Клерк.Ру

За что штрафует Роскомнадзор: анкеты и резюме соискателей, визитки и билеты в командировки

На практике инспекторы могут оштрафовать за нарушения по защите персональных данных по совершенно абсурдным основаниям. Чего ждать от проверки Роскомнадзора, рассказывает кадровый эксперт.

Регистрироваться ли в реестре?

В связи с внесением изменений в КоАП с 1 июля 2017 года и ужесточением ответственности за нарушения законодательства в области персональных данных, для работодателя все более актуальным становится вопрос о том, как правильно работать с персональными данными.

Если проверки Государственной инспекции труда проходили многие работодатели, то о проверках Роскомнадзора знают пока не все.

Информацию о том, придет ли на предприятие плановая проверка Роскомнадзора можно найти на сайте Прокуратуры субъекта РФ.

Так как же подготовиться и пройти такую проверку без штрафов? Для начала нужно разобраться: необходимо ли компании регистрироваться в реестре Роскомнадзора?

В соответствии с законодательством оператором персональных данных признается, в том числе, юридическое лицо осуществляющее обработку персональных данных. Согласно закону «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Одним из исключений является обработка персональных в соответствии с трудовым законодательством.

Но это исключение не распространяется на персональные данные уволенных сотрудников, на членов семей сотрудников и их детей.

То есть на практике получается так, что уведомление подавать в любом случае нужно.

Другое дело, что штраф за неподачу данных предусмотрен небольшой — пять тысяч рублей.

На что смотрит инспектор?

Каковы же основные зоны риска в компании при работе с персональными данными? Это прежде всего, кадровое делопроизводство, хранение личных дел сотрудников, ведение зарплатного проекта и оформление командировок, заказ визитных карточек в компании, оформление прохождения медицинских осмотров сотрудников, которым в соответствии с ТК РФ необходимо проходить такие осмотры, а также порядок осуществления пропускного режима на территорию служебных помещений работодателя.

В отделе персонала проверяющих заинтересует наличие договоров с работными сайтами, приказ о назначении ответственного за обработку персональных данных в компании, а также локально-нормативные акты, регулирующие в компании работу с персональными данными.

Особое внимание инспекторы Роскомнадзора обратят на содержание письменного согласия на обработку персональных данных.

Оно должно быть оформлено в соответствии со ст. 9 п. 4 закона «О персональных данных».

Проблемы из-за соискателей

«Конек» проверяющих — проверка содержания анкеты соискателя на наличие избыточных персональных данных.

В соответствии с законодательством информация в анкете о родственниках соискателя должна соответствовать объему, предусмотренном пунктом 10 унифицированной формы N Т-2, утвержденной постановлением Госкомстата Российской Федерации.

То есть работодателю о родственниках соискателя (работника) положено знать только степень их родства, фамилию, имя, отчество и год рождения ближайших родственников.

Любая другая информация, как например, число и месяц рождения или место работы родственника, будет признана избыточной и за это компанию оштрафуют.

Теоретически здесь требования Роскомнадзора вступают в противоречие со ст.228 ТК РФ, ведь Трудовой кодекс обязывает работодателя при наступлении тяжелого несчастного случая или несчастного случая со смертельным исходом информировать родственников пострадавшего.

А как это сделать, если нет никакой другой информации в анкете — не понятно. Проверяющие эту ситуацию никак не комментируют.

Про хранение личных дел сотрудников все ясно — они должны находиться в закрытых стеллажах под замком.

Резюме

А вот как правильно с точки зрения Роскомнадзора работать с резюме кандидатов? Во-первых, обработка персональных данных соискателей предполагает получение согласия самих соискателей на обработку их персональных данных.

Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.

Согласно требованиям Роскомнадзора при получении резюме кандидата по электронной почте — необходима обратная связь с ним для подтверждения факта отправки указанного резюме самим кандидатом.

К таким мероприятиям можно отнести приглашение соискателя на личную встречу с сотрудниками работодателя, обратную связь посредством электронной почты и т.п. При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, направившее его, не представляется возможным, данное резюме подлежит уничтожению в день поступления с составлением акта об уничтожении.

То же необходимо сделать и в случае отказа кандидату в приеме на работу — резюме должно быть уничтожено в течение 30 дней. Поэтому резюме проще вообще не распечатывать.

При направлении работодателем запросов по прежним местам работы, для уточнения или получения дополнительной информации о соискателе получение его согласия также является обязательным условием.

Кадровый резерв

В случае ведения кадрового резерва в компании обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться также только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения.

Поэтому соискатель обязательно должен быть ознакомлен с условиями ведения кадрового резерва: со сроками хранения его персональных данных и порядком исключения из кадрового резерва. Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя на сайте Компании.

Сайт компании

Сайт Компании также представляет интерес для сотрудников Роскомнадзора.

В случае использования окна обратной связи с клиентами или кандидатами, политика или положение об обработке персональных данных должны быть размещены на сайте, а согласие на обработку персональных данных обязательно должно подтверждаться соискателем или клиентом, путем проставления отметки — «галочки» в соответствующем поле.

Передача данных третьим лицам

В ходе проверки проверяющие обязательно поинтересуются, ездят ли сотрудники в командировки, проходят ли медосмотры и заказываются ли им визитные карточки.

Если да, то еще одним подводным камнем для работодателя является сохранение конфиденциальности при передаче персональных данных третьим лицам и согласие самих сотрудников на такую передачу для изготовления, например, визитных карточек или заказа авиа- и железнодорожных билетов через агентства, направления на обязательный медицинский осмотр.

Для этого должны быть заключены договоры о конфиденциальности с соответствующими подрядчиками.

В таких договорах проверяющих интересует перечень действий, совершаемых с персональными данными, цели обработки и обеспечение безопасности данных.

Визитка — как повод для штрафа

По итогам проверки будет составлен акт и в случае выявленных нарушений вынесено предписание об устранении нарушений.

Что касается штрафов, конкретные их размеры указаны в статье 13.11 КоАП. Размеры штрафов от 15 до 70 тысяч рублей в зависимости от вида нарушения. Чтобы минимизировать риски, работодателю перед проверкой необходимо провести инструктаж ответственных лиц, какие пояснения давать инспектору.

Как показывает практика, к проверке Роскомнадзора подготовится сложнее, чем к проверке ГИТ, потому что требования Роскомнадзора не столь широко известны работодателям, как требования трудового законодательства.

К тому же бывает, что решения инспекторов, на первый взгляд, кажутся парадоксальными.

Есть прецеденты, когда компанию штрафовали, например, за то, что у бухгалтера по зарплате в согласии на обработку персональных данных, отсутствует согласие на передачу персональных данных компаниям, у которых заказываются визитки, авиабилеты, и где проходят медосмотры сотрудники, которым положено их проходить в соответствии с законодательством.

Объяснения представителей компании о том, что бухгалтер по зарплате не ездит в командировки, ему не положены визитные карточки и он не обязан проходить медосмотры — успеха не имели. В таких случаях нужно пытаться отстоять свою позицию в суде, хотя судебной практики по нарушениям в области персональных данных еще очень мало.

Поэтому любое судебное решение, вынесенное в пользу компании, будет значительной вехой в спорах подобного рода.

Дмитрий Чигадаев

руководитель кадрового проекта, http://chigadaev.ru/

Мнения
 
Аватар
Целую отрасль демократического Бардака устроили. Делать больше не фига. Напридумывали всяких персональных данных, через которые человек может стать директором какого либо металлургического комбината не зная об этом. И узнает об этом только когда к нему придут приставы за Долгом этого металлургического комбината.
Чем больше Бардака тем демократам легче грабить народ законами.

Аноним, Вы писали:

Целую отрасль демократического Бардака устроили. Делать больше не фига. Напридумывали всяких персональных данных, через которые человек может стать директором какого либо металлургического комбината не зная об этом. И узнает об этом только когда к нему придут приставы за Долгом этого металлургического комбината.
Чем больше Бардака тем демократам легче грабить народ законами.

 Это кого ты сейчас демократами обозвал? Путина с Бортниковым?

Аватар
>> Другое дело, что штраф за неподачу данных предусмотрен небольшой — пять тысяч рублей.

 Ничё что эти пять тысяч - это деньги, вынутые из кармана работяг?
Люди которым это нравится