Клуб поддержки кадровых с пециалистов «Кадровый Помощник» Наставничество (разработать, внедрить и использовать) Ведущий - Ольга Шикун https://kadryhelp.ru/
Одна из обязанностей работодателя в работе с персональными данными – проводить внутренний аудит документов. Поэтому, если инспектор из Роскомнадзора придет с проверкой, предоставьте ему документы, которые подтвердят, что работодатель проводил аудит. Например, протоколы, планы аудита, правила внутреннего аудита, а также приказ о проведении аудита и отчет о его результатах ( п. 4 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ ). Чтобы провести экспертизу документов по обработке персональных данных, поделите их на четыре группы: документы по организации обработки персональных данных ; документы, которые определяют доступ сотрудников к персданным ; согласия на обработку и распространение персданных ; документы, которые определяют порядок хранения и уничтожения персданных.
1. Документы по организации обработки персональных данных. Есть обязательный минимум документов по обработке персональных данных, которые должны быть у всех работодателей ( ст. 86 ТК, п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ ). Полный перечень локальных актов, которые должны быть в каждой компании: Положение о работе с персональными данными Политика защиты и обработки персональных данных Положение о защите персональных данных Обязательство о неразглашении персональных данных Приказ о назначении ответственного Регламент допуска работников к обработке персональных данных Документы внутреннего контроля: протоколы, планы аудита, правила контроля
Первый документ, который нужно проверить, – это локальный акт, который регулирует вопросы обработки персональных данных сотрудников. П оложение о работе с персональными данными ( ст. 86 ТК ). Проверьте, чтобы в документе определили для каждой цели обработки: категории и перечень персональных данных; категории субъектов персональных данных; способы и сроки обработки и хранения данных; порядок уничтожения персональных данных, когда достигли цели их обработки или наступили иные законные основания.
Т ребования к содержанию положения о работе с персданными установили в пункте 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ. Какие сведения нужно включить в положение о работе с персональными данными Какой раздел включить Что указать «Общие положения» В этом разделе укажите, для чего принимаете Положение, какие вопросы оно регулирует и когда вступает в силу «Получение и обработка персональных данных» Укажите перечень необходимых документов и сведений, которые сотрудник должен представить о себе сам. Пропишите сроки, в которые он предоставляет информацию, если изменятся его персональные данные «Хранение персональных данных» Укажите способы и сроки хранения сведений о сотрудниках, а также меры защиты такой информации. Определите круг лиц, которые имеют доступ к персональным данным сотрудников, а также порядок такого доступа «Использование персональных данных» Опишите категории и перечень персональных данных, категории субъектов персональных данных, способы и сроки обработки и хранения данных и порядок уничтожения персональных данных «Передача и распространение персональных данных» Пропишите возможность и порядок, по которому нужно передавать данные по запросам госорганов, иных ведомств и организаций, а также физических лиц. Определите порядок и условия распространения персональных данных работников «Гарантии конфиденциальности персональных данных» В этом разделе гарантируйте сотрудникам сохранность их персональных данных, а также определите права сотрудников, если произойдет неправомерное разглашение сведений о них
Второй документ – это локальный акт, который устанавливает систему защиты персональных данных. Если в общем положении о работе с персональными данными прописали меры защиты, у работодателя должен быть отдельный локальный акт. П оложение о защите персональных данных. Проверьте, чтобы в документе перечислили меры, которые принимаете, чтобы обеспечить защиту персданных сотрудников и предотвратить их утечку. Например, установка антивирусных программ, назначение ответственных за защиту персданных в компании. Выбор мер защиты зависит от того, каким способом работодатель обрабатывает персданные – вручную или через компьютерные программы.
Проверьте, чтобы перед началом обработки персональных данных или трансграничной передачи работодатель подал об этом уведомления в Роскомнадзор ( ч. 3 ст. 12 Федерального закона от 14.07.2022 № 266-ФЗ, п. 3 Правил, утв. постановлением Правительства от 16.01.2023 № 24 ).
До начала обработки персональных данных сотрудников, работодатель обязан уведомить об этом территориальный орган Роскомнадзора. Работодатель обязан уведомлять о начале обработки персданных, даже если обрабатывает их в целях трудового законодательства. Если не отправить уведомление, организацию оштрафуют на сумму до 5000 руб. ( письмо Роскомнадзора от 19.08.2022 № 08-75348 ).
Организации, которые нарушают правила работы с персональными данными, с мая 2025 года будут платить больше штрафов. З а нарушение правил обработки персданных можно получить штраф до 500 млн руб., а за специальную категорию персданных, например сведений о национальности, религии, состоянии здоровья – наказание в виде лишения свободы на срок до пяти лет (федеральные законы от 30.11.2024 № 420-ФЗ, от 30.11.2024 № 421-ФЗ ).
Кроме этого, статью 13.11 КоАП дополнили новыми составами правонарушений. Р аботодателей теперь будут штрафовать за неуведомление Роскомнадзора о намерении осуществлять обработку персданных и о случаях утечки данных. Размер штрафов за первичную утечку персданных поставили в зависимость от объема утечки, ввели оборотные штрафы и выделили штрафы за разглашение специальных и биометрических данных.
Нарушение Штраф для граждан Штраф для должностных лиц Штраф для работодателей Статья КоАП Невыполнение и (или) несвоевременное уведомление уполномоченного органа 5–10 тыс. руб. 30–50 тыс. руб. 100–300 тыс. руб. ч. 10 ст. 13.11 Невыполнение и (или) несвоевременное уведомление уполномоченного органа об утечке данных 50–100 тыс. руб. 400–800 тыс. руб. 1–3 млн руб. ч. 11 ст. 13.11
Новая статья 272.1 УК Незаконный сбор, хранение или передача компьютерной информации с персональными данными Штраф до 300 тыс. руб. или в размере зарплаты за период до одного года либо принудительные работы или лишение свободы на срок до четырех лет ч. 1 ст. 272.1 Незаконный сбор, хранение или передача компьютерной информации с персональными данными несовершеннолетних или лиц специальных категорий или с биометрическими данными Штраф до 700 тыс. руб. или в размере зарплаты за период до двух лет с лишением права занимать определенные должности до двух лет либо принудительные работы или лишение свободы на срок до пяти лет ч. 2 ст. 272.1 Те же деяния по частям 1 и 2, которые совершили из корысти, с причинением крупного ущерба, по сговору группой лиц или с использованием служебного положения Штраф до 1 млн руб. или в размере зарплаты за период до трех лет с лишением права занимать определенные должности до трех лет, либо принудительные работы сроком до пяти лет и штраф до 1 млн руб., либо лишение свободы на срок до шести лет и штраф до 1 млн руб. ч. 3 ст. 272.1 УК Те же деяния по частям 1–3, которые сопряжены с трансграничной передачей Лишение свободы на срок до восьми лет и штраф до 2 млн руб. с лишением права занимать определенные должности до четырех лет ч. 4 ст. 272.1 УК Те же деяния по частям 1–4, если они повлекли тяжкие последствия либо их совершила группа лиц Лишение свободы на срок до 10 лет и штраф до 3 млн руб. с лишением права занимать определенные должности до пяти лет ч. 5 ст. 272.1 Создание или обеспечение информационных ресурсов для незаконного хранения или передачи компьютерной информации с персональными данными Штраф до 700 тыс. руб. или в размере зарплаты за период до двух лет с лишением права занимать определенные должности до двух лет, либо принудительные работы сроком до пяти лет и штраф до 700 тыс. руб., либо лишение свободы на срок до пяти лет и штраф до 700 тыс. руб. ч. 6 ст. 272.1
С какого числа действуют изменения. К уголовной ответственности начали привлекать с 11 декабря 2024 года. Новые штрафы по КоАП начнут применять с 30 мая 2025 года. Какие документы проверить и оформить. Проверьте, отправили ли в Роскомнадзор уведомление о намерении обрабатывать персданные сотрудников. Работодатель обязан делать это до начала обработки сведений о сотрудниках, даже если обрабатывает их в целях трудового законодательства. Форму уведомления, а также порядок ее заполнения утвердили приказом Роскомнадзора от 28.10.2022 № 180. Уведомление можно направить как на бумаге, так и в электронном виде через специальную форму на сайте Роскомнадзора. Ведомство в течение 30 дней с даты поступления уведомления вносит сведения о работодателе в реестр операторов.
