Персональные данные работников: напоминание кадровой службе об обязанности регистрации в Роскомнадзоре

Кадровики знают, основным органом, надзирающим за их деятельностью, является Трудовая инспекция. Однако, с 2022 года за работой кадровой службы пристально следит Роскомнадзор. На фоне действующих мораториев на проверки и отвлечения внимания на более растиражированные изменения законодательства, например в части воинского учета, многие не придают защите персональных данных внимания. Но скоро ситуация изменится и вот почему:

Почему стоит вспомнить про Закон о персональных данных?

Требования к обработке персональных данных существовали с 2007 года, но штрафы тогда были незначительны, да и уведомление уполномоченного органа, при обработке ПДн в соответствии с трудовыми законодательствами, не являлось обязательным. Все изменилось в сентябре 2022 года, когда обработка информации о сотрудниках стала требовать направления сведений в Роскомнадзор. Теперь практически каждое юридическое лицо должно регистрироваться в качестве оператора персональных данных, а с 30 мая 2025 года несоблюдение закона будет караться штрафом до 300 тыс. руб.

Стоит помнить, персональные данные – это любая информация позволяющая идентифицировать сотрудника. Многие ошибочно сокращают перечень сведений, относящейся к ПДн, чего делать не стоит. К персональным данным относится не только информация, содержащаяся в паспорте и иных документах, удостоверяющих личность, но и номер телефона, e-mail, профессия, должность, национальная принадлежность, сведения о состоянии здоровья, и т.д. Не верите? Зайдите на официальный сайт Роскомнадзора и проверьте.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Как кадровому специалисту помочь руководителю организовать работу с ПДн?

Те, кто знаком с Законом о персональных данных знает, что в обработку вовлечена не только кадровая служба, однако мы поговорим о том, на что обратить внимание именно Вам. В первую очередь компания должна принять политику по обработку персональных данных, в которой в обязательном порядке должны быть условия обработки ПДн сотрудников в целях соблюдения трудового, налогового и пенсионного законодательства, рекомендуется отдельно выделить кадровый и бухгалтерский учет. Далее назначаем ответственного за организацию обработки персональных данных из числа работников, готовим для него инструкцию, оформляем полномочия приказами. Самое главное, до начала обработки пройти регистрацию в Реестре операторов. Если компания не зарегистрирована, сделайте это как можно скорее.

Оператор обязан обеспечить соблюдение правовых, организационных и технических мер по защите персональных данных. Это значит, что помещения должны быть соответствующим образом оборудованы, работники проинструктированы, а персональные данные, цель обработки которых достигнута уничтожены. Поскольку работают с документами по личному составу, а зачастую и воинскому учету в отделе кадров, в первую очередь проверяющие пойдут туда. Оштрафовать могут не только за хранение карточек по форме Т-2/Т-10 вне запираемых шкафов или отсутствие выгрузка из журнала регистрации событий в информационной системе 1С: ЗУП, но и за банальное зеркало, размещенное за рабочим местом сотрудника, или нахождение в помещении лиц, не допущенных к работе с персональными данными.

Чем грозит нарушение порядка обработки?

Для начала ответьте себе на вопрос: Ваша компания обнародовала политику оператора в отношении обработки персональных данных? Если ответ «нет» или вопрос непонятен, то компания уже может быть оштрафована на сумму 60 тыс. руб. Обращаю внимание, даже если политика есть, и она соблюдается, её отсутствие на информационном стенде или сайт компании предусматривает ответственность. И это самый малозначительный состав правонарушения, содержащийся в законе.

Сегодня за любое нарушение при обработке ПДн можно получить штраф до 100 тыс. руб., а в случае рецидива до 300 тыс. руб. Возьмем более конкретный пример, обрабатывая персональные данные сотрудника, компания не получила согласие на обработку, в тех случаях когда этого требует закон, — штраф до 700 тыс. руб., а за повторное нарушение до 1,5 млн. руб. Еще один пример: в компанию поступил запрос от гражданина о предоставлении сведений, касающихся его ПДн, ответ на который дан в сроки предусмотренные ФЗ «Об обращении граждан», однако в нашем случае предусмотрены специальные, более короткие сроки, несоблюдение которых влечет штраф до 80 тыс. руб.

Мы перечислили только часть штрафов, которые касаются работы кадровых подразделений, однако если смотреть на организацию шире, то при попустительстве со стороны отдела кадров, бухгалтерии и IT-служб максимальный штраф сегодня составит 18 млн. руб., а с 30.05.2025 г. до 500 млн. руб. Тогда же начнут штрафовать и юридические лица за отсутствие в Реестре операторов на сумму до 300 тыс. руб.

Создание безопасной среды для работы с персональными данными – это сложный и длительный процесс, в который необходимо вовлечь все структурные подразделения организации. Если в компании не организована работа с ПДн, для кадрового специалиста правильным будет взять инициативу в свои руки и предложить руководству принять меры по устранению нарушений. Таким образом, можно не только проявить активное участие в жизни компании, но и помочь избежать штрафов в сотни тысяч, а может и миллионы рублей. Если же у Вас отсутствует возможность оценить все риски работы с информацией о сотрудниках, можно воспользоваться бесплатным аудитом, проводимым нашей компанией, а при необходимости услугой по разработке базовой модели по обработке персональный данных «под ключ».