Как кадровику подготовиться к проверке Роскомнадзора
Инспекторы Роскомнадзора могут прийти в компанию не только с плановой проверкой, но и внезапно, например, по жалобе работника. Мы составили образцы документов, которые заинтересуют проверяющих. Проверьте, есть ли они в вашей компании. Заодно проинструктируйте сотрудников отдела кадров, как отвечать на вопросы контролеров, чтобы пройти проверку без последствий. Ответы смотрите в статье.
Как общаться с инспекторами
Если вам поручили присутствовать при проверке Роскомнадзора, помните о своих правах. Не бойтесь задавать вопросы и убедитесь, что у инспектора есть необходимые полномочия. Учитывайте, что проверяющие будут общаться и с другими работниками кадровой службы, поэтому проведите с ними необходимый инструктаж.
Что потребовать у проверяющих. Попросите инспектора предъявить служебное удостоверение и копию приказа о проведении проверки, заверенную печатью территориального подразделения Роскомнадзора (ч. 4 ст. 12, ч. 3 ст. 14 Федерального закона от 26.12.2008 № 294-ФЗ, далее – Закон № 294-ФЗ). В приказе должны быть указаны:
– Ф. И. О. и должности проверяющих;
– цели, задачи, основания проверки и срок ее проведения;
– мероприятия, которые будут проводить инспекторы во время проверки;
– документы, которые затребуют у работодателя.
Проверку вправе проводить те должностные лица, которых указали в приказе. Если в ходе проверки появятся новые контролеры, попросите их предъявить приказ об изменении состава группы.
Ознакомьтесь с актом, который инспекторы оформят по итогам проверки. Если работодатель не согласен с выводами инспекторов, у него есть 15 дней, чтобы представить в Роскомнадзор письменные возражения. Срок исчисляйте со следующего дня после того, как получили акт (ст. 16, 21 Закона № 294-ФЗ).
Как подготовить к проверке работников. Проведите беседы с сотрудниками отдела кадров, которые работают с персональными данными. Если работник не ответит на вопрос инспектора или будет путаться, для проверяющих это станет поводом более внимательно изучить документы.
В отделе кадров контролеры посмотрят, как вы храните документы, содержащие персданные. Проверьте, закрываются ли на ключ помещения и шкафы, в которых вы держите личные дела работников, анкеты соискателей и т. д. Также инспекторы спросят, каким образом происходит прием новых сотрудников, как вы собираете сведения о работниках, в каких случаях уничтожаете персональные данные.
Если в компании есть филиалы или представительства за границей или вы по служебной необходимости передаете персональные данные работников за рубеж, будьте готовы к вопросам о трансграничной передаче данных. Главное – доказать, что работодатель шифрует передаваемые сведения.
Включите условие о видеонаблюдении в трудовые договоры
Работодатель вправе ввести видеонаблюдение в рабочих помещениях, чтобы фиксировать противоправные действия. Предварительно внесите условие об этом в трудовые договоры работников. Если сотрудник откажется подписывать дополнительное соглашение, можете изменить условия трудового договора в одностороннем порядке. Главное – уведомить работника о новшествах минимум за два месяца (ст. 72, 74 ТК).
Согласие посетителей организации на видеосъемку получать не нужно. Но информируйте о съемке заранее, например, с помощью табличек «Ведется видеонаблюдение». Видеонаблюдение не признают сбором биометрических персональных данных до тех пор, пока его материалы не используют для установления личности (разъяснение Роскомнадзора от 30.08.2013). Если инспектор потребует предъявить согласие посетителей на видеонаблюдение, сошлитесь на это разъяснение ведомства. Также предъявите положение о проведении видеозаписи и приказ о назначении ответственных работников, которые имеют доступ к видеозаписям. Тогда претензий к вам не будет.
Какие документы подготовить
Инспекторы запросят документы по обработке персданных (п. 67–67.1 Административного регламента, утв. приказом Минкомсвязи от 14.11.2011 № 312). Исчерпывающего перечня таких документов нет, рассмотрим, что запрашивают инспекторы чаще всего.
Уведомление об обработке персональных данных. Прежде чем обрабатывать персданные, организация должна уведомить об этом территориальный орган Роскомнадзора. Работать без уведомления можно только в случаях, предусмотренных законом. Самый распространенный – компания обрабатывает персональные данные только в соответствии с трудовым законодательством. Если вы собираете данные в большем объеме, направьте в Роскомнадзор уведомление в бумажном или электронном виде (ч. 1, 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).
Политика обработки персональных данных. Политика – это документ, который распространяется не только на сотрудников, но и на клиентов, контрагентов компании, иных лиц (образец ниже). При разработке документа опирайтесь на Рекомендации Роскомнадзора от 27.07.2017.
Укажите в Политике цели обработки личной информации. Их предусматривают законы, устав организации, иные внутренние документы. Перечислите, какие персональные данные собираете по каждой категории субъектов – работники, клиенты и т. д. Отдельно опишите случаи обработки специальных и биометрических персональных данных. Если в организации есть официальный сайт, опубликуйте политику там. Если сайта нет, разместите документ в общедоступном месте, к примеру на стенде.
Положение о персональных данных работников. Компания должна утвердить локальный акт, регулирующий порядок хранения и обработки персональных данных сотрудников (ст. 87, абз. 5 ст. 88 ТК, п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ). Как правило, его называют положение (инструкция, регламент) о персональных данных. Если такого документа нет, составьте его в произвольной форме. Укажите состав персональных данных, порядок их обработки, передачи третьим лицам, права и обязанности работников и т. д. Ознакомьте всех сотрудников компании с положением под подпись.
Письменное согласие работника на обработку персональных данных. Случаи, когда работодатель обязан получить письменное согласие сотрудника, устанавливает закон. Оно требуется, когда компания обрабатывает биометрические данные. Например, сотрудники проходят на территорию по пропускам с фотографией. Кроме того, получайте письменное согласие, если компания передает информацию о работнике третьим лицам или запрашивает ее на стороне (образец ниже). Исключение составляют случаи, когда есть угроза жизни или здоровью сотрудника, информацию передают в налоговую инспекцию, ФСС, ПФР – тогда согласие от работника не нужно.
При приеме на работу брать письменное согласие на обработку персданных не обязательно, если работодатель будет собирать такие сведения строго в ситуациях, указанных в законе, колдоговоре и локальных актах (п. 2, 5 ч. 1 ст. 6 Закона № 152-ФЗ, абз. 1, 2 Разъяснений Роскомнадзора от 14.12.2012). Но чтобы получить дополнительную информацию о работнике, например, номер его мобильного телефона или адрес личной электронной почты, потребуется его согласие. Ведь и без подобных сведений стороны могут исполнять трудовой договор. Поэтому, чтобы исключить спорные ситуации, безопаснее получать у новых сотрудников письменное согласие на обработку данных и включать в него информацию, которую планируете обрабатывать.
Приказы о назначении ответственных. Проверьте, есть ли в вашей компании ответственный за организацию обработки персональных данных. Это подтвердит приказ в произвольной форме (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона № 152-ФЗ). Также утвердите приказом перечень сотрудников, которым для работы нужен доступ к персональным данным (ст. 88 ТК, п. 13 Положения, утв. постановлением Правительства от 15.09.2008 № 687). Обычно в перечень входят генеральный директор, его заместители, сотрудники кадровой службы, бухгалтерии, службы безопасности, юридического отдела и т. д.
В перечне укажите Ф. И. О. конкретных работников, а не список должностей. Когда сотрудник уволится, внесите в документ изменения. Если перечень лиц, которые обрабатывают персональные данные, не утвердили или указали в нем не Ф. И. О. работников, а должности, Роскомнадзор выдаст предписание (постановление Четырнадцатого арбитражного апелляционного суда от 21.01.2013 по делу № А44-5910/2012). Если допускаете к персональным данным работников, которых нет в перечне, фиксируйте это в специальном журнале.
Обязательство о неразглашении персональных данных. Получите у каждого сотрудника, который работает с персональными данными, письменное обязательство об их неразглашении (образец ниже). Также укажите в должностной инструкции, что работник имеет доступ к таким сведениям в связи с исполнением трудовых обязанностей. Только при этих условиях вы сможете уволить сотрудника за разглашение персональных данных (ст. 90 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2).
Документы об уничтожении персональных данных. Подтверждайте документально, что уничтожаете персональные данные и их материальные носители. Издайте приказ о создании комиссии по уничтожению персональных данных, оформляйте акты об их уничтожении или ведите специальный журнал (информация Роскомнадзора от 25.09.2015). Уничтожить персональные данные нужно, если их получили незаконно, истекли сроки хранения сведений или компания достигла цели, для которой собирала информацию.
Нормативная база
| Документ | Поможет вам |
|---|---|
| Пункт 67 Административного регламента, утвержденного приказом Минкомсвязи от 14.11.2011 № 312 | Понять, какие документы могут запросить инспекторы Роскомнадзора |
| Статья 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» | Выяснить, когда работодатель должен уведомить Роскомнадзор об обработке персданных |
| Статья 90 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2 | Узнать, при каких условиях вы сможете уволить сотрудника за разглашение персональных данных |
Важные выводы
1. Получите у инспекторов Роскомнадзора заверенную копию приказа о проведении проверки и попросите предъявить служебные удостоверения.
2. Храните личные дела и иные документы с персональными данными в запираемых шкафах или помещениях.
3. Назначьте ответственного за обработку персданных и утвердите перечень сотрудников, которые имеют к ним доступ.
за правильный ответ
