет документов: соглашение об обработке, политику конфиденциальности, модель угроз.
  3. Назначить ответственного за обработку персональных данных и составить список тех, кто имеет доступ к данным.
  4. Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные.
  5. Подготовить форму согласия на обработку персональных данных и получать согласие от каждого человека, чьи данные вы собираете.

Читать по теме:

  • Защита персональных данных в облаке: как сделать все по закону 152-ФЗ.
  • Соблюдение законов о персональных данных.
  • Westwing Russia: мы переехали из AWS в облако VK, чтобы предлагать российским клиентам все необходимое.
Источник

Заполните форму ниже, чтобы продолжить.

Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .

Заполните форму ниже, чтобы продолжить.

Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .

Узнайте, какие правовые риски угрожают вашему сайту!

В рабочее время перезвоним
в течение 15 минут!

LegalBox

Статья

Персональные данные

Документы на обработку персональных данных
для сайта и организации

1) для защиты от штрафов (до 6 580 000 ₽ с 27.03.2021 г.);
2) для успешного прохождения проверок и профилактических визитов Роскомнадзора;
3) для соответствия новым требованиям Закона №152-ФЗ (от 01.09.2022 г.
и 01.03.2023 г.), в частности:

  • требования к согласиям на обработку ПДн;
  • требования к политике конфиденциальности и локальным актам;
  • требования к сроку реагирования на запросы субъектов;
  • требования к поручению обработки ПДн;
  • требования к уведомлению Роскомнадзора об обработке ПДн;
  • требования к трансграничной передачи;
  • требования к оценке степени вреда и уничтожению ПДн.

На этой странице вы сможете найти перечень необходимых документов для соответствия требованиям Федерального закона №152-ФЗ «О персональных данных» и прохождения проверок Роскомнадзора.

Поможем бизнесу выполнить новые требования 152-ФЗ

Напишите нам, мы свяжемся с вами
и ответим на все ваши вопросы!

Источник

Понравилась статья? Поделить с друзьями:
  • Здоровая печень шрот расторопши биокор инструкция
  • Циклим инструкция по применению таблетки женщинам после 50 лет
  • С руководством согласованы отпуск
  • Realme c21y инструкция по применению на русском языке
  • Руководство по техническому обслуживанию камаз 43114