Как защитить персональные данные сотрудников
Что такое персональные данные? Как избежать претензий со стороны контролирующих органов и сотрудников Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных Ответственность за нарушение закона 152-ФЗ ТОП-5 нарушений, за которые штрафуют компании и руководителей
ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных». За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.
Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.
Что такое персональные данные?
Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.
Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.
Но обычно к ним принято относить:
- фамилию, имя, отчество;
- адрес проживания;
- электронный адрес;
- номер телефона;
- дата рождения;
- место рождения;
- национальность;
- вероисповедание;
- место работы;
- должность;
- рост;
- вес;
- и т.д.
Как должен защищать персональные данные отдел кадров
Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.
Итак, кадровым сотрудникам следует:
- Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
- Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
- Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
- Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).
Как избежать претензий со стороны контролирующих органов и сотрудников
Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.
Если компания имеет дело лишь с персональными данными:
- сотрудников, работающих по трудовым договорам;
- работающих по договорам ГПХ;
- и иными физическими лицами.
Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:
- уведомить Роскомнадзор о намерении обрабатывать персональные данные;
- подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
- Приказ о назначении ответственного за организацию обработки персональных данных;
- Документ, определяющий политику оператора в отношении обработки персональных данных;
- Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
- Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
- Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
- Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
- Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
- Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
- Документ о классификации информационных систем;
- Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
- Документ, устанавливающий порядок обработки персональных данных работников.
Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:
- Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
- Согласиями на передачу персональных данных провайдеру – от каждого сотрудника
Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.
Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных
Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.
Добросовестный провайдер:
- По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).
Важно!
Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.
- Ознакомит со своей Политикой в отношении персональных данных клиентов.
- Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.
Важно!
Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.
Ответственность за нарушение закона 152-ФЗ
Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:
За что могут штрафовать |
Сумма штрафа |
---|---|
Персональные данные обрабатываются не в тех целях, на которое дано согласие
Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ. |
от 30 000 до 50 000 руб. |
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется) | от 15 000 до 75 000 руб. |
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.) | от 15 000 до 30 000 руб. |
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)
Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение. |
от 20 000 до 45 000 руб. |
Нарушены условия защиты бумажных документов, содержащих персональные данные
Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д. |
от 25 000 до 50 000 руб. |
Что говорят суды о плохо защищенных персональных данных
- В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).
- Директор передал персональные данные физических лиц (ФИО, адреса, размер долга) провайдеру без письменного согласия этих физических лиц. За нарушение требований закона 152-ФЗ директора оштрафовали (Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015).
ТОП-5 нарушений, за которые штрафуют компании и руководителей
Нарушить требования к работе с персональными данными и заработать штраф от Роскомнадзора можно совершенно случайно. Самые распространенные нарушения:
1. Документы оставлены на столе
Очень часто в штатной бухгалтерии и маленьких бухгалтерских фирмах стопки бумаг свалены на рабочем столе, и никто не отслеживает, есть ли в этих бумагах личные данные. Однако оставлять личные документы сотрудников в общедоступном месте нельзя, так как личная информация может оказаться в руках посторонних (коллег, представителей компаний-поставщиков).
Штраф: для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб.; для ИП – до 20 000 руб. (ч. 6 ст. 13.11 КоАП РФ).
Пример защиты персональных данных. Необходимо разработать порядок работы с персональной информацией. В нем четко прописать запрет оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. Документы должны храниться в сейфе или шкафу, где доступ к ним будет ограничен.
2. Работнику не выдали документы с его персональными данными
Речь идет о невыдаче расчетных листков работникам, сведений о стаже и других бумаг. Это также является сокрытием от сотрудника его персональных данных.
Штраф: для руководителя компании – до 5 000 руб.; для компании – до 50 000 руб.; для ИП – до 5 000 руб. (ст. 5.27 КоАП РФ).
Пример защиты персональных данных. Высылать работникам расчетные листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже надо выдать в течение 3-х календарных дней с момента, когда работник за ними обратился, а также в день увольнения.
3. Забыли обновить данные работника
Данные обновляются по просьбе сотрудника, например, в случае смены фамилии после замужества или адреса регистрации. Если компания этого не сделает, то нарушит правила работы с персональными данными.
Штраф: для руководителя компании – до 10 000 руб.; для компании – до 45 000 руб.; для ИП – до 20 000 руб. (ч. 5 ст. 13.11 КоАП РФ).
Пример защиты персональных данных. Если сотрудник принес документы, подтверждающие изменения, немедленно вносите новые данные в базу.
4. Размещение личной информации в общедоступном месте
Случается, что личные данные по чистой случайности попадают на стенд или корпоративный сайт – например, в качестве образца заявления на имущественный вычет главбух разместил на стенде копию заявления, полученного от сотрудника компании. Если в документе указаны личные реквизиты, то это нарушение, поскольку сотрудник не давал согласие на обнародование его реквизитов.
Штраф: для руководителя компании – до 20 000 руб.; для компании – до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).
Пример защиты персональных данных. Никогда не использовать реальные документы в качестве образцов, а подготовить образцы с использованием вымышленных сведений.
5. Сообщение имени, адреса и телефона сотрудника третьим лицам
Информацию о сотрудниках может запросить банк или коллекторское агентство. Без согласия сотрудника такая передача сведений является нарушением.
Штраф: для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб. (ч. 1 ст. 13.11 КоАП РФ).
Пример защиты персональных данных. Передавать информацию о сотруднике по просьбе другой организации или физлицам только в том случае, если работник выдал им доверенность на получение сведений.
***В частности, компания 1C-WiseAdvice:
- включена в реестр операторов персональных данных (регистрационный номер 77-16-004753);
- соблюдает Политику в отношении персональных данных и готова предоставить ее по первому запросу клиента;
- добросовестно исполняет обязанности по обработке персональных данных в рамках договоров на профессиональное бухгалтерское обслуживание;
- оказывает профессиональную консультативную поддержку по вопросам защиты персональных данных в процессе оказания услуг.
Специалисты компании 1C-WiseAdvice всегда готовы проверить внутренние документы вашей компании на соответствие требованиям законодательства по обработке персональных данных, составят рекомендации и помогут подготовить необходимые документы, чтобы избежать штрафов — подробнее о кадровом аудите.
Обращайтесь – мы с радостью встанем на защиту: персональных данных ваших сотрудников – от сторонних посягательств, а вашей компании – от штрафов!
Подпишитесь на обновления блога
-
Субсидиарная ответственность учредителя и директора ООО по долгам в 2021 году
15 октября 2019
-
Как вывести деньги с ООО учредителю: законные способы
09 октября 2019
-
Кто несет ответственность при бухгалтерском аутсорсинге
22 июля 2019
-
Аудит оплаты труда
10 июня 2019