Персональные данные: как не попасть на штрафы работодателю

30.12.2020, Федеральным законом № 519-ФЗ «О внесении изменений в Федеральный закон 152-ФЗ», приняты поправки в 152-ФЗ  в части распространения  персональных  данных работников. Закон вступает в силу  1 марта 2021 года, за исключением нормы о возможности предоставления работником согласия на обработку персональных данных через информационную систему Роскомнадзора, данная норма вступает в силу с 1 июля 2021 года.

Важно! 

  1. Понятие «общедоступные персональные данные», то есть те данные, которые обычно содержатся в профилях в социальных сетях, на сайтах объявлений и так далее. Обычно это имя, фамилия, город проживания, телефон, электронная почта, личные фотографии – больше нет. 
  2. Любые данные работодатель может публиковать только при наличии на это прямого согласия работника.
  3. Что бы передать персональные данные третьим лицам (например: в банк, в страховую компанию), каждый раз необходимо получать от работника отдельное согласие.
  4. Согласие работник может подать не только лично, но и через информационную систему Роскомнадзора.
  5. Работник имеет право установить запреты на распространение его персональных данных. Запрет не действует, если обязанность передавать информацию устанавливает закон, ч. 11, 15 ст. 10.1 Федерального закона № 152-ФЗ «О персональных данных»  (например, без согласия работника работодатель может передавать данные работника в ПФР, ИФНС, ФСС).

Чтобы не попасть на штрафы за незаконную обработку персональных данных, работодателям необходимо:

1.  Внести изменения в Положение об обработке и защите персональных данных, в части распространения персональных данных работников, а именно:

  • исключить из Положения понятие «общедоступные персональные данные»;
  • включить пункт, о том, что  размещать информацию о работнике (например, на корпоративном сайте, в любой соцсети работодателя) компания  может только с прямого согласия работника. 

2. Разработать согласие на обработку персональных данных - требования к содержанию согласия на обработку персональных данных, разрешенных работником для распространения, определяет Роскомнадзор (ст. 9 ч. 9 ФЗ № 152-ФЗ в ред. от 30.12.2020), в настоящее время приказ Роскомнадзора «Об установлении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»  не принят, находится на этапе обсуждения.  

Согласно проекту приказа согласие должно включать следующую информацию:

  1. Фамилия, имя, отчество (при наличии) работника на русском языке.
  2. Контактная информация (номер телефона, адрес электронной почты или почтовый адрес работника).
  3. Наименование или фамилия, имя, отчество (при наличии) и адрес Работодателя, получающего согласие работника.
  4. Цель (цели) обработки ПД. 
  5. Категории и перечень ПД, на обработку которых работник дает согласие. Заполнение соответствующего поля осуществляется применительно к конкретному работнику по следующему образцу:
  • общие ПД (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории ПД (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
  • биометрические ПД (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
  1. Категории и перечень ПД, для обработки которых работник устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов. Указанное поле заполняется по желанию работника без ограничений со стороны работодателя, осуществляющего обработку ПД. Дополнительно в согласии на обработку ПД могут быть указаны условия, при которых полученные ПД данные могут передаваться работодателем, осуществляющим обработку ПД, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определённых работников.
  2. Срок, в течение которого действует согласие. В указанном поле согласия должен быть отражен конкретный срок его действия (определённый период времени или дата окончания срока действия).
  3. Сведения об информационных ресурсах работодателя, с помощью которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПД работника. Под «информационным ресурсом оператора» понимается веб-сайт или каталог на сервере, где работодатель хранит ПД работника и откуда доступ к ПД может быть предоставлен неограниченному кругу лиц.

3. Ознакомить работников под подпись с новой редакцией Положения об обработке и  защите персональных данных.

4. Передавать третьим лицам или размещать на информационных ресурсах персональные данные работников, только при наличии их согласия. Согласие необходимо оформлять каждый раз, когда работодатель передает персональные данные. В согласии в обязательном порядке должен быть прописан срок действия.

5. На этапе подбора персонала, работодателю необходимо получать  от соискателей согласия на обработку персональных данных. 

Обратите внимание, что  с 24.02.2021, внесены поправки в ст. 13.11 КоАП «Нарушение законодательства РФ в области персональных данных» - ФЗ № 19-ФЗ  от 24.02.2021 «О внесении изменений в КоАП», в соответствии с поправками, штрафы  за незаконную обработку персональных данных увеличены в два раза и составляют:

  • от 2 000 руб. до 6 000 руб. для граждан;
  • от 10 000 руб. до 20 000 руб. для должностных лиц;
  • от 60 000 руб. до 100 000 руб. для юридических лиц.

Больше новостей вы найдете на нашей страничке в телеграмм, подписывайтесь!

Последние новости: