Главная » Статьи » Статьи из других источников

Обработка персональных данных: боремся с типичными ошибками

Обработка персональных данных: боремся с типичными ошибками

 Екатерина ДОБРИКОВА, юрист, эксперт журнала «Кадровое дело»

Горячие вопросы:
  • Нужно ли уведомлять в Роскомнадзор об обработке персональных данных, если сведения о работниках содержат только их Ф.И.О.?
  • Что будет, если в уведомлении дата обработки персональных данных указана неверно?
  • Всегда ли нужно согласие работника на обработку информации о нем?
  • Какие компании Роскомнадзор проверит в первую очередь?
  • Какие санкции ждут нарушителей требований о защите персональных данных?

Нужно ли уведомлять Роскомнадзор об обработке персональных данных, содержащих только Ф.И.О. работников?

Наша компания часто обрабатывает персональные данные работников. Но они содержат только фамилии, имена и отчества сотрудников. Должны ли мы в этом случае уведомлять об этом уполномоченный орган?

Нет, вам не нужно этого делать. По общему правилу до обработки персональных данных действительно нужно направить в Роскомнадзор соответствующее уведомление (см. образец). Но часть 2 статьи 22 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных» содержит ряд случаев, освобождающих от этой обязанности (см. схему). К ним, в том числе, относится ситуация, когда, как и в вашем случае, персональные данные содержат только фамилии, имена и отчества работников.

Совет

Вы можете оформить уведомление на бумажном носителе или в форме электронного документа на портале www.pd.rsoc.ru

Будет ли ошибкой, если дата, определяющая начало обработки персональных данных, указана неверно?

Мы составили уведомление об обработке персональных данных, но допустили описку в дате ее начала. Подскажите, считается ли это ошибкой, ведь в остальном уведомление заполнено правильно?

Да, считается. Причем эта ошибка является одной из самых распространенных . Наряду с ней можно также выделить и такие:

– неполные или недостоверные сведения в уведомлении (например, работодатель заполнил не все пункты уведомления);

– неверно определена категория персональных данных (например, работодатель перепутал общедоступные персональные данные со сведениями, касающимися политических взглядов работника);

– неточности в перечне действий с персональными данными или в способе их обработки (например, работодатель указал только автоматизированный способ обработки, забыв про документы в бумажном виде, которые относятся к неавтоматизированной обработке).

Действующее законодательство определяет, какие сведения должно содержать уведомление (ч. 3 ст. 22 Закона о персональных данных) (см. таблицу). Помимо прочего в нем обязательно нужно указывать дату, с которой начнется обработка персональных данных. Поскольку в вашем уведомлении есть ошибка, вам обязательно нужно направить в Роскомнадзор уточненные сведения.

Документы в тему

Документ

Поможет вам

Глава 14 ТК РФ

Соблюсти требования по защите персональных данных работников

Федеральный закон от 27 июля 2006 г. № 152ФЗ «О персональных данных» (далее – Закон о персональных данных)

Разобраться в том, как правильно обрабатывать персональные данные работников, чтобы со стороны проверяющих не возникло никаких претензий

Приказ Минкомсвязи России от 30 января 2010 г. № 18 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «"Ведение реестра операторов, осуществляющих обработку персональных данных”» (далее – Регламент)

Узнать, к чему готовиться, если вы неправильно составили уведомление об обработке персональных данных

Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее – Закон № 294-ФЗ)

Узнать, как часто Роскомнадзор может проверить вашу компанию

Что должно содержать уведомление об обработке персональных данных

Характер информации

Перечень сведений

Информация об операторе (работодателе)

– Наименование организации (фамилия, имя, отчество индивидуального предпринимателя);

– адрес оператора

Информация о субъекте (работнике)

– Категория субъекта (в данном случае – работники)

Информация о персональных данных

– Категория персональных данных (например, общедоступные персональные данные, специальные сведения, касающиеся здоровья, политических или религиозных взглядов, расовой принадлежности и др.);

– сведения о передаче персональных данных иностранному государству или лицу;

– сведения об обеспечении безопасности (какие средства применяет работодатель, чтобы защитить персональные данные)

Информация об обработке персональных данных

– Цель обработки (например, выполнение условий договора, предоставление услуг и др.);

– правовое основание обработки (например, ссылка на нормативный акт, номер и дату лицензии на определенный вид деятельности и др.);

– дата начала обработки;

– срок или условия прекращения обработки

Информация об организации обработки персональных данных

– Перечень действий и используемых способов обработки (например, сбор, хранение, передача и т. д. персональных данных, а также автоматизированный, неавтоматизированный или смешанный вид обработки);

– описание мер, направленных на обеспечение безопасности и выполнения оператором своих обязанностей (например, издание отдельного акта о порядке обработки персональных данных, их охрана, ограничение доступа и др.);

– Ф.И.О. или наименование лица, ответственного за организацию обработки (номера телефонов, почтовые адреса и адреса электронной почты)

Всегда ли нужно получать от работника разрешение на обработку его персональных данных?

Обрабатывая персональные данные работников, мы не всегда получаем у них на это разрешение. Считается ли это нарушением?

Все зависит от того, в каких целях вы обрабатываете персональные данные своих работников. Если вы делаете это во исполнение заключенных с ними трудовых договоров , то получать согласие сотрудников не нужно (п. 5 ч. 1 ст. 6 Закона о персональных данных). Например, работодателю не нужно получать от работника согласие, если он передает сведения о нем в налоговые органы, Пенсионный фонд РФ и ФСС России. Но не забывайте, что это не освобождает от необходимости исполнять требования, которые содержит глава 14 Трудового кодекса (например, работодатель должен предоставлять сотрудникам полную информацию об их персональных данных и их обработке, разрешать доступ к таким сведениям только специально уполномоченным лицам и др.).

В иных случаях вам понадобится согласие работников. Это необходимо, например, если работодатель оформляет сотрудникам зарплатные карты и передает в банк необходимые сведения.

Как часто «ждать в гости» проверяющих из Роскомнадзора?

Руководитель нашей компании дал распоряжение подготовиться к возможной проверке Роскомнадзора. Мы начали приводить в порядок все необходимые документы. Но насколько велик риск такой проверки, если в последний раз Роскомнадзор был у нас два года назад?

Если у вас в компании уже была плановая проверка, то новую могут провести только по истечении трех лет с этого момента (ч. 2 ст. 9 Закона № 294-ФЗ). Но в каких же случаях Роскомнадзор может нанести вам визит? Если речь идет о ежегодной плановой проверке, то, помимо указанного условия, есть еще два:

– работодатель обрабатывает персональные данные;

– истекло три года со дня государственной регистрации работодателя-оператора.

В этих случаях компанию включат в ежегодный План проверок Роскомнадзора. Но есть еще и внеплановые проверки. Их проводят, если (ч. 2 ст. 10 Закон № 294-ФЗ):

– истек срок исполнения выданного предписания;

– в Роскомнадзор поступили жалобы, что жизни и здоровью граждан причинен вред (или есть угроза такого вреда);

– есть поручение Президента РФ или Правительства РФ;

– действиями (бездействием) работодателя-оператора при обработке персональных данных были нарушены права сотрудников;

– работодатель-оператор нарушил требования законодательства о персональных данных.

Если указанные выше условия к вашей компании не относятся, то в ближайший год вы можете не ждать проверяющих. А вот тем работодателям, которые регулярно обрабатывают персональные данные своих сотрудников или, например, не спешат исполнять выданные им предписания, нужно будет серьезно подготовиться. Ведь только за прошлый год Роскомнадзор провел более 3200 проверок, по результатам которых выдал нарушителям более 4400 предписаний.

Количество жалоб растет

Роскомнадзор подвел следующие итоги, связанные с рассмотрением жалоб и обращений граждан, а также юридических лиц по вопросам, связанным с обработкой персональных данных.
Если в 2009 году их было всего 451, то к 2010 году число жалоб возросло до 1829. А в 2011 году оно увеличилось еще почти в два раза и составило 3119, то есть почти в семь раз больше, чем два года назад.
В судебном порядке прекращена деятельность 22 интернет-ресурсов, допускавших незаконное распространение персональных данных.

Какая ответственность установлена за нарушения, связанные с персональными данными?

Проверяющий выявил у нас несколько нарушений, связанных с обработкой персональных данных, и пригрозил ответственностью, если мы их не устраним. Скажите, какие санкции установлены в этом случае действующим законодательством?

За нарушение требований Закона о персональных данных предусмотрена как административная, так и уголовная ответственность. Постарайтесь в срок исправить все замечания уполномоченного органа. Это поможет вам избежать неблагоприятных последствий. Более детально нарушения и санкции за них мы рассмотрели в таблице (см. ниже).

Материал подготовила Юлия ЗАБУДЬКО, заместитель начальника управления – начальник отдела правового и методического обеспечения Управления по защите прав субъектов персональных данных Роскомнадзора (Москва)

Категория: Статьи из других источников | Добавил: KadrovikLS (06 Января 2014)
Просмотров: 1331 | Теги: Персональные данные, Обработка персональных данных | Рейтинг: 0.0/0
Всего комментариев: 0