Журнал, справочная система и сервисы
№23
Декабрь

В свежем «Главбухе»

ФНС развеяла ваши сомнения об онлайн‑кассах

Подписка
Срочно заберите все!
№23
26 мая 2016 8 просмотров

У нас ожидается плановая выездная проверка Роскомнадзора в области обработки персональных данных. Какие документы нужно подготовить? И пожалуйста вышлите их образцы?

Порядок проведения проверки и перечень необходимых документов приведены в статье в обосновании.

Образцы документов по ПДн приведены по этой ссылке.

Обоснование

Из статьи журнала «Кадровое дело», № 8, август 2015

Персональные данные: что проверит Роскомнадзор

Алена ШЕВЧЕНКО, юрист, эксперт журнала «Кадровое дело»

В статье читайте:

  • Что относится к персональным данным
  • Какие документы следует привести в порядок перед проверкой Роскомнадзора
  • Какую ответственность несет работодатель за нарушение законодательства о персональных данных

Каждая организация обязана надлежащим образом хранить и обрабатывать персональные данные своих сотрудников. Однако многие работодатели пренебрегают требованиями закона, за что могут быть оштрафованы при проверке Роскомнадзора. Какие документы организация должна подготовить к такой проверке и какая ответственность грозит компании за нарушение режима работы с персональными данными, читайте в статье.

Какие сведения относятся к персональным данным

Персональные данные – это любая информация, которая прямо или косвенно относится к физическому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, далее –Закон № 152-ФЗ). Персональные данные делятся на три вида:

– общие;
– специальные;
– биометрические.

К общим персональным данным относят Ф. И.О., место жительства, паспортные данные, сведения об образовании, квалификации и стажировке, размере заработка, предыдущей трудовой деятельности и т. д. Такая информация содержится в паспортах, дипломах, военных билетах, в личных карточках работников, трудовых книжках, приказах по личному составу, трудовых договорах, справках о доходах и др.

Специальными данными считают сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и др. (ч. 1 ст. 10 Закона № 152-ФЗ). Эти данные могут содержаться в анкетах, заполняемых сотрудниками при приеме на работу, медицинских справках и т. д.

Важная статья: «Обработка персональных данных: боремся с типичными ошибками» (№ 5, 2012)

К биометрическим данным относят сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (ч. 1 ст. 11 Закона № 152-ФЗ). Например, это дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др1. Если по фотографии или видеозаписи можно идентифицировать человека, то они тоже относятся к биометрическим персональным данным. Исключение составляют фото и записи, сделанные на массовых и публичных мероприятиях (п. 1 ст. 152.1 ГК РФ).

По общему правилу, обработка персональных данных требует письменного согласия работника. Оно оформляется в виде отдельного документа. Однако закон предусматривает ситуации, когда получать такое согласие не обязательно. Это возможно, если работник сам сделал свои данные общедоступными (например, разместил в сети Интернет), когда это необходимо для защиты жизни и здоровья сотрудника и иных лиц, передачи сведений в ПФР, налоговую, ФСС России, военкомат, прокуратуру, суд и в других случаях2.

Если персональные сведения передают в банк для оформления зарплатных карт, то работодатель должен получить согласие сотрудника. Это не требуется при наличии одновременно двух условий: если локальный акт организации предусматривает выплату заработной платы на банковскую карту и работник ознакомлен под роспись с этим актом.

Если передача персональной информации нужна, чтобы предупредить угрозу жизни и здоровью работника, то его согласие не потребуется (абз. 2 ст. 88 ТК РФ).

Любые персональные данные работодатель вправе получать только от самого работника. Если такая информация требуется от третьих лиц, то на это нужно письменное согласие сотрудника. При этом работодатель должен сообщить ему о целях, предполагаемых источниках и способах получения персональных данных, последствиях отказа работника дать письменное согласие на их получение и т. д. (п. 3 ст. 86 ТК РФ). Исключение составляет общедоступная информация (ст. 8 Закона № 152-ФЗ). Ее можно взять из открытых источников: адресных книг, телефонных справочников и т. д.

Обратите внимание, что письменное согласие работника требуется не только для получения, но и для передачи его персональных данных третьим лицам. Оно обязательно в каждом случае, когда происходит такая передача.

Основные документы, которые проверит Роскомнадзор

Приходя в организацию, Роскомнадзор обязательно проверит (п. 5–5.3 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312, далее – Административный регламент):

– документы, в которых содержатся или могут содержаться персональные данные;
– информационные системы персональных данных;
– деятельность по обработке данных.

В первую очередь специалист Роскомнадзора проверит наличие уведомлений об обработке персональных данных и уведомлений о прекращении их обработки; письменных согласий сотрудников на обработку личных сведений; документов, подтверждающих уничтожение данных по достижении цели их обработки; локальных актов работодателя о работе с персональными данными (п. 67.1 Административного регламента).

Если проверка проводится по заявлению о нарушении законодательства или с целью контроля исполнения предписания, то специалист Роскомнадзора вправе запрашивать документы, которые необходимы для проверки сведений, изложенных в заявлении.

Уведомление об обработке персональных данных. Прежде чем приступить к обработке персональных данных, каждая организация должна уведомить об этом территориальный орган Роскомнадзора (ч. 1 ст. 22 Закона № 152-ФЗ). В его адрес необходимо направить специальное уведомление в бумажном или электронном виде3 (ч. 3 ст. 22 Закона № 152-ФЗ). Однако существуют случаи, когда его можно не направлять. Например, если обработке подвергаются только фамилия, имя и отчество сотрудника либо когда это необходимо для оформления разового пропуска на территорию организации и др. (ч. 2 ст. 22 Закона № 152-ФЗ).

Уведомление о прекращении обработки персональных данных. Если работодатель прекратил обрабатывать персональные данные, то в течение 10 рабочих дней он должен уведомить об этом орган Роскомнадзора (ч. 7 ст. 22 Закона № 152-ФЗ). Уведомление можно составить в произвольной форме.

Положение о персональных данных работников. Этот локальный акт должен быть в каждой организации (ст. 87 ТК РФ). В нем обязательно нужно указать перечень документов компании, которые содержат персональные данные, определить внутренний (для работников организации) и внешний (для представителей других компаний и государственных органов) порядок доступа к таким данным, а также требования к порядку их сбора, передачи, хранения и уничтожения. Проверьте, чтобы все сотрудники организации были ознакомлены с положением под роспись (ч. третья ст. 68п. 8 ст. 86 ТК РФ).

Письменное согласие работника на обработку персональных данных. Такое согласие должен дать каждый работник, который ознакомлен с положением о персональных данных (п. 1 ч. 1 ст. 6ч. 4 ст. 9 Закона № 152-ФЗ). Если сотрудник отказывается дать согласие на обработку своих данных, организация имеет право продолжать обрабатывать их без его разрешения для исполнения возложенных на нее обязанностей (передачи сведений в ПФР, ФСС России др.). Работодатель не имеет права наказать и тем более уволить работника за отказ от дачи такого согласия.

Обязательство о неразглашении персональных данных. От каждого сотрудника, который работает с персональными данными, нужно получить письменное обязательство об их неразглашении. Рекомендуем также указать в должностной инструкции, что работник имеет доступ к таким сведениям в связи с исполнением трудовых обязанностей. Дело в том, что увольнение сотрудника за разглашение персональных данных возможно, только если они стали ему известны в связи с исполнением должностных обязанностей и он давал обязательство не распространять такие сведения (п. 43 постановления Пленума Верховного Суда РФ от 17 марта 2004 г. № 2).

Совет эксперта

Виктория САПРАНОВА, руководитель службы по кадровому администрированию ООО «Ителла» (Москва)

Получите письменное согласие работников, если хотите установить систему видеонаблюдения в кабинетах

Скрытое слежение за работником является противоправным (ст. 2324 Конституции РФ). Поэтому если работодатель решил установить в кабинетах систему видеонаблюдения, то, прежде всего, нужно разработать и принять локальный акт, в котором будут определены цели установки видеокамер. В организации должны быть размещены таблички с надписью «Ведется видеонаблюдение». Кроме этого, каждого сотрудника необходимо уведомить об установке камер слежения лично под роспись (разъяснения Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»). Также в обязательном порядке с работников надо взять письменное согласие на видеозапись на рабочем месте (п. 8 ст. 86 ТК РФч. 1 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ).

Порядок проведения проверки Роскомнадзора

Проверки Роскомнадзора могут быть плановыми и внеплановыми, выездными и документарными (ст. 9–12 Федерального закона от 26 декабря 2008 г. № 294-ФЗ, далее –Закон № 294-ФЗ). Плановые проверки проводятся не чаще одного раза в три года (ч. 2 ст. 9 Закона № 294-ФЗ). Узнать о том, включена ли ваша организация в план проверок на 2015 год, можно на официальном сайте Роскомнадзора (rkn.gov.ru/plan-and-reports). О проведении плановой проверки Роскомнадзор должен любым доступным способом уведомить компанию не позднее чем за три рабочих дня (ч. 12 ст. 9 Закона № 294-ФЗ).

Плановая проверка проводится, если со дня государственной регистрации работодателя или со дня проведения последней плановой проверки прошло не менее трех лет (п. 33 Административного регламента). Специалист Роскомнадзора, который пришел спроверкой, обязан предъявить работодателю заверенную копию приказа и свое служебное удостоверение. Копию приказа вручают руководителю организации под роспись (ч. 3 ст. 14 Закона № 294-ФЗ).

Внеплановая проверка проводится только при наличии особых оснований (схема ниже). О ней Роскомнадзор уведомляет организацию не менее чем за 24 часа (ч. 16 ст. 10 Закона № 294-ФЗ). Исключение составляют проверки по заявлению о причинении вреда жизни или здоровью граждан (п. 41 Административного регламента). Внеплановая выезднаяпроверка согласуется с органами прокуратуры (п. 55 Административного регламента).

По общему правилу, срок любой проверки Роскомнадзора не может превышать 20 рабочих дней. Для субъектов малого предпринимательства срок выездных плановыхпроверок не может превышать 50 часов в год для малого предприятия и 15 часов в год – для микропредприятия. При необходимости проведения сложных исследований или специальных экспертиз эти сроки могут быть продлены, но не более чем на 20 рабочих дней, а для малых и микропредприятий – не более чем на 15 часов (ст. 13 Закона № 294-ФЗ).

Роскомнадзор проводитпроверку только в присутствии руководителя организации или иного уполномоченного представителя, за исключением случаев проверки в связи с причинением вреда жизни или здоровью граждан (п. 64 Административного регламента).

Результаты проверки Роскомнадзора оформляют в виде акта. Составляют его в двух экземплярах, один из которых с копиями приложений вручается работодателю под роспись (ч. 4 ст. 16 Закона № 294-ФЗ). Если были выявлены нарушения, то дополнительно составляют предписание об их устранении и протокол административного правонарушения (п. 76778588 Административного регламента). Если работодатель не согласен с результатами проверки, он имеет право обжаловать их в административном или судебном порядке4.

Что грозит работодателю за нарушение законодательства о персональных данных

За нарушение законодательства о персональных данных организация и ее должностные лица несут административную и гражданскую ответственность (ст. 90 ТК РФ). Уголовная ответственность может наступить, например, за незаконное собирание или распространение сведений о частной жизни сотрудника без его согласия. В этом случае виновные лица могут понести наказание в виде штрафа до 200 000 рублей, быть привлечены к обязательным работам на срок до 360 часов, к исправительным работам на срок до одного года, арестованы на срок до четырех месяцев либо подвергнуты лишению свободы на срок до двух лет (ч. 1 ст. 137 УК РФ).

Работников, виновных в нарушении порядка хранения, обработки, защиты и уничтожения персональных данных, можно дополнительно привлечь к дисциплинарной и материальной ответственности (таблица ниже).

Наиболее распространенные виды ответственности за несоблюдение законодательства о персональных данных

Ответственность Кто отвечает Нарушение Вид наказания Норма
Административная Организация Нарушение порядка сбора, хранения, использования или распространения персональных данных Штраф от 5000 до
10 000 руб.
Статья 13.11КоАП РФ
Должностные лица организации Штраф от 500 до
1000 руб.
Работники Штраф от 300 до 500 руб.
Должностные лица организации Разглашение персональных данных Штраф от 4000 до
5000 руб.
Статья 13.14КоАП РФ
Работники, которые осуществляют обработку персональных данных Штраф от 500 до
1000 руб.
  Организация Отсутствие положения о персональных данных, отсутствие подтверждения об ознакомлении и ним сотрудников и иное нарушение трудового законодательства в области персональных данных Штраф от 30 000 до
50 000 руб.
Часть 1 ст. 5.27 КоАП РФ
Должностные лица организации Предупреждение или штраф от 1000 до
5000 руб.
Индивидуальные предприниматели Штраф от 1000 до
5000 руб.
Организация Нарушение законодательства о персональных данных лицом, которое ранее подвергалось наказанию за аналогичное правонарушение Штраф от 50 000 до
70 000 руб.
Часть 4 ст. 5.27 КоАП РФ
Должностные лица организации Штраф от 10 000 до
20 000 руб. или дисквалификация на срок от одного года до трех лет
Индивидуальные предприниматели Штраф от 10 000 до
20 000 руб.
Работники, которые осуществляют обработку персональных данных  
Гражданская Организация Нарушение правил обработки персональных данных, в результате чего работнику был причинен моральный вред Возмещение морального вреда сотруднику Статья 151 ГК РФ, ч. 2 ст. 24 Закона № 152-ФЗ
Работники
Дисциплинарная Работники Нарушение порядка обработки персональных данных Дисциплинарное взыскание в виде замечания, выговора, увольнения Статьи90192ТК РФ

Нормативная база

Документ Поможет вам
Глава 14 ТК РФ Понять, какие требования предъявляются к работе с персональными данными
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Узнать, какие сведения относятся к персональным данным

Важные выводы

1. Персональные данные можно получать только от самого работника. Если такая информация запрашивается от сторонних лиц или передается третьим лицам, то необходимо письменное согласие сотрудника.
2. Проверяющий из Роскомнадзора потребует предъявить положение о персональных данных, письменные согласия на их обработку, обязательства о неразглашении, а также уведомления об обработке персональных данных и о прекращении их обработки.
3. За нарушение законодательства о персональных данных работодатель может понести административную, уголовную и гражданскую ответственность.

1 Разъяснения Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки».
2 Часть 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ, разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».
3 Форма уведомления утверждена приказом Минкомсвязи России от 21 декабря 2011 г. № 346.
4 Пункт 4 ст. 21 Закона № 294-ФЗ, подп. «г» п. 10 Административного регламента.

Персональные консультации по учету и налогам

Лучшие ответы специалистов по налогообложению, бухгалтерскому учету и праву. Ответы специалистов по налогообложению, бухгалтерскому учету и праву.





Совет недели

Если акт от поставщика датирован 2015 годом, но получили вы его только сейчас, расходы можно учесть в текущем периоде. Ведь из-за ошибки налог на прибыль в 2015 году переплатили (п. 1 ст. 54 НК РФ).
  • Налоговый кодекс
  • Гражданский кодекс
  • Трудовой кодекс

Новые документы

Все изменения в законодательстве для бухгалтера


Директор заваливает вас дополнительной работой?

  Результаты

Система Главбух

Профессиональная справочная система для бухгалтеров

Получить демодоступ

Программа Главбух: Зарплата и кадры

Сервис по расчету и оформлению выплат работникам

Попробовать бесплатно


Калькуляторы и справочники


Пока вы были в отпуске

Самые важные события, материалы и изменения в законе


Подписка на рассылки



Наши партнеры

  • Семинар для бухгалтера
  • Практическое налоговое планирование
  • Зарплата
  • Учет в строительстве
  • Юрист компании
  • Кадровое дело
  • Учет.Налоги.Право
  • Документы и комментарии
  • Учет в сельском хозяйстве
  • Коммерческий директор
  • Упрощенка