Основные ошибки в персональных данных, которые найдет Роскомнадзор

Одна из самых опасных тем для работодателей сегодня – персональные данные. Опасной ее делают сразу несколько факторов. Изменение закона в последнее время, возможный штраф до 6 млн рублей, возобновление проверок Роскомнадзора. А еще – возможные жалобы от сотрудников и даже кандидатов. Как этого избежать и пройти проверку без штрафов – об этом BLS рассказала на вебинаре 19 мая.

Персональные данные – это любая информация, которая относится к конкретному лицу. К ней относятся ФИО, дата рождения, паспортные данные, СНИЛС, адреса и телефоны, образование. А еще доходы, семейный статус. Есть еще специальные и биометрические данные: национальность, рост, вес, отпечатки пальцев и т.д. Делая для сотрудников пропуска с фотографиями, вы используете персональные данные.

Любая компания, которая использует и обрабатывает данные, является оператором - по сути каждый работодатель. В итоге для сбора, хранения, обработки информации нужно согласие и соблюдение закона.

Самое опасное нарушение – хранение баз данных за пределами России. За это можно получить 6 млн. рублей штрафа. Среди других частых нарушений: неучтенные изменения в законе, которые вступили в силу 1 марта, нет порядка хранения данных, отсутствуют условия о трансграничной передача данных, согласие сотрудника содержит ошибки, персональные данные кандидатов хранятся без цели и более 30 дней и т.д. А еще, например, для общедоступных данных не указано основание их обработки. Речь идет о списках с днями рождения, номерами телефонов сотрудников – а это есть по сути в каждой компании.

Все это так или иначе проверяет Роскомнадзор. В чек-листе «самых популярных» у ведомства более 20 документов. Например, назначены ли ответственные за работу с ПД, есть ли на сайте документ, определяющий политику, хранятся ли копии личных документов сотрудников, как организована система согласий от сотрудников на обработку данных. А еще, например, Cookie-файлы – это персональные данные. Если вы используете на сайте такие сервисы, как Google Analytics, «Яндекс.Метрика», надо уведомить пользователей, какие данные собираются и для чего.

При этом инспектор не вправе эксплуатировать ваши системы, это может делать только ваш сотрудник. А в случае нарушений вы получите акт и предписание об устранении. Но Роскомнадзор придет не только с плановым визитом. Пожаловаться на незаконную обработку может и сотрудник, и даже бывший кандидат.

Поэтому сейчас самое главное проверить имеющиеся документы по персональным данным. Их должно быть минимум 3 – Положение, согласие на обработку и обязательство о неразглашении. Но может быть и больше в зависимости от того, какие данные и как вы обрабатываете. Но в любом случае обязательно получать согласие от сотрудников. Оно не нужно лишь в некоторых случаях – когда личная информация нужна для выполнения закона – скажем, для начисления зарплаты.