3 фев 2015, 12:08

Международный день персональных данных и как все обстоит с ними в HR службе. Готовы ли вы к проверке Роскомнадзора?

28 января - международный день персональных данных. И, видимо, к этому празднику Государственная Дума рассматривает вопрос о повышении размера административных штрафов за нарушение законодательства по персональным данным с 30 тысяч рублей (минимально) до 300 тысяч рублей, а то и до 1 миллиона по отдельным законопроектам. Есть над чем задуматься, тем более, что с персональными данными у российских компаний в отделе управления персоналом дела не очень-то.

Поэтому надо подготовиться к проверке. Минимальный набор (на что надо обратить внимание, и что проверяет инспектор Роскомнадзора при проведении проверок напрямую указано в Приказе Минкомсвязи России от 14.11.2011 N 312 (ред. от 08.10.2014) "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных":

1. Уведомление об обработке персональных данных – ваша организация должна была подать такое уведомление в Роскомнадзор.

2. Документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган – если на вас пожаловались работники. На что они могут пожаловаться? Типичные случаи: на незаконные требования о предоставлении каких-либо документов. Например, сведения о браке при приеме на работу, на публичное поздравление с днем рожденьем (когда человек вовсе не жаждал этого) и т.д.

3. Документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных – это если у вас ранее были инспекционные проверки Роскомнадзора, и вам давали предписание о том, что при последующих проверках обязательно будут запрашивать подтверждения того, что вы по последней проверке все выполнили.

4. Письменные согласия субъекта персональных данных на обработку его персональных данных – должны быть на всех работников и родственников работников, чьи данные вы зачем-то собираете. Согласие должно быть разработано с учетом требований 152 Федерального закона. Если согласие на половину страницы или на одну страницу , значит у вас какая –то проблема с согласием на обработку персональных данных.

5. Документы, подтверждающие соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных – если вы их, конечно, обрабатываете.

6. Документы, подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки – это акты, которые должны у вас быть о том, что данные были уничтожены. Срок обработки должен быть указан в согласии работника на обработку персональных данных, и именно по истечении этого срока документы, которые содержат данные работника, должны быть уничтожены. Поэтому указание таких сроков как «на период действия трудового договора» является крайне стандартной ошибкой многих специалистов по управлению персоналом. Далее они же сами не могут справиться с этой задачей, так как в установленные 30-дневные сроки после увольнения работника ничего не уничтожают.

7. Локальные акты оператора, регламентирующие порядок и условия обработки персональных данных – у работодателя должен быть локальный акт, в котором описана политика компании по работе с персональными данными, а именно: какие сведения собираются и зачем, какие должностные лица допущены к работе с персональными данными, как это связано с их функционалом, как защищаются данные работников в компании, как хранятся и т.д. С этим локальным актов работники должны быть ознакомлены под роспись.

Также при проверке будет проводиться исследование (обследование) информационной системы персональных данных в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней. Но это уже отдельная история.

Вопросы, на которые должны быть готовы ответить сотрудники HR-отдела:

1. Кто имеет допуск в ваш кабинет? Например, как работники подают вам заявление?
2. Как осуществляется уборка вашего кабинета? В вашем присутствии или нет?
3. Зачем при приеме на работу вы собираете с работников сведения об их семейном положении и детях? Разве это требование законодательно закреплено?
4. Есть ли у вас согласия на обработку персональных данных соискателей?
5. Есть ли у вас согласие на передачу данных работника в банк (например, при выплате заработной платы)?
6. Есть ли у вас согласие на обработку персональных данных родственников?
7. Как вы маркируете документы, содержащие персональные данные?
8. Как осуществляется выдача расчетных листов работникам? Кто их выдает? Допущен ли он к персональным данным работников? Покажите список.
9. Как давно вы проводили проверку на соответствие требований законодательства по защите персональных данных?
10.И т.д.

И на все эти вопросы ответ должен быть дан в соответствии с требованием законодательства по защите персональных данных и требованиями, закрепленными в локальных актах самой организации.

Самое главное, чтобы при проверке инспектор Роскомнадзора не задавал вопросов о том, знаете ли вы что-то, что он обнаружил при проверке, так как это попадает под уголовную ответственность или он может потребовать уволить вас из организации по ст. 81, часть 1, пункт Б, подпункт В. Это будет, наверное, плохим знаком. Надеюсь, в конце проверки он скажет: «Первый раз вижу работодателя, у которого так отлично построена работа с персональными данными работников».

Удачи вам при прохождении проверки.

0 3
2 502
35 комментариев
3 фев 2015, 12:19
New
Чета вы на неделю опоздали..
3 фев 2015, 13:32
New
праздник был 28,а проверка круглый год)
3 фев 2015, 12:35
New
Интересно, персональные сведения о членах семьи работника, которые указываются в разделе Личной карточки работника Т-2 (степень родства, ФИО, год рождения) являются персональными данными работника или персональными данными родственников работника? Работник письменно дает мне разрешение на хранение и обработку его персональных данных. Что лучше не заполнять раздел Т-2 о членах семьи или заполнять, но не иметь письменного разрешения на обработку персональных данных родственников?
3 фев 2015, 13:33
New
ну да,а трудовая инспекция например делает замечание,если эта глава про родственников в карточке не заполнена...
3 фев 2015, 14:32
New
Да ладно!

Работник не обязан Вам объявлять о наличии родственников каких бы то ни было - Вы за это несете какую-либо ответственность?
3 фев 2015, 14:44
New
я вам говорю о реальном факте,трудовая инспекция вынесла замечание за не заполнение этой графы.
типа все должно быть заполнено.
наплодили кучу ведомств проверяющих,а у них между собой дебет с кредетом не сходится...
Автор поста
11 фев 2015, 12:18
New
Добрый день.
Данные родственников принадлежат самим родственникам. Поэтому и согласие требуют предоставить именно от их имени.
Исключение составляют только несовершеннолетние дети, в том случае когда работник является их законным представителем (мамой, папой).
А по карточке Т-2 варианта два: первое собирать сведения со всех, чьи данные вы хотите обрабатывать, но это еще надо объяснить зачем (с какой целью) или не указывать лишних сведений (с точки зрения закона) в этом документе.
11 фев 2015, 12:52
New
Благодарю. Как Вы думаете, в тех карточках Т-2, которые уже заполнены информацией о членах семьи и без наличия письменных разрешений от них об обработке их персданных, что делать? Оставить, все как есть или распечатать новые?
Автор поста
15 фев 2015, 13:28
New
Для начала надо понимать, что закон обратной силы не имеет и требования по сбору письменных согласий законодательно вступили в силу с 27 января 2007 года. Поэтому если карточки Т-2 заполнялись до этой даты - делать ничего не надо.
Если же карточки оформлялись уже после начала 2007 года, то либо собрать письменные согласия с указанных родственников, либо переписать карточки - решайте сами исходя просто из физической реальности первого и второго варианта.
16 фев 2015, 09:02
New
Благодарю за мнение.
3 фев 2015, 12:37
New
Интересно, а заявление работника с просьбой перечислять его заработную плату в банк можно считать письменным разрешением на передачу его персональных данных в банк? Или должна быть отдельная бумажка с разрешением в названии?
Автор поста
11 фев 2015, 12:25
New
Да, по требованиям ст. 88 Трудового кодекса передача третьим лицам возможна с согласия работника. Другой вопрос, что если работник сам оформляет карточку, тогда такое согласие с него должен взять банк при необходимости (так как необходимость определяется насколько обработка осуществляется только того, что предусмотрено законом или собираются дополнительные сведения).
11 фев 2015, 12:54
New
У нас работники сами оформляют заявку в банк, но вот письменное разрешение (отдельное) на обработку их персданных банк не берет. Надо изучить бланк заявления на открытие карточного счета, может мелким шрифтом интересующая нас строчка размещена.
3 фев 2015, 12:43
New
А кто-нибудь не разрешает убираться в его кабинете в его отсутствие? Или уборщицы включены в список сотрудников, которым дают согласие на обработку и хранение своих персональных данных все работники?
Такое впечатление, что правила придумывают такие, чтобы однозначно можно было пополнять казну штрафами... Гондурас?
Автор поста
11 фев 2015, 12:29
New
Про уборку - это смешная история, слышала такой вопрос при ряде проверок Роскомнадзора. Всегда всех ставит в тупик. Суть простая: если документы, в которых содержаться персональные данные хранятся в закрытом виде - запираемые шкафы, то уборка может осуществляться без присутствия тех кто несет ответственность за сохранность данных, если же шкафы не закрываемые, документы на столах, в незапираемых тумбочках, то должна быть обеспечена "адекватная защита сохранности персональных данных" - например, присутствие ответственных лиц, видеонаблюдение и т.д.
11 фев 2015, 12:54
New
Понятно. Спасибо за пояснения.
3 фев 2015, 15:12
New
Просветите, пжл., что имела в виду г-жа Митрофанова под этими словами "Если согласие на половину страницы или на одну страницу – значит у вас какая –то проблема с согласием на обработку персональных данных"? Согласно закону №152 документ, дающий право на обработку персональных данных должен содержать кучу информации, которая никак не может уместиться на странице машинописного текста? Просто сейчас читать нет времени...
Автор поста
11 фев 2015, 12:33
New
Просто итоги проверок. Что создает "объем согласия"? Перечень персональных данных (не достаточно общей фразы - нужен именно перечень всего что работник дает) и перечень действий который будет осуществлять работодатель (опять же недостаточно общей фразы - типа "для целей приема, обучения, и т.д." нужны именно действия. При этом, надо понимать, что если данные и действия определяются законодательными требованиями - на них согласие не нужно. Здесь речь должна идти о таких вещах, которые закон не устанавливает как обязанность, например: доска почета, поздравления с днем рожденьем, сбор сведений о детях, супруге, ИНН и т.д.
Выписка из 152 - ФЗ:
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
11 фев 2015, 13:00
New
Теперь понятна Ваша фраза. Вы имели в виду, что если все, требуемые законом сведения включить в письменное разрешение на обработку (передачу) персданных, то объем документа будет больше страницы. Если объем меньше, то это повод еще раз проверить, что Вы пропустили. Я все равно стараюсь всю информацию разместить на одной странице, т.к. с таким документом работать легче. и Не надо расписываться на нескольких страницах или сшивать многостраничный документ.
Автор поста
15 фев 2015, 13:33
New
пробовала сама, но меньше 2-3 страниц не получается. Компания-клиент, которая проходила проверку 3 раза имеет письменное согласие на 9 страницах:-)
16 фев 2015, 09:04
New
Что же такого там можно писать? Куда, для чего, что именно и согласен на передачу. Все. Страница. Может, примерный текст где можно посмотреть?
16 фев 2015, 09:20
New
Если хотите, я Вам наш вариант могу сбросить, мелким шрифтом там полторы страницы, можно сделать покрупнее! Х)
16 фев 2015, 12:53
New
Буду признательна.
3 фев 2015, 21:33
New
Валентина, если ваша статья обращена к работодателям, то она в корне не верна. Ни уведомлять роскомнадзор, ни брать у работников согласие на обработку их персональных данных в рамках трудового законодательства не нужно...
Думаю вам нужно снять ее с публикации во избежание ненужных разговоров.
Автор поста
11 фев 2015, 12:34
New
Уважаемый г-н Челентано, с Вашего глубочайшего позволения я оставлю эту статью, так как за каждое слово в ней готова ответить со ссылками на нормативные правовые акты. Спасибо за понимание.
11 фев 2015, 13:41
New
Ну что ж...Начнем Валентина от печки...Вы не против, если не все сразу, а по порядку?

"1. Уведомление об обработке персональных данных – ваша организация должна была подать такое уведомление в Роскомнадзор".

Чем это регламентируется, при учете того, что вы в предложении не сделали исключений, а адресовали его всем организациям...?
Автор поста
15 фев 2015, 13:50
New
Первое: результатами инспекционных проверок и требованиями административного регламента Роскомнадзора.
Второе: согласием с аргументами инспекционных органов. Когда я с ними не согласна, пишу на чем их можно ловить и спорить. Но тут у меня нет аргументов против их логики.
поэтому сначала привожу выписку из 152 -ФЗ, потом их аргументы с которыми я согласна.

Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 21.07.2014)
"О персональных данных"
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
(п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Комментарий: на практике бесполезно заставлять наших работодателей собирать с соискателя (и работника) только то, что предусмотрено трудовым законодательством, в частности ст. 65 Трудового кодекса. Обязательно начнут требовать сведения о семейном положении, детях, прописке, ИНН, образование (со всех подряд) и т.д. Сбор этих сведений трудовым законодательством не предусмотрен, а значит попадает под ситуации обязанности уведомления об обработке этих сведений.
Я уже молу о том, что когда работодатель даже запрашивает эти сведения он должен по этому закону работнику объяснить ЦЕЛЬ их обработки, что тоже практически никто не делает.
В большинстве своем кадровые специалисты живут по принципу "как привыкли так и делаем". Вот и все. Поэтому проверки Роскомнадзора сильно удивляют своими вопросами кадровые службы.

Встречный вопрос:
А я правильно поняла г-н Челентано, что первая фраза Вашего сообщения, говорит о том, что сейчас я буду каждое слово своего поста обосновывать? А может все-таки для ускорения процесса прежде чем спрашивать где написано, вы сможете ознакомиться с требованиями 152 -ФЗ "О персональных данных" и Трудовым кодексом хотя бы ст. 86,88? Мне не жалко, конечно, все обосновать, но хочется чтобы эти вопросы мне задавали те, кому это реально надо для работы. Жалко тратить время на удовлетворение чьего-то самоутверждения "сейчас мы заловим на чем-нибудь Митрофанову".
16 фев 2015, 20:17
New
Сначала отвечу на вопрос.
Мое право задать любой корректный вопрос, не переходя на личность, ваше право на него не отвечать. Точно такого же отношения я ожидаю от того, с кем я дискутирую. Поэтому впредь Валентина воздержитесь от советов изучить какой то закон, фраз про самоутверждение и проч. Не буду останавливаться подробно на своей биографии (я не рекламирую на этой электронной площадке ни себя, ни свой продукт, ни что либо еще), скажу лишь, что являюсь руководителем крупного подразделения (500 человек) в очень крупной компании, поэтому трудовое законодательство и самое главное его практику применения я знаю в совершенстве, просто потому что жизнь заставляет. У меня нет желания вас "залавливать" (интересное слово), подлавливать и строить какие то козни. Но если я вижу статью, которая мне кажется не совсем компетентной (а причины могут быть самые разные и не обязательно написаны непрофессионалами...это может быть банальная спешка, невнимательность, заблуждение и т.п.), то я обязательно это отмечу. Сделать это мне позволяет и формат сайта и рейтинг, заработанный здесь, в том числе и в рамках рассматриваемой темы (большинство читателей согласны с моим мнением, а не с вашим).
********
Что касается вашей аргументации, то она простите, детсадовская. Сами приводите выдержку из закона, а затем сами же опровергаете данные нормы, какими то выдуманными аргументами и
комментариями, то ли сказанные кем то из работников роскомнадзора где то в каких то кулуарах (официальные разъяснения и ответы на
вопросы говорят о другом), то ли сами придумали где то "на коленке". Нет ссылок ни на официальное мнение этого ведомства, ни роструда, ни на практику применения во время поведения проверок, ни на
судебную практику. Тысячи фирм не запрашивают ИНН, не ведут карточки Т-2, ни собирают анкеты с кандидатов, ни участвуют в тендерах, у них не организован пропускной режим и они не передают данные на своих сотрудников сотовым операторам... Они в своей
повседневной деятельности работают только в рамках трудового законодательства, но при этом вы их всех призываете писать письма в абсолютно не нужное им ведомство и брать с работников ненужные согласия. Всех скопом.
4 фев 2015, 12:42
New
Не сочтите за "граммар наци", но серьёзно читать статью от про, перегруженную несовпадением "падежов" и "днёв рожденьев" как-то в принципе порядком тяжко. х_х
Про абсурдность законов, в том числе и некоторых положений конкретно этого, говорилось уже много. Лучше напишите, как со всем этим работать одновременно в рамках закона и рамках логики.
Автор поста
11 фев 2015, 12:46
New
Вот тут согласна полностью. С русским языком у меня реально проблема. понимаю, что для консультанта это непростительная вещь, но руки не доходят нанять себе корректора. Просто всегда жалко времени которое будет уходить на проверку текстов. Я пишу посты, как правило, в дороге, на всем что есть под рукой: айпадах, айфонах и т.д. И когда пишешь пост сразу хочется им поделиться.
Понимаю что скорость в данном случае идет в ущерб грамотности. Но кто не без греха пусть кинет в меня камнем.
Могу только посоветовать не читать мои тексты, так как в ближайшее время все-таки я выбираю скорость. Буду стараться повышать свою грамотность. Извините, если причинила Вам какой-то моральный ущерб.
11 фев 2015, 14:26
New
Никакого ущерба Вы мне, разумеется, не причинили, но позвольте выразить мнение - "выбор между скоростью и грамотностью" звучит странно. Даже если это статья на интернет-портале, а не в серьёзном профильном журнале, она всё равно остаётся статьёй. И то, что простительно рядовому пользователю, пришедшему просто поболтать, не простят профессионалу, представляющему официальную информацию. Потому что он профессионал. Потому что его статья - официальная информация. Вы же не опубликуете книгу без проверки корректором/редактором?

Без понятия, как там в айпадах и айфонах, но рискну предположить, что и там есть какая-нибудь программка, проверяющая правописание на уровне Word'а. Это уже поможет избежать бросающихся в глаза опечаток. А так - все мы делаем ошибки в родном языке, он велик и всемогущ, чего уж там.)
Автор поста
15 фев 2015, 13:35
New
Спасибо. Перехожу на другой планшет, надеюсь с этой проблемой справлюсь. Со всеми аргументами согласна полностью.
5 фев 2015, 11:16
New
Уважаемый, СуперДжоб, ни разу ещё ни одна статья г-жи Митрофановой не была полезной или хотя бы компетентной... зачем вы продолжаете печатать её опусы? или ваши редакторы не просматривают комментарии?
Автор поста
11 фев 2015, 12:57
New
Уважаемые г-н TT, не знаю, к сожалению, Вашего имени отчества. Спасибо за Ваше мнение. Мне действительно не хватает в последнее время "черного PR". Поэтому благодарность реально искренняя.
Нравиться всем невозможно. Особенно когда речь идет о каких-то профессиональных вещах. Поэтому спокойно отношусь к Вашим претензиям. Единственное, мне кажется, не совсем справедливым, что у вас есть вся информация обо мне: кто я, что я, как мне написать. А вот у меня о Вас только "ТТ".
Вот о чем, наверное, можно было бы попросить Уважаемый СуперДжоб о том, что может обсуждение в форуме было бы более продуктивным если бы участники "вышли из тени". Хотя бы можно было бы как-то апеллировать к опыту человека, образованию, регалиям и т.д.. А так... Может это студенты мои бывшие? Может конкуренты? Может мужья бывшие? Я шучу, конечно. Извините если грубо пошутила.
С Вашего позволения г-н "ТТ" или г-жа я буду продолжать периодически писать "свои опусы" ведь "если звезды зажигают, значит это кому-нибудь нужно".
4 мар 2015, 12:12
New
Для чего нужна вся эта бюрократия по поводу согласия? Ведь если человек сам дает свои сведения, этот факт уже и подтверждает его согласие, не с детсадовским контингентом работаем. А взрослые знают, что существует налоговая инспекция, пенсионный фонд и др. куда поступают сведения, а о своем семейном положении он сам рассказывает всем кому не лень и в детском саду знают и людям не запретишь разговаривать о своих знакомых и обсуждать более интимные вещи. Поэтому, кому надо всё узнают без работодателя и учреждения, где обрабатывается информация. Да один факт рассылки резюме, где указаны и Ф.И.О., и контактные данные, и образование, и места работы и должность и период работы и т.д. говорит о том, что для субъекта информации эти сведения открыты широкому кругу.А данные о составе семьи для кадровика нужны хотя бы для того, чтобы на новый год дать подарок ребенку, позвонить супругу, если вдруг что-то случилось с работником или он пропал, а также в целях эвакуации по правилам гражданской обороны.
Отменить Войти и отправить