Главные риски для работодателей от Роскомнадзора: что учесть по защите персональных данных

«Клерк»
Рубрика
Защита персональных данных
Версия для печати
Роскомнадзор возобновил проверки защиты персональных данных. Прежде всего, ему интересны иностранные компании, чтобы проверить, где хранятся данные о сотрудниках, ведь штраф может достигать 6 млн рублей. К тому же, в марте вновь изменился закон и увеличились штрафы.
Что надо проверить работодателям и как избежать рисков и возможных штрафов в сфере персональных данных?
Санкции ужесточились: за оставленное на столе резюме можно заплатить 75 000 рублей, а за звонок за рекомендацией на кандидата — статью УК РФ за вмешательство в частную жизнь.
Еще одна зона риска — пропуск. Если вы оформляете их с фото для установления личности, надзор считает это биометрическими данными. Также, как и сбор личной информации на сайте. И их обработка требует согласия от людей.
Прежде всего, надо определиться с термином «обработка». В нее входит сбор, запись, хранение, использование, передача и даже уничтожение данных. Существует трансграничная передача — отправка информации за границу. Для каждого процесса есть свои правила и условия. И компания должна уведомить Роскомнадзор о том, что является оператором данных. Не надо уведомлять только, если обработка идет в рамках трудовых отношений (кадровые документы, расчет зарплаты).
Для защиты данных работодатель должен утвердить соответствующую политику, назначить ответственного, проводить аудит и ограничить доступ сторонних лиц к данным. И, конечно, обрабатывать информацию в России и получать согласие сотрудников. Сам работник имеет право на доступ к своим данным и может обратиться с жалобой в суд. Соответственно, компания должна создать Положение о ПД, форму согласия на обработку и форму обязательства о неразглашении.
Кстати, на сайте тоже надо дать ссылку на Политику по обработке данных, чтобы пользователи могли ее изучить и дать свое согласие.
Любое неправильное действие чревато санкциями. Самый большой штраф по ст.13.11 КоАП — за нарушение закона о ПД. Должностное лицо получит до 800 тыс. рублей, компания — до 18 млн. (при повторном нарушении). За нарушение трудового законодательства по ст.5.27 КоАП штраф составит до 70 тыс. рублей на компанию. А повторная «ошибка» чревата дисквалификацией и для директора.
Кроме того, «можно попасть» на ст.137 УК РФ — незаконный сбор и распространение сведений о частной жизни — с штрафом до 300 тыс. рублей и даже до 4 лет лишения свободы.
Все это, конечно, исходит от Роскомнадзора и его проверок. Их может быть 4:
- плановые;
- внеплановые;
- документарные;
- выездные.
Инспектор обязательно задаст все важные вопросы. Есть даже чек-лист примерно из 20 вопросов. Среди них:
- есть ли на сайте необходимый документ;
- соблюдаются ли сроки обработки;
- есть ли ответственные за обработку;
- как уничтожаются носители;
- соблюдается ли политика «чистых столов»;
- как организован пропускной режим и т.д.
Но надо помнить, что инспектор не может сам проверять / эксплуатировать ваши информационные системы. Это может делать только ваш работник.
В любом случае, чтобы избежать рисков, лучше подготовиться заранее и закрыть все опасные зоны.
Еще больше обо всем самом важном для компаний по защите персональных данных — в онлайн-курсе Центра обучения «Клерка». Начать проходить его можно прямо сейчас.
Подборка полезных мероприятий
Разместить
© Источник: ИA Kлepк.Py