Эти три ошибки при работе с персональными данными нужно срочно исправить всем компаниям
Мы выяснили, за какие три ошибки при работе с личными данными сотрудников компании получают штрафы Роскомнадзора1. В нашей статье четкие инструкции и готовые образцы документов, чтобы организовать работу с персональными данными строго по требованиям закона.
Ошибка 1. За обработку персональных данных отвечает кадровик Главное в статье Скрыть
Часто ответственным за обработку персональных данных назначают кадровика, бухгалтера, секретаря и т. д. Логика компании – сотрудник работает с документами, значит, может отвечать и за персональные данные. Однако возлагать такие функции закон разрешает не на любого сотрудника. Есть критерии, которые нужно соблюдать, чтобы не получить штраф.
Назначьте компетентного сотрудника. Ответственному предстоит организовать обработку данных в масштабе организации. Кроме того, он должен напрямую подчиняться гендиректору (ч. 2 ст. 22.1 Федерального закона № 152-ФЗ, далее – Закон № 152-ФЗ). Поэтому в большинстве случаев назначить кадровика будет ошибкой. Это допустимо только в маленькой компании.
Безопаснее сделать ответственным за персданные директора по информационной безопасности или по персоналу. Такие сотрудники подчиняются напрямую руководителю организации и обычно обладают достаточными знаниями.
Назначать ответственным генерального директора чиновники Роскомнадзора не рекомендуют, так как вряд ли он будет непосредственно организовывать обработку персданных. Скорее всего, негласно перепоручит эти функции кому-то из подчиненных, что может привести к штрафу или путанице.
Наделите ответственного полномочиями. Предоставьте сотруднику информацию о том, какие персональные данные и какими способами обрабатывают в компании (ч. 3 ст. 22 Закона № 152-ФЗ). Дайте ему право контролировать обработку персданных. О назначении ответственного издайте приказ в произвольной форме. Подробно его полномочия пропишите в трудовом договоре или должностной инструкции (образец ниже).
Ошибка 2. Документы с персональными данными хранят на столах или стеллажах
Во время проверки инспектор Роскомнадзора обратит внимание, где вы храните документы с персональными данными. Готовьтесь платить штраф, если контролер найдет такие документы на столах или стеллажах.
Утвердите перечень мест, где будете хранить персональные данные. При проверке инспектор Роскомнадзора запросит приказ, которым вы утвердили перечень мест хранения материальных носителей персональных данных (образец ниже). Во всех кабинетах, где обрабатываете персданные на бумаге, определите места хранения – сейфы или запираемые шкафы. Местом хранения может быть и само помещение, например архив организации. Главное в статье Скрыть
Оставлять документы, которые содержат персданные, на столах, полках, стеллажах, нельзя. Часто кадровик держит на видном месте список контактных телефонов или информацию о днях рождения работников. Инспекторы Роскомнадзора могут счесть это нарушением. В открытом доступе можно оставлять только документы, в которых нет информации о конкретных работниках. Например, коллективный договор и локальные акты.
Организуйте доступ работников к персональным данным. Утвердите приказом перечень лиц, которых допустили к обработке персональных данных. Это сотрудники, которые работают с личными данными работников, клиентов, абонентов и т. д. В приказе укажите, к каким данным имеет доступ конкретный работник (образец ниже).
В должностные инструкции или трудовые договоры сотрудников, допущенных к работе с личными данными, включите информацию о том, что они обрабатывают эти данные без использования средств автоматизации (образец ниже). Также укажите, какие категории персданных обрабатывают и какими правилами руководствуются. Как вариант, эти сведения пропишите в ЛНА и ознакомьте работников с ним под подпись. Если Роскомнадзор обнаружит, что сотрудников не проинформировали, то сочтет это нарушением.
Совет эксперта
Запретите работникам обсуждать зарплаты коллег
Часто коллеги делятся друг с другом информацией о зарплате. Такие сведения относят к персональным данным. Рассказывать или нет о своем заработке, сотрудник решает сам. Но компания должна прописать во внутренних документах, что работникам нельзя разглашать информацию о доходах коллег, а также установить за это санкции. При этом тяжесть проступка зависит от того, как работник получил сведения о зарплате. Если виновный работает в бухгалтерии или кадровой службе и почерпнул такую информацию из документов, к нему можно применить взыскание вплоть до увольнения (подп. «в» п. 6 ч. 1 ст. 81 ТК). А когда работник узнает о размере зарплаты коллег из разговоров и не обрабатывает персональные данные других сотрудников в силу своих трудовых обязанностей, наказание должно быть менее строгим. Впрочем, отследить разговоры работников о заработных платах достаточно трудно, если они не предоставляют данную информацию третьим лицам или не публикуют в открытых источниках.
Получите у сотрудников, которых допустили к обработке персональных данных, обязательство о неразглашении (образец ниже). Только в этом случае вы сможете привлечь работника к ответственности за утечку личных данных.
«Черные списки» сотрудников нельзя размещать на сайте компании
Если опубликуете на своем сайте перечень работников, которых уволили за утрату доверия, хищение или неоднократные нарушения, компанию оштрафуют. Такие разъяснения дал Минтруд. Работодатель не вправе сообщать персональные данные работника третьей стороне, в том числе посетителям сайта, без письменного согласия самого сотрудника. Это устанавливает статья 88 Трудового кодекса. Исключение – случаи, когда есть угроза жизни и здоровью работника либо передать персданные нужно по закону, например, в ПФР или ФСС (письмо Минтруда от 08.10.2018 № 14-2/В-803).
Главное в статье СкрытьОшибка 3. В компании хранят личные данные, которые нужно было уничтожить
Нельзя хранить личные данные, если достигли целей, для которых их получали, – предоставили гарантии, выплаты и т. п. Например, нет причин оставлять в кадрах копию свидетельства о рождении ребенка, после того как назначили работнику пособие по уходу за ребенком (ч. 6 ст. 13 Федерального закона от 29.12.2006 № 255-ФЗ). Но, прежде чем уничтожать документы, убедитесь, что истекли сроки хранения. Если преждевременно избавитесь от документов, руководителя организации оштрафуют, а кадровику придется восстанавливать бумаги (ст. 13.20 КоАП).
Если персданные работника больше не нужны компании, информацию и ее носители уничтожают в 30-дневный срок (ч. 4 ст. 21 Закона № 152-ФЗ). Однако закон или договор часто устанавливает другой период хранения. Для документов по личному составу сроки хранения смотрите в Перечне, утвержденном приказом Минкультуры от 25.08.2010 № 558. Например, приказы о приеме и увольнении хранят 75 (50) лет. Поэтому, даже если работник уволился, документы нужно хранить в организации в течение установленного срока.
Установите порядок уничтожения персданных. Разработайте локальный акт об уничтожении персональных данных. В нем пропишите, в каких случаях компания уничтожает личные данные. Определите, какие способы для этого использовать. Например, носители данных можно уничтожить с помощью шредера, сжечь и т. п. Можно заключить со специализированной организацией договор об уничтожении документов. Наиболее удобный способ избавиться от документов, не прибегая к услугам сторонних фирм, – уничтожить их в шредере.
Совет эксперта
Копии паспортов и дипломов храните в личных делах только с письменного согласия работника
Для коммерческих компаний нет обязательных требований к содержанию личных дел. Закон не устанавливает перечень документов, которые можно или нельзя хранить. Однако в личном деле нельзя хранить документы, которые не нужны для исполнения трудового договора или прямых обязанностей работодателя. Исключение – случаи, когда работник дал письменное согласие на хранение таких «ненужных» документов. Однако отдельные инспекторы или суды могут счесть обработку паспортов, свидетельств и дипломов избыточной, даже если есть согласие сотрудника. Практика спорная, но она есть (постановления Пятнадцатого арбитражного апелляционного суда от 17.12.2013 № 15АП-16132/13, ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013, от 11.03.2014 по делу № А53-10287/2013 и др.). Таким образом, оставлять ли копии в личных делах, решать вам, но будьте готовы обосновать, для чего они вам нужны, и предъявить письменное согласие работника.
Создайте комиссию по уничтожению персданных. В ее состав входят председатель и как минимум еще два сотрудника. Также включайте в комиссию работника, ответственного за обработку документов, которые планируете уничтожить. Комиссия составляет перечень документов для уничтожения с учетом сроков их хранения.
Зафиксируйте уничтожение персданных. Отразите в специальном журнале или акте, что уничтожили документы, которые содержат персональные данные работников (образец ниже). Унифицированных форм акта и журнала нет, их утверждает сам работодатель (информация Роскомнадзора от 25.09.2015). Отразите, какие документы уничтожили, когда и каким способом. Также внесите информацию, почему они больше не нужны. Когда уничтожите данные, внесите в книги и журналы учета, номенклатуру дел отметки об уничтожении документов. Укажите дату и номер акта (образец ниже).
Важные выводы
1. Назначьте ответственным за обработку персданных директора по персоналу, IT-директора или другого компетентного сотрудника, который напрямую подчиняется гендиректору.
2. Документы с персональными данными храните в сейфах, запираемых шкафах или помещениях. Перечень таких мест закрепите в приказе.
3. Уничтожьте персданные, которые больше не нужны. Но предварительно проверьте, что истекли сроки хранения.
за правильный ответ
