За каждое нарушение в работе с персональными данными компания рискует получить отдельный штраф. Не дожидайтесь прихода инспекторов Роскомнадзора, проверьте, как у вас организована работа с персданными, и устраните недочеты.
Ошибка 1. Не получили согласие работника на обработку персональных данных
Максимальный штраф грозит компании за обработку персональных данных без письменного согласия сотрудника в случаях, когда оно требуется. Размер штрафа для должностных лиц – от 10 000 до 20 000 руб., для организаций – от 15 000 до 75 000 руб. (ч. 2 ст. 13.11 КоАП). На ту же сумму накажут работодателя и в случае, когда согласие получили, но неправильно оформили. Обязательные реквизиты документа определяет закон (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ) .
Получать сведения о сотруднике без его согласия компания вправе в случаях, указанных в законе, коллективном договоре и локальных актах (п. 2, 5 ч. 1 ст. 6 Закона № 152-ФЗ, Разъяснения Роскомнадзора от 14.12.2012, далее – Разъяснения). Например, работодатель вправе без согласия работника обрабатывать данные, которые получил:
– по результатам обязательного медосмотра (ст. 69, 213 ТК, п. 3 Разъяснений);
– из документов, которые работник предъявил при приеме на работу (ст. 65 ТК);
– от кадрового агентства, которое действует от имени соискателя (абз. 12 п. 5 Разъяснений);
– из резюме кандидата в сети интернет, которое он сделал доступным для неограниченного круга лиц (п. 10 ч. 1 ст. 6 Закона № 152-ФЗ, абз. 12 п. 5 Разъяснений).
Не требуется согласие на обработку персональных данных в объеме, предусмотренном личной карточкой по форме № Т-2. Чтобы ее заполнить, вы можете запросить у работника информацию о его близких родственниках (п. 2 Разъяснений). В других случаях согласие на обработку информации о родственниках сотрудника вправе давать только сами родственники, но не работник за них.
Чаще всего компании нарушают закон, когда передают информацию о работнике третьим лицам или запрашивают ее на стороне. В этом случае нужно предварительно получить письменное согласие сотрудника. Его оформляют каждый раз, нельзя составить универсальный документ на все случаи (ст. 88 ТК). Без согласия работника можно передать его персональные данные третьим лицам, если (п. 4 Разъяснений):
– есть угроза жизни или здоровью сотрудника;
– информацию передают в налоговую инспекцию, ФСС, ПФР, военкомат, прокуратуру, суд в случаях, предусмотренных законом;
– сведения предоставляют профсоюзу для защиты работников и т. д.
Как исправить. Разработайте шаблон согласия на обработку персональных данных. Включите в него все обязательные реквизиты. Учитывайте, что подпись работника должна быть «живой». Соискатели и иные третьи лица вправе использовать электронную подпись (Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»). Всевозможные галочки, крестики и прочее не заменяют подпись субъекта персональных данных. Не забудьте, что сотрудник должен подписывать согласие на каждый случай использования его персональных данных.
Ошибка 2. Не опубликовали политику обработки персональных данных
Если работодатель не разместил политику обработки персональных данных в открытом доступе, должностное лицо накажут на сумму от 3000 до 6000 руб., организацию – от 15 000 до 30 000 руб. (ч. 3 ст. 13.11 КоАП, п. 2 ст. 18.1 Закона № 152-ФЗ). Политика – это основополагающий документ, который определяет направления работы в области обработки и защиты персональных данных. Это не локальный акт, так как политика распространяется не только на сотрудников, но и на клиентов, контрагентов компании, иных третьих лиц.
Кроме политики утвердите положение о персональных данных работников. Его наличие проверит не только Роскомнадзор, но и ГИТ (абз. 5 ст. 88 ТК, п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ, ст. 5.27 КоАП).
Важно не только разработать, но и опубликовать политику на сайте. Если его нет, документ размещают в месте, где люди могут получить к нему неограниченный доступ. Например, в торговом зале, при входе в организацию и т. п.
Как исправить. Если в вашей компании нет политики, разработайте ее. Как составить документ, разъяснил Роскомнадзор в Рекомендациях от 27.07.2017. Не копируйте формулировки ведомства, ориентируйтесь на специфику вашей организации. Опубликуйте политику на сайте компании, а если его нет, то сделайте документ в бумажном виде доступным для всех заинтересованных лиц.
Введут новые штрафы за нарушения в работе с персональными данными
Минкомсвязи предлагает ввести в статью 13.11 Кодекса об административных правонарушениях два новых состава*. Первый – работодатель собирает и хранит информацию о гражданах РФ с использованием баз данных, находящихся не на территории России. Штраф для должностных лиц составит от 10 000 до 20 000 руб., для юридических лиц – от 15 000 до 75 000 руб.
Второй состав – работодатель или его сотрудники не сохранили конфиденциальность персональных данных, раскрыли их третьим лицам или распространили без согласия субъекта персональных данных. Штраф для должностных лиц составит от 4000 до 6000 руб., для юридических лиц – от 20 000 до 40 000 руб.
Ошибка 3. Не уничтожили персональные данные в установленные сроки
Хранить персональные данные нужно не дольше, чем этого требуют цели обработки. Если достигли цели, уничтожьте информацию и ее носители в 30-дневный срок (ч. 4 ст. 21 Закона № 152-ФЗ). Например, это касается анкет, которые содержат персональные данные соискателей, за исключением претендентов на должности госслужбы (п. 5 Разъяснений).
30-дневный срок не действует, когда период хранения персональных данных определяет закон или договор. Например, если сотрудника уволили из компании, уничтожать его персональные данные не нужно. Работодатель обязан хранить архивные документы, в том числе по личному составу, в течение установленных сроков. Так, приказы о приеме и увольнении хранят 75 (50) лет (ст. 5 Закона № 152-ФЗ, Перечень, утв. приказом Минкультуры от 25.08.2010 № 558,постановление Ярославского областного суда от 21.03.2013 по делу № 4А-61/2013).
Для госслужащих действует особый порядок работы с копиями документов сотрудников. Кадровая служба государственного органа обязана хранить в личном деле гражданского служащего копию его паспорта, диплома, свидетельства о регистрации брака и т. д. (п. 16 Положения, утв. Указом Президента от 30.05.2005 № 609).
Особый риск представляют личные дела работников, в которых кадровики хранят копии документов, содержащих персональные данные, – паспортов, дипломов и т. д. Даже с согласия сотрудника оставлять в отделе кадров такие копии небезопасно. Роскомнадзор может признать, что компания собирает избыточные персональные данные. За это грозит предупреждение или штраф: для должностных лиц – от 5000 до 10 000 руб., для юридических лиц – от 30 000 до 50 000 руб. (ч. 1 ст. 13.11 КоАП). Суды в спорах поддерживают надзорный орган (постановление Пятнадцатого арбитражного апелляционного суда от 17.12.2013 № 15АП-16132/13, постановления ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013, от 11.03.2014 по делу № А53-10287/2013 и др.). Поэтому избавьтесь от копий документов, когда достигнете целей, для которых их получали.
Как исправить. Прекратите обработку персональных данных и уничтожьте их материальные носители, если достигли цели, для которой получали сведения. Например, уничтожьте копию свидетельства о рождении ребенка в 30-дневный срок, после того как предоставили гарантии, которые полагаются работникам с детьми. Если срок хранения информации предусмотрен законом или договором, обеспечьте сохранность данных в течение этого времени (ч. 4 ст. 21 Закона № 152-ФЗ).
Не принимайте решение об уничтожении персональных данных и их носителей единолично. Для этого в компании создают специальную комиссию, о чем издают приказ в произвольной форме. Результаты работы комиссии фиксируют в акте или журнале об уничтожении персональных данных (информация Роскомнадзора от 25.09.2015).
Важные выводы
1. Получайте письменное согласие работников и соискателей на обработку персональных данных, кроме случаев, когда оно не требуется в силу закона.
2. Утвердите политику обработки персональных данных с учетом рекомендаций Роскомнадзора и опубликуйте ее на сайте или сделайте доступной для неограниченного круга лиц другим способом.
3. Уничтожайте персональные данные в 30-дневный срок после того, как достигли цели их обработки, если иные сроки не устанавливает закон или договор.