Клерк.Ру

За что штрафует Роскомнадзор: анкеты и резюме соискателей, визитки и билеты в командировки

На практике инспекторы могут оштрафовать за нарушения по защите персональных данных по совершенно абсурдным основаниям. Чего ждать от проверки Роскомнадзора, рассказывает кадровый эксперт.

Регистрироваться ли в реестре?

В связи с внесением изменений в КоАП с 1 июля 2017 года и ужесточением ответственности за нарушения законодательства в области персональных данных, для работодателя все более актуальным становится вопрос о том, как правильно работать с персональными данными.

Если проверки Государственной инспекции труда проходили многие работодатели, то о проверках Роскомнадзора знают пока не все.

Информацию о том, придет ли на предприятие плановая проверка Роскомнадзора можно найти на сайте Прокуратуры субъекта РФ.

Так как же подготовиться и пройти такую проверку без штрафов? Для начала нужно разобраться: необходимо ли компании регистрироваться в реестре Роскомнадзора?

В соответствии с законодательством оператором персональных данных признается, в том числе, юридическое лицо осуществляющее обработку персональных данных. Согласно закону «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Одним из исключений является обработка персональных в соответствии с трудовым законодательством.

Но это исключение не распространяется на персональные данные уволенных сотрудников, на членов семей сотрудников и их детей.

То есть на практике получается так, что уведомление подавать в любом случае нужно.

Другое дело, что штраф за неподачу данных предусмотрен небольшой — пять тысяч рублей.

На что смотрит инспектор?

Каковы же основные зоны риска в компании при работе с персональными данными? Это прежде всего, кадровое делопроизводство, хранение личных дел сотрудников, ведение зарплатного проекта и оформление командировок, заказ визитных карточек в компании, оформление прохождения медицинских осмотров сотрудников, которым в соответствии с ТК РФ необходимо проходить такие осмотры, а также порядок осуществления пропускного режима на территорию служебных помещений работодателя.

В отделе персонала проверяющих заинтересует наличие договоров с работными сайтами, приказ о назначении ответственного за обработку персональных данных в компании, а также локально-нормативные акты, регулирующие в компании работу с персональными данными.

Особое внимание инспекторы Роскомнадзора обратят на содержание письменного согласия на обработку персональных данных.

Оно должно быть оформлено в соответствии со ст. 9 п. 4 закона «О персональных данных».

Проблемы из-за соискателей

«Конек» проверяющих — проверка содержания анкеты соискателя на наличие избыточных персональных данных.

В соответствии с законодательством информация в анкете о родственниках соискателя должна соответствовать объему, предусмотренном пунктом 10 унифицированной формы N Т-2, утвержденной постановлением Госкомстата Российской Федерации.

То есть работодателю о родственниках соискателя (работника) положено знать только степень их родства, фамилию, имя, отчество и год рождения ближайших родственников.

Любая другая информация, как например, число и месяц рождения или место работы родственника, будет признана избыточной и за это компанию оштрафуют.

Теоретически здесь требования Роскомнадзора вступают в противоречие со ст.228 ТК РФ, ведь Трудовой кодекс обязывает работодателя при наступлении тяжелого несчастного случая или несчастного случая со смертельным исходом информировать родственников пострадавшего.

А как это сделать, если нет никакой другой информации в анкете — не понятно. Проверяющие эту ситуацию никак не комментируют.

Про хранение личных дел сотрудников все ясно — они должны находиться в закрытых стеллажах под замком.

Резюме

А вот как правильно с точки зрения Роскомнадзора работать с резюме кандидатов? Во-первых, обработка персональных данных соискателей предполагает получение согласия самих соискателей на обработку их персональных данных.

Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.

Согласно требованиям Роскомнадзора при получении резюме кандидата по электронной почте — необходима обратная связь с ним для подтверждения факта отправки указанного резюме самим кандидатом.

К таким мероприятиям можно отнести приглашение соискателя на личную встречу с сотрудниками работодателя, обратную связь посредством электронной почты и т.п. При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, направившее его, не представляется возможным, данное резюме подлежит уничтожению в день поступления с составлением акта об уничтожении.

То же необходимо сделать и в случае отказа кандидату в приеме на работу — резюме должно быть уничтожено в течение 30 дней. Поэтому резюме проще вообще не распечатывать.

При направлении работодателем запросов по прежним местам работы, для уточнения или получения дополнительной информации о соискателе получение его согласия также является обязательным условием.

Кадровый резерв

В случае ведения кадрового резерва в компании обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться также только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения.

Поэтому соискатель обязательно должен быть ознакомлен с условиями ведения кадрового резерва: со сроками хранения его персональных данных и порядком исключения из кадрового резерва. Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя на сайте Компании.

Сайт компании

Сайт Компании также представляет интерес для сотрудников Роскомнадзора.

В случае использования окна обратной связи с клиентами или кандидатами, политика или положение об обработке персональных данных должны быть размещены на сайте, а согласие на обработку персональных данных обязательно должно подтверждаться соискателем или клиентом, путем проставления отметки — «галочки» в соответствующем поле.

Передача данных третьим лицам

В ходе проверки проверяющие обязательно поинтересуются, ездят ли сотрудники в командировки, проходят ли медосмотры и заказываются ли им визитные карточки.

Если да, то еще одним подводным камнем для работодателя является сохранение конфиденциальности при передаче персональных данных третьим лицам и согласие самих сотрудников на такую передачу для изготовления, например, визитных карточек или заказа авиа- и железнодорожных билетов через агентства, направления на обязательный медицинский осмотр.

Для этого должны быть заключены договоры о конфиденциальности с соответствующими подрядчиками.

В таких договорах проверяющих интересует перечень действий, совершаемых с персональными данными, цели обработки и обеспечение безопасности данных.

Визитка — как повод для штрафа

По итогам проверки будет составлен акт и в случае выявленных нарушений вынесено предписание об устранении нарушений.

Что касается штрафов, конкретные их размеры указаны в статье 13.11 КоАП. Размеры штрафов от 15 до 70 тысяч рублей в зависимости от вида нарушения. Чтобы минимизировать риски, работодателю перед проверкой необходимо провести инструктаж ответственных лиц, какие пояснения давать инспектору.

Как показывает практика, к проверке Роскомнадзора подготовится сложнее, чем к проверке ГИТ, потому что требования Роскомнадзора не столь широко известны работодателям, как требования трудового законодательства.

К тому же бывает, что решения инспекторов, на первый взгляд, кажутся парадоксальными.

Есть прецеденты, когда компанию штрафовали, например, за то, что у бухгалтера по зарплате в согласии на обработку персональных данных, отсутствует согласие на передачу персональных данных компаниям, у которых заказываются визитки, авиабилеты, и где проходят медосмотры сотрудники, которым положено их проходить в соответствии с законодательством.

Объяснения представителей компании о том, что бухгалтер по зарплате не ездит в командировки, ему не положены визитные карточки и он не обязан проходить медосмотры — успеха не имели. В таких случаях нужно пытаться отстоять свою позицию в суде, хотя судебной практики по нарушениям в области персональных данных еще очень мало.

Поэтому любое судебное решение, вынесенное в пользу компании, будет значительной вехой в спорах подобного рода.

Мнения
Аватар
Целую отрасль демократического Бардака устроили. Делать больше не фига. Напридумывали всяких персональных данных, через которые человек может стать директором какого либо металлургического комбината не зная об этом. И узнает об этом только когда к нему придут приставы за Долгом этого металлургического комбината.
Чем больше Бардака тем демократам легче грабить народ законами.

Аноним, Вы писали:

Целую отрасль демократического Бардака устроили. Делать больше не фига. Напридумывали всяких персональных данных, через которые человек может стать директором какого либо металлургического комбината не зная об этом. И узнает об этом только когда к нему придут приставы за Долгом этого металлургического комбината.
Чем больше Бардака тем демократам легче грабить народ законами.

 Это кого ты сейчас демократами обозвал? Путина с Бортниковым?

Аватар
>> Другое дело, что штраф за неподачу данных предусмотрен небольшой — пять тысяч рублей.

 Ничё что эти пять тысяч - это деньги, вынутые из кармана работяг?

Упс, комментировать могут только зарегистрированные пользователи. Пожалуйста, .