Нарушать правила работы с персональными данными стало дороже. С 27 марта штрафы выросли вдвое — до 500 тыс. руб. Незадолго до этого изменили правила защиты персональных данных. Если кадровики срочно не перестроят работу и не учтут все изменения, Роскомнадзор будет штрафовать компанию и директора уже с учетом новых санкций. Читайте, какое новое согласие нужно оформлять, как поменять шаблон согласия на обработку персональных данных и учесть один новый запрет.
За какие нарушения Роскомнадзор будет штрафовать компанию и директора
Кадровик взял письменное согласие сотрудника, чтобы получить сведения о его дипломе в вузе. Но не стал оформлять письменное согласие о передаче данных в банк, так как передавал эту информацию в интересах и по просьбе самого сотрудника. Это нарушение. Сотрудник должен был оформить письменное согласие на передачу своих данных в банк.
До 27 марта Роскомнадзор «оценил» бы нарушение до 75 тысяч. Теперь директора могут оштрафовать на сумму от 20 до 40 тысяч рублей, компанию — на сумму от 30 до 150 тысяч. Если кадровик не возьмет у сотрудника согласие или не укажет в документе полную информацию, Роскомнадзор обвинит компанию в «обработке персональных данных работника без его письменного согласия», ч. 2 ст. 13.11 КоАП.
Пример
Николаев пришел в отдел кадров и предупредил, что в течение часа кадровику позвонит кредитный менеджер банка. Николаев просил передать сведения о его должности и зарплате в банк, иначе ему откажут в кредите. Кадровик не сомневалась, что имеет право передать эти сведения по просьбе Николаева и подтвердила их по телефону. Согласие на передачу данных Николаев не писал. Это нарушение Роскомнадзор обнаружил даже не в компании, а в банке, когда проверял документы к кредитному договору.
Если компанию оштрафовали, а после работодатель снова обработал персональные данные без письменного согласия сотрудника, директору грозит штраф уже от 40 до 100 тыс. руб., а компании — от 300 до 500 тыс. руб., ч. 2.1 ст. 13.11 КоАП.
Компании грозит новый штраф из-за того, что кадровик не успел учесть изменения в работе с персональными данными.
Пример
Кадровик при приеме на работу собирает сведения у сотрудников, заполняет с их слов карточку Т-2 и берет согласие на обработку персональных данных, чтобы разместить сведения о сотруднике, включая фотографию, на корпоративном портале и сайте компании. В шаблоне согласия на обработку кадровик перечислил все действия с персональными данными, новички только вписывают в шаблон сведения и отмечают те действия, на которые дают согласие.
1 апреля кадровик оформляла прием на работу Егорова. Взяла у него одно письменное согласие на размещение персональных данных на сайтах и для оформления пропуска. Это нарушение, так как теперь для того, чтобы разместить сведения о сотрудниках на сайтах, у него нужно взять отдельное письменное согласие на распространение персональных данных.
Сотрудник, которого направляли в командировку, написал согласие на использование его паспортных данных для покупки билетов и бронирования гостиницы. Кадровик, когда обрабатывала эти данные, заодно внесла их в договор со страховой компанией по программе ДМС. Кадровик действовала в интересах сотрудника, но обработала персональную информацию не в тех целях, на которые он дал согласие.
Раньше за нецелевую обработку персональной информации сотрудника компании штрафовали на 30–50 тысяч рублей, теперь штраф составит от 60 до 100 тысяч, ч. 1 ст. 13.11 КоАП. Должностных лиц также наказывают строже: им придется заплатить 10–20 тысяч рублей вместо 5–10 тысяч.
Если кадровик снова обработает персональные данные в незаконных целях, штраф для организации составит 100–300 тысяч рублей, для руководителя — 20–50 тысяч, ч. 1.1 ст. 13.11 КоАП.
Ответственность за нарушения установила статья 13.11 КоАП В ней девять нарушений, штрафы за которые увеличили в два раза. Кроме того, появились штрафы за повторные нарушения.
Когда нужно брать новое согласие на распространение данных
С 1 марта вы не должны без согласия сотрудника распространять его персональные данные, даже если он сам их разместил в открытых источниках, например в интернете. Такого понятия, как «общедоступные персональные данные», больше не существует, п. 1 ст. 10.1 Закона от 27.07.2006 № 152-ФЗ о персональных данных в ред. Закона от 30.12.2020 № 519-ФЗ.
Раньше согласие сотрудника на обработку таких персональных данных не требовалось, п. 10 ч. 1 ст. 6 Закона № 152-ФЗ. Теперь любые данные о человеке можно использовать только с его прямого письменного согласия. «Молчаливого согласия» тоже не существует. Согласие на обработку данных, которые человек разрешил распространять, нужно оформить отдельно от согласий на любую другую обработку.
Отдельное согласие на распространение персональных данных получайте, когда предоставляете сведения о сотруднике неопределенному кругу лиц.
Пример
На сайте компании размещаете информацию для контрагентов. Вам нужно предоставить данные о руководителях ключевых проектов: Ф. И. О. сотрудников, должности, сведения об образовании и опыте работы, успешные проекты, электронную почту и телефон.
Еще примеры. Ваша компания публикует кейсы о работе сотрудников и проектах, которые выполняет компания, в интернете. Так как в кейсах нужно максимально подробно описать весь процесс, вам приходится публиковать данные своих сотрудников и их работах на сайтах сторонних организаций, в соцсетях и мессенджерах. Иногда компания в рекламных целях дает разрешение на публикацию интервью с сотрудниками, выпускает пресс-релизы и т. д.
Во всех подобных ситуациях у каждого сотрудника, чьи данные станут известны кому угодно в интернете, нужно взять согласие на распространение этих сведений.
Согласие сотрудник должен оформить письменно, ст. 88 ТК. Электронный документ сотрудник должен подписать простой электронной подписью. С 1 июля сотрудники смогут разрешать распространять их данные через информационную систему Роскомнадзора, п. 2 ч. 6 ст. 10.1 Закона № 152-ФЗ.
Почему нельзя брать данные сотрудников в интернете
Еще одно нововведение — запретили использовать данные из открытых источников, например страницы сотрудника в соцсети. Раньше вы могли использовать те фото и другие данные сотрудников, которые они сами открыли для всех в интернете.
С 1 марта 2021 года используйте данные из открытых источников только с письменного согласия работника.
Как и когда придется удалить данные
Удалить персональные данные сотрудника придется в следующих ситуациях.
Ситуация 1. Разместили данные сотрудника без его согласия. В этой ситуации он может потребовать удалить информацию, например с сайта компании. Вы обязаны удалить персональные данные в течение трех рабочих дней.
Ситуация 2. Опубликовали данные с согласия сотрудника, но после он передумал. В этой ситуации вы должны удалить данные и прекратить их распространять после того, как получите от сотрудника запрос.
Если такая ситуация возникла, помогите сотруднику составить запрос. В нем он должен указать:
— фамилию, имя, отчество;
— контактные данные, например телефон, электронную почту, почтовый адрес;
— перечень персональных данных, передавать которые третьим лицам он запрещает.
Ситуация 3. Сотрудник дал согласие предоставить доступ к его данным неограниченному кругу лиц, но вы не выполняете его условия или требования закона. В этой ситуации сотрудник может обратиться к любому работнику компании, который обрабатывает его данные, и потребовать прекратить передачу сведений. Требование нужно выполнить в течение трех рабочих дней.
«Новые штрафы за персональные данные. Что сделать кадровикам, чтобы компания не потеряла полмиллиона»
© Материал из Справочной системы «Охрана труда».
Подробнее: https://1otruda.ru/#/document/189/883651/dab8da2a-ac5d-4232-b1bb-552c56c6ccee/?of=copy-ed1887ded9
58.8к
