Поэтому надо подготовиться к проверке. Минимальный набор (на что надо обратить внимание, и что проверяет инспектор Роскомнадзора при проведении проверок напрямую указано в Приказе Минкомсвязи России от 14.11.2011 N 312 (ред. от 08.10.2014) "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных":
1. Уведомление об обработке персональных данных – ваша организация должна была подать такое уведомление в Роскомнадзор.
2. Документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган – если на вас пожаловались работники. На что они могут пожаловаться? Типичные случаи: на незаконные требования о предоставлении каких-либо документов. Например, сведения о браке при приеме на работу, на публичное поздравление с днем рожденьем (когда человек вовсе не жаждал этого) и т.д.
3. Документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных – это если у вас ранее были инспекционные проверки Роскомнадзора, и вам давали предписание о том, что при последующих проверках обязательно будут запрашивать подтверждения того, что вы по последней проверке все выполнили.
4. Письменные согласия субъекта персональных данных на обработку его персональных данных – должны быть на всех работников и родственников работников, чьи данные вы зачем-то собираете. Согласие должно быть разработано с учетом требований 152 Федерального закона. Если согласие на половину страницы или на одну страницу , значит у вас какая –то проблема с согласием на обработку персональных данных.
5. Документы, подтверждающие соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных – если вы их, конечно, обрабатываете.
6. Документы, подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки – это акты, которые должны у вас быть о том, что данные были уничтожены. Срок обработки должен быть указан в согласии работника на обработку персональных данных, и именно по истечении этого срока документы, которые содержат данные работника, должны быть уничтожены. Поэтому указание таких сроков как «на период действия трудового договора» является крайне стандартной ошибкой многих специалистов по управлению персоналом. Далее они же сами не могут справиться с этой задачей, так как в установленные 30-дневные сроки после увольнения работника ничего не уничтожают.
7. Локальные акты оператора, регламентирующие порядок и условия обработки персональных данных – у работодателя должен быть локальный акт, в котором описана политика компании по работе с персональными данными, а именно: какие сведения собираются и зачем, какие должностные лица допущены к работе с персональными данными, как это связано с их функционалом, как защищаются данные работников в компании, как хранятся и т.д. С этим локальным актов работники должны быть ознакомлены под роспись.
Также при проверке будет проводиться исследование (обследование) информационной системы персональных данных в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней. Но это уже отдельная история.
Вопросы, на которые должны быть готовы ответить сотрудники HR-отдела:
1. Кто имеет допуск в ваш кабинет? Например, как работники подают вам заявление?
2. Как осуществляется уборка вашего кабинета? В вашем присутствии или нет?
3. Зачем при приеме на работу вы собираете с работников сведения об их семейном положении и детях? Разве это требование законодательно закреплено?
4. Есть ли у вас согласия на обработку персональных данных соискателей?
5. Есть ли у вас согласие на передачу данных работника в банк (например, при выплате заработной платы)?
6. Есть ли у вас согласие на обработку персональных данных родственников?
7. Как вы маркируете документы, содержащие персональные данные?
8. Как осуществляется выдача расчетных листов работникам? Кто их выдает? Допущен ли он к персональным данным работников? Покажите список.
9. Как давно вы проводили проверку на соответствие требований законодательства по защите персональных данных?
10.И т.д.
И на все эти вопросы ответ должен быть дан в соответствии с требованием законодательства по защите персональных данных и требованиями, закрепленными в локальных актах самой организации.
Самое главное, чтобы при проверке инспектор Роскомнадзора не задавал вопросов о том, знаете ли вы что-то, что он обнаружил при проверке, так как это попадает под уголовную ответственность или он может потребовать уволить вас из организации по ст. 81, часть 1, пункт Б, подпункт В. Это будет, наверное, плохим знаком. Надеюсь, в конце проверки он скажет: «Первый раз вижу работодателя, у которого так отлично построена работа с персональными данными работников».
Удачи вам при прохождении проверки.