Если Ваша организация будет обрабатывать персональные данные третьих лиц (не сотрудников), то необходимо подать уведомление в Роскомнадзор. В противном случае возможно привлечение к административной ответственности, а в некоторых случаях – и к уголовной.
Обоснование данной позиции приведено ниже в материалах «Системы Главбух» vip-версия
Статья: Обработка персональных данных: боремся с типичными ошибками
Горячие вопросы:
Нужно ли уведомлять в Роскомнадзор об обработке персональных данных, если сведения о работниках содержат только их Ф.И.О.?
Что будет, если в уведомлении дата обработки персональных данных указана неверно?
Всегда ли нужно согласие работника на обработку информации о нем?
Какие компании Роскомнадзор проверит в первую очередь?
Какие санкции ждут нарушителей требований о защите персональных данных?
Нужно ли уведомлять Роскомнадзор об обработке персональных данных, содержащих только Ф.И.О. работников?
Наша компания часто обрабатывает персональные данные работников. Но они содержат только фамилии, имена и отчества сотрудников. Должны ли мы в этом случае уведомлять об этом уполномоченный орган?
Нет, вам не нужно этого делать. По общему правилу до обработки персональных данных действительно нужно направить в Роскомнадзор соответствующее уведомление (см. образец). Но часть 2 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» содержит ряд случаев, освобождающих от этой обязанности (см. схему). К ним, в том числе, относится ситуация, когда, как и в вашем случае, персональные данные содержат только фамилии, имена и отчества работников.
Совет: вы можете оформить уведомление на бумажном носителе или в форме электронного документа на порталеwww.pd.rsoc.ru.*
Будет ли ошибкой, если дата, определяющая начало обработки персональных данных, указана неверно?
Мы составили уведомление об обработке персональных данных, но допустили описку в дате ее начала. Подскажите, считается ли это ошибкой, ведь в остальном уведомление заполнено правильно?
Да, считается. Причем эта ошибка является одной из самых распространенных. Наряду с ней можно также выделить и такие:
неполные или недостоверные сведения в уведомлении (например, работодатель заполнил не все пункты уведомления);
неверно определена категория персональных данных (например, работодатель перепутал общедоступные персональные данные со сведениями, касающимися политических взглядов работника);
неточности в перечне действий с персональными данными или в способе их обработки (например, работодатель указал только автоматизированный способ обработки, забыв про документы в бумажном виде, которые относятся к неавтоматизированной обработке).
Действующее законодательство определяет, какие сведения должно содержать уведомление (ч. 3 ст. 22 Закона о персональных данных) (см. таблицу). Помимо прочего в нем обязательно нужно указывать дату, с которой начнется обработка персональных данных. Поскольку в вашем уведомлении есть ошибка, вам обязательно нужно направить в Роскомнадзор уточненные сведения.
Всегда ли нужно получать от работника разрешение на обработку его персональных данных?
Обрабатывая персональные данные работников, мы не всегда получаем у них на это разрешение. Считается ли это нарушением?
Все зависит от того, в каких целях вы обрабатываете персональные данные своих работников. Если вы делаете это во исполнение заключенных с ними трудовых договоров, то получать согласие сотрудников не нужно (п. 5 ч. 1 ст. 6 Закона о персональных данных). Например, работодателю не нужно получать от работника согласие, если он передает сведения о нем в налоговые органы, Пенсионный фонд РФ и ФСС России. Но не забывайте, что это не освобождает от необходимости исполнять требования, которые содержит глава 14 Трудового кодекса (например, работодатель должен предоставлять сотрудникам полную информацию об их персональных данных и их обработке, разрешать доступ к таким сведениям только специально уполномоченным лицам и др.).
В иных случаях вам понадобится согласие работников. Это необходимо, например, если работодатель оформляет сотрудникам зарплатные карты и передает в банк необходимые сведения.
Как часто «ждать в гости» проверяющих из Роскомнадзора?
Руководитель нашей компании дал распоряжение подготовиться к возможной проверке Роскомнадзора. Мы начали приводить в порядок все необходимые документы. Но насколько велик риск такой проверки, если в последний раз Роскомнадзор был у нас два года назад?
Если у вас в компании уже была плановая проверка, то новую могут провести только по истечении трех лет с этого момента (ч. 2 ст. 9 Закона № 294-ФЗ). Но в каких же случаях Роскомнадзор может нанести вам визит? Если речь идет о ежегодной плановойпроверке, то, помимо указанного условия, есть еще два:
работодатель обрабатывает персональные данные;
истекло три года со дня государственной регистрации работодателя-оператора.
В этих случаях компанию включат в ежегодный План проверок Роскомнадзора. Но есть еще и внеплановые проверки. Их проводят, если (ч. 2 ст. 10 Закон № 294-ФЗ):
истек срок исполнения выданного предписания;
в Роскомнадзор поступили жалобы, что жизни и здоровью граждан причинен вред (или есть угроза такого вреда);
есть поручение Президента РФ или Правительства РФ;
действиями (бездействием) работодателя-оператора при обработке персональных данных были нарушены права сотрудников;
работодатель-оператор нарушил требования законодательства о персональных данных.
Если указанные выше условия к вашей компании не относятся, то в ближайший год вы можете не ждать проверяющих. А вот тем работодателям, которые регулярно обрабатывают персональные данные своих сотрудников или, например, не спешат исполнять выданные им предписания, нужно будет серьезно подготовиться. Ведь только за прошлый год Роскомнадзор провел более 3200 проверок, по результатам которых выдал нарушителям более 4400 предписаний.
Какая ответственность установлена за нарушения, связанные с персональными данными?
Проверяющий выявил у нас несколько нарушений, связанных с обработкой персональных данных, и пригрозил ответственностью, если мы их не устраним. Скажите, какие санкции установлены в этом случае действующим законодательством?
За нарушение требований Закона о персональных данных предусмотрена как административная, так и уголовная ответственность. Постарайтесь в срок исправить все замечания уполномоченного органа. Это поможет вам избежать неблагоприятных последствий. Более детально нарушения и санкции за них мы рассмотрели в таблице.*
Ю. Забудько
заместитель начальника управления – начальник отдела правового и методического обеспечения Управления по защите прав субъектов персональных данных Роскомнадзора (Москва)
Журнал «Кадровое дело», №5, май 2012
С уважением,
Ваш персональный эксперт Пушечкина Ольга.
_____________________________
Ответ на Ваш вопрос дан в соответствии с правилами работы «Горячей линии» «Системы Главбух», которые Вы можете найти по адресу:http://vip.1gl.ru/#/hotline/rules/?step=2
- Формы по теме:
- Расписка в получении сотрудником имущества организации
- о присоединении к Системе информационного обмена электронными документами
- Сведения об аккредитации филиалов и представительств иностранного юридического лица
- Внесение записей о поощрении в раздел «Сведения о награждении»
- расходов на формирование резерва по гарантийному ремонту и обслуживанию
- на социальную защиту инвалидов
- Дополнительное соглашение к трудовому договору. Оформляется при выдаче ежемесячной премии в натуральной форме
- Заявление сотрудника на выдачу зарплаты в натуральной форме. Оформляется при выдаче ежемесячной премии в натуральной форме
- Внутренняя опись личного дела перед сдачей дел в архив
- Договор транспортной экспедиции. Экспедитор действует от своего имени