Роскомнадзор возобновил проверки защиты персональных данных. Прежде всего ему интересны иностранные компании, чтобы проверить, где хранятся данные о сотрудниках, ведь штраф может достигать 6 млн. рублей. К тому же, в марте вновь изменился закон и увеличились штрафы.
Что надо проверить работодателям и как избежать рисков и возможных штрафов в сфере персональных данных? Об этом эксперты BLS рассказали на вебинаре 11 июня.
Санкции ужесточились: за оставленное на столе резюме можно заплатить 75 000 рублей, а за звонок за рекомендацией на кандидата – статью УК РФ за вмешательство в частную жизнь. Еще одна зона риска – пропуск. Если вы оформляете их с фото для установления личности, надзор считает это биометрическими данными. Также, как и сбор личной информации на сайте. И их обработка требует согласия от людей.
Прежде всего, надо определиться с термином «обработка». В нее входит сбор, запись, хранение, использование, передача и даже уничтожение данных. Существует трансграничная передача – отправка информации за границу. Для каждого процесса есть свои правила и условия. И компания должна уведомить Роскомнадзор о том, что является оператором данных. Не надо уведомлять только, если обработка идет в рамках трудовых отношений (кадровые документы, расчет зарплаты).
Для защиты данных работодатель должен утвердить соответствующую политику, назначить ответственного, проводить аудит и ограничить доступ сторонних лиц к данным. И, конечно, обрабатывать информацию в России и получать согласие сотрудников. Сам работник имеет право на доступ к своим данным и может обратиться с жалобой в суд. Соответственно, компания должна создать Положение о ПД, форму согласия на обработку и форму обязательства о неразглашении. Кстати, на сайте тоже надо дать ссылку на Политику по обработке данных, чтобы пользователи могли ее изучить и дать свое согласие.
Любое неправильное действие чревато санкциями. Самый большой штраф по ст.13.11 КоАП – за нарушение закона о ПД. Должностное лицо получит до 800 тыс. рублей, компания – до 18 млн. (при повторном нарушении). За нарушение трудового законодательства по ст.5.27 КоАП штраф составит до 70 тыс. рублей на компанию. А повторная «ошибка» чревата дисквалификацией и для директора. Кроме того, «можно попасть» на ст.137 УК РФ – незаконный сбор и распространение сведений о частной жизни – с штрафом до 300 тыс. рублей и даже до 4 лет лишения свободы.
Все это, конечно, исходит от Роскомнадзора и его проверок. Их может быть 4: плановые, внеплановые, документарные и выездные. Инспектор обязательно задаст все важные вопросы. Есть даже чек-лист примерно из 20 вопросов. Среди них: есть ли на сайте необходимый документ, соблюдаются ли сроки обработки, есть ли ответственные за обработку, как уничтожаются носители, соблюдается ли политика «чистых столов», как организован пропускной режим и т.д. Но надо помнить, что инспектор не может сам проверять / эксплуатировать ваши информационные системы. Это может делать только ваш работник.
В любом случае, чтобы избежать рисков, лучше подготовиться заранее и закрыть все опасные зоны.