Важно понимать, что защита персональных данных является одним из основных принципов деятельности любой компании. Она требует ответственного подхода и систематической работы, ведь нарушения могут повлечь серьезные последствия для бизнеса, поэтому компаниям необходимо уделить должное внимание вопросам обработки персональных данных и подготовке к проверкам. Один из самых актуальных – оформление документов, которые проверяющие могут запросить при проверке. В статье остановимся на наиболее важных из них, которые чаще всего проверяющие требуют от работодателей.
В первую очередь в рамках проведения проверки Роскомнадзор заинтересуют общие сведения о компании, поэтому проверяющие затребуют:
См. статью «Как работодателю уведомить Роскомнадзор об обработке персональных данных» в № 10’ 2022
О том, как проверяют работодателей, обрабатывающих персональные данные, читайте в № 6’ 2019
Далее подробно рассмотрим те из них, о содержании которых у проверяющих возникают вопросы чаще всего.
Надзорный орган по традиции затребует приказ о назначении ответственного за организацию обработки персональных данных. Ведь работодатель обязан его назначить (ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», далее – Закон № 152‑ФЗ). Форма документа нормативно не установлена, поэтому ее можно разработать самостоятельно (Пример 1).
Пример 1. Приказ о назначении ответственного за организацию обработки персональных данных лица
О назначении ответственного за защиту персданных в информационных системах читайте статью «Должен ли в компании быть специалист по информационной безопасности?» в № 3’ 2024
См. также статью «Что может сказать почерк об ответственности работника» в № 7’ 2021
Причем недостаточно только назначить ответственное за организацию обработки персданных лицо, соответствующие обязанности должны быть прописаны в его должностной инструкции (инструкции по профессии) и/или трудовом договоре. Поэтому необходимо проверить, отражены ли там обязанности, касающиеся работы с персональными данными. Ведь проверяющие непременно запросят эти документы (образец формулировки см. в Примере 2).
Пример 2. Формулировка для должностной инструкции и/или трудового договора ответственного за организацию обработки персональных данных
5. Работник обязан:
…5.8. Организовать разработку, принятие и актуализацию Работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
5.9. Организовать применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.10. Осуществлять внутренний контроль (аудит) за соблюдением Работодателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных и принимать меры в случае выявления нарушений.
5.11. Организовать проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых Работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных.
5.12. Доводить до сведения работников Работодателя положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
5.13. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.
См. статью «Разглашение персональных данных: за что можно уволить работника» в № 3’ 2022
Читайте также статью «Контролируем рабочую переписку сотрудников по электронной почте» в № 4’ 2019. В ней мы рассказали, какие изменения внести в документы, чтобы работодатель смог обеспечить конфиденциальность информации, а также как ему действовать при обнаружении разглашения охраняемой законом тайны
При любой проверке должностное лицо надзорного органа обязательно запросит локальные нормативные акты касательно обработки и защиты персональных данных (ст. 87 ТК РФ). Прежде всего – ЛНА, определяющий политику оператора в отношении обработки персональных данных (ст. 18.1 Закона № 152‑ФЗ). Законом прямо не урегулировано, как должен называться локальный нормативный акт об обработке персональных данных, – Политика или Положение. На практике встречаются оба варианта, при которых, например, Положение включается в состав Политики, или наоборот. Часто практикуют также одновременное оформление и Политики, и Положения: например Положение рассчитано на сотрудников компании, а Политика – на клиентов, посетителей сайта, соискателей и пр. В любом случае такой документ в отношении персональных данных должен быть (письмо Роскомнадзора от 19.10.2021 № 08-71063).
При составлении документа, определяющего политику оператора в отношении обработки персональных данных, следует руководствоваться Рекомендациями Роскомнадзора, которые размещены на официальном сайте (www.rkn.gov.ru/personal-data/p908/) 1.
Обратите...
Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для
этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:
А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!
Водитель предприятия не уплачивает штрафы. Может ли работодатель сумму штрафа удержать из заработной платы работника?
Ответственность за обработку персональных данных с нарушениями продолжает ужесточаться. С 30.05.2025 за повторные нарушения по некоторым статьям начнут взыскивать оборотные штрафы. Автор анализирует три основных требования к работодателям, которые необходимо выполнить в первую очередь при обработке персданных работников и клиентов (уведомление Роскомнадзора, назначение ответственного лица, утверждение политики обработки персональных данных), а также последствия их несоблюдения. Объясняет, как правильно выполнить такие требования (с образцами документов и конкретных формулировок), на основе собственного опыта и разъяснений Роскомнадзора. Показывает судебную практику, которая «подсвечивает» узкие места.
Какая ответственность и за что грозит работодателю (организации и должностному лицу) при задержке выплат работникам? Освобождает ли от ответственности должностное лицо факт привлечения к ответственности организации за то же правонарушение? Почему начисление процентов в связи с несвоевременными выплатами не исключает права работника на индексацию сумм задержанной заработной платы? Вправе ли работник претендовать на уплату процентов на сумму невыплаченной компенсации (процентов на проценты)? Является ли несвоевременная выплата работнику заработной платы и других причитающихся выплат длящимся правонарушением? Как квалифицируется задержка зарплаты нескольким работникам в одну и ту же дату – как одно административное правонарушение или несколько? Когда за задержку выплат грозит административная ответственность, а когда уголовная? Каковы сроки давности привлечения к административной и уголовной ответственности? Кто именно подлежит уголовной ответственности за задержку выплат работникам? О каких смягчающих обстоятельствах стоит заявить перед судом? Как именно на практике подтверждается корыстная или иная личная заинтересованность? Когда виновное лицо может быть освобождено от уголовной ответственности? Рассматриваем все виды ответственности последовательно, делая упор на судебную практику.
Что является дискриминацией в трудовых отношениях по закону и на практике? Будет ли дискриминацией установление вилки окладов, привлечение сотрудника к дисциплинарной ответственности или отказ в приеме на работу инвалида на квотируемое место, если он не обращался в центр занятости? Какое наказание реально грозит работодателю при дискриминации работника или соискателя?
Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.
Работодатели и их должностные лица нередко подвергаются ответственности за нарушение трудового законодательства (ст. 5.27 и 5.27.1 КоАП РФ). Рассмотрим ситуации привлечения к ответственности, поговорим, от чего зависит размер штрафа, налагаемого на работодателя и его должностных лиц, возможно ли его снизить или вообще избежать, кем он применяется, а также, исходя из анализа судебной практики и личного опыта эксперта, расскажем о тех моментах, на которые стоит обратить внимание при защите интересов организации.
Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.
Как показывает практика, работодатели серьезно не относятся к соблюдению некоторых требований законодательства и это приводит их к штрафам при проверке. Выделим 5 типичных ошибок, которые допускают работодатели (часто из-за не слишком серьезного к ним отношения). В частности, поговорим об ошибках, которые затрагивают вопросы обучения по охране труда, привлечения к труду в нерабочее время, оформления трудового договора, привлечения к дисциплинарной ответственности и удержаний из зарплаты.
Оформить подписку на журнал
«Кадровая служба и управление персоналом предприятия»
можно в любом отделении почты:
