Роскомнадзор готовится проводить ревизии в организациях с 2019 года. Сотрудники службы проверят соблюдение правил обработки персональных данных работников и клиентов. Подготовьтесь, чтобы не допустить нарушений.
Ревизия: кого и как проверят
Ревизия коснется документов и локальных актов, которые регулируют правила обработки персональных данных, и информационных систем персданных.
Проверять будут работодателей — юрлиц и ИП, являющихся операторами персданных сотрудников и клиентов-физлиц. Нарушителей могут оштрафовать по статье 13.11 КоАП на сумму до 75 000 рублей.
Виды проверок:
- Плановые проверки. Могут быть выездными и документарными. Проводятся раз в два или три года в соответствии с ежегодными планами, которые размещаются в интернете. Срок отсчитывается с момента регистрации компании или окончания последней плановой проверки.
- Внеплановые проверки. Внеплановые выездные проверки проводятся на основании обращений граждан, по требованию прокурора или в случае неисполнения оператором предписания.
- Мероприятия без взаимодействия с компанией. Проводятся по заданию руководителя органа РКН. Заключается в проверке информации, размещенной организацией в интернете и СМИ, а также в федеральных государственных информационных системах.
Роскомнадзор должен уведомить фирму о плановой проверке не позднее чем за три рабочих дня до ее проведения. О внеплановой — не менее чем за сутки. Уведомлением служит копия приказа о проведении проверки, направленная в фирму заказным письмом с уведомлением о вручении. Также оно может прийти на электронную почту документом с усиленной квалифицированной электронной подписью.
Постановлением «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» № 146 от 13.02.2019 года правительство утвердило регламент проверок.
Первое, что нужно знать организациям — локальный акт или положение о порядке обработки персональных данных сотрудников нужно принимать в любом случае. Даже если в организации один работник, который является и ее директором. В соответствии со статьями 86‒88 ТК у каждого работодателя должно быть такое положение.
Данные о работнике: что можно знать
В законе «О персональных данных» № 152-ФЗ от 27.07.2006 года есть определение персданных: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
В статье 65 ТК приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. Сведения из них компания имеет право обрабатывать.
Предоставляемые работодателю данные:
- ФИО, возраст, место жительства и семейное положение из паспорта;
- трудовой стаж и предыдущие места работы из трудовой книжки;
- бумажное или электронное подтверждение регистрации в системе индивидуального учета, либо номер из карточки СНИЛС;
- отношение к воинскому учету из документов воинского учета;
- образование и квалификация из дипломов, аттестатов и т.п.;
- наличие или отсутствие судимости из соответствующей справки;
- сведения из наркодиспансера из соответствующей справки.
Исключения и уточнения к перечню документов приведено в ТК.
Копии документов: когда можно хранить
В ТК сказано, что гражданин предоставляет работодателю оригиналы документов при заключении трудового договора. После занесения сведений в договор работодатель возвращает их и не имеет права хранить копии документов без письменного согласия работника.
Хранение копий снижает уровень прав и гарантий работника и нарушает права и свободы гражданина.
Кроме того, при обработке данных из копий работодатель не учитывает реальное состояние указанных в них сведений. Копии документов могут содержать специальные категории персданных, на обработку которых не у всех организаций есть законные основания.
Копии трудовых: кому выдавать
Компания должна выдавать работникам копии трудовых книжек бесплатно неограниченное количество раз. Также работодатель может выдать копию трудовой книжки адвокату, причем без согласия работника.
Адвокат как уполномоченное лицо имеет право собирать у организаций сведения, необходимые для оказания юридической помощи, на основании части 3 статьи 6 закона «Об адвокатской деятельности и адвокатуре в Российской Федерации» № 63-ФЗ от 31.05.2002 года.
Фотографии на пропусках: что нужно учесть
Чтобы использовать фотографии клиентов или сотрудников организации на пропусках, нужно иметь письменное согласие на обработку биометрических данных. Общее или устное согласие на обработку персданных не станут аргументами для РКН. Это же относится к фотографиям, прикрепленным к личным карточкам работников.
В соответствии со статьей 11 закона № 152-ФЗ биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Использовать фотографии людей на сайте компании, найденные в свободных источниках, тоже рискованно. Изображенный на фото человек, не дававший согласие на обработку данных, вправе подать в суд на компанию и потребовать возмещения морального вреда.
Персданные из соцсетей: общедоступны или нет
Компания не вправе собирать и обрабатывать персональные данные людей, размещенные в социальных сетях «ВКонтакте», «Одноклассники», Instragram, Twitter и т.д. Размещение персональных данных в открытых источниках не делает их автоматически общедоступными.
В соответствии со статьей 8 закона о персональных данных в целях информационного обеспечения могут создаваться общедоступные источники персональных данных — справочники и адресные книги. Сведения субъекта: ФИО, адрес, абонентский номер и иные личные данные — включают в эти источники с письменного согласия.
Информация о здоровье сотрудника: врачебная тайна?
Статья 88 ТК устанавливает право работодателя запрашивать информацию о состоянии здоровья работника, которая определяет возможность выполнять ту или иную работу. В данном случае медорганизация не разглашает врачебную тайну.
***
Проверьте свои локальные акты и информационные системы по хранению и обработке персданных, чтобы встретить ревизоров уже подготовленными.