Ни слова о личном!

В Роскомнадзоре рассказали, как пользоваться новым законом о персональных данных

07.02.2018 в 08:51, просмотров: 373

Плановые проверки Роскомнадзора после вступления в силу поправок к закону о персональных данных показали низкую осведомленность кадровых служб и рядовых граждан о своих правах и обязанностях в этой части законодательства. А потому 1 февраля специалисты Управления Роскомнадзора по Кемеровской области провели День открытых дверей, посвященный Международному Дню защиты персональных данных. Мы воспользовались случаем и побеседовали с начальником отдела по защите прав субъекта персональных данных Галиной Демидовой о том, как правильно передавать, использовать и хранить личную информацию с учетом новых требований закона.

Ни слова о личном!

– Галина Геннадьевна, 1 июля 2017 года вступили в силу поправки к Кодексу Российской Федерации об административных правонарушениях в части изменения ответственности за нарушения в области обработки персональных данных. В чем принципиальное отличие новой редакции от старой?

– Штрафы стали больше и штрафов стало больше. Ответственность работодателей выросла в разы. Если раньше за разные нарушения этой части законодательства штраф был единым и мог стоить организации максимум десять тысяч рублей, то теперь каждое нарушение карается отдельно, а максимальная планка административного взыскания поднялась до 75 тысяч.

– Давайте вначале поговорим об отношениях с работодателями. Как работодатель должен правильно принять персональные данные, чтобы потом не отвечать по закону?

– Персональные данные допускается получать только лично от работников. Если эти сведения возможно получить только от третьих лиц, то работник должен получить уведомление и написать письменное согласие на их передачу. Кроме того, работодатель может запросить у сотрудника только те данные, которые относятся к его трудовой деятельности. Они четко прописаны в Федеральном законе, Трудовом кодексе РФ и локальных актах. Ничего более. Если по каким-то причинам требуется информация о родственниках сотрудника, ее обработка может проводиться только в объеме требований унифицированной формы N Т-2. Сбор любой дополнительной информации должен сопровождаться оформлением конкретизированного письменного согласия с указанием какая именно дополнительная информация предоставляется работодателю и зачем. Особо отмечу, что письменное согласие на обработку персональных данных должно включать в себя ряд обязательных пунктов, указанных в п. 4 ст. 9 закона «О персональных данных». Если обработка данных ведется без письменного согласия человека или в письменном согласии упущена хотя бы одна необходимая строчка/слово, за это нарушение полагается самый большой штраф в размере до 75 тысяч рублей.

– Какое еще нарушение будет стоить работодателю так же дорого?

– Тот же уровень ответственности предусмотрен за несанкционированное распространение персональных данных в сети Интернет или их передачу третьим лицам. Руководитель может без оформления согласия передавать данные работника только в организации, прописанные в федеральном законе. Это органы социального страхования, налоговая инспекция, пенсионный фонд и некоторые другие. Ни в банк для оформления зарплатного проекта, ни в страховые компании для оформления полиса ДМС, ни в другие структуры по их запросу, особенно немотивированному, организация не может передавать личную информацию без вашего официального согласия. Это же касается и размещения персональных данных и фото сотрудников на корпоративных сайтах компаний.

– То есть работодатели не могут размещать информацию о сотрудниках на своих сайтах?

– Могут, но опять же в том объеме, который предписывает федеральный закон. К примеру, размещение части персональных данных является обязательным для медицинских, образовательных учреждений или органов местного самоуправления. Они должны предоставить информацию об образовании, квалификации, графике работы некоторых должностных лиц. Это разрешается делать в объемах, установленных законодательством. Обнародование любой дополнительной персональной информации, к примеру, фотографий или биографий сотрудников, должно подтверждаться их письменным согласием. Равно как и размещение персональной информации на сайтах бизнес-структур.

Галина Демидова

– Как сотрудник той или иной организации или кандидат на эту роль должен узнать о том, что работодатель планирует делать с его персональными данными?

– Работодатель обязан открыто заявить об этом. Политика организации в отношении персональных данных должна быть размещена на сайте или обнародована любым другим способом. Доступ к ней должен быть неограничен. Даже тогда, когда вы оставляете какую-либо заявку на сайтах, где указываете свои личные данные, администратор должен предложить вам ознакомиться с документом такого типа: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. За невыполнение этого требования полагается своя система штрафов.

– Может ли человек, который передал свои персональные данные, потребовать от работодателя информацию о том, кто их обрабатывает, где они хранятся, кому передаются и как используются?

– Любое физическое лицо, которое доверило работодателю информацию о себе, имеет право знать, что он с ней делает. Если организация не дает ответа на запрос о целях обработки персональных данных, сроках, передаче и т.д., у нее есть все шансы получить штраф в размере до 40 тысяч рублей.

– А что происходит с персональными данными после того, как они утратили свою актуальность или истек срок их хранения?

Работодатель не имеет права хранить и обрабатывать данные дольше, чем это предписывает цель обработки, установленная внутренней документацией или законом. Он обязан уничтожить информацию, предварительно определив способ ее уничтожения. 

– Многие организации собирают персональные данные работников на бумажных носителях. Как обеспечивается защита такой информации и обязан ли работодатель контролировать доступ к ней третьих лиц?

– Работодатели обязаны обеспечивать сохранность персональных данных. Согласно поправка в закон, теперь им грозит отдельный штраф за некачественное хранение и защиту информации. Во время одной из проверок мы стали свидетелями ситуации, когда документация с персональными данными лежала на открытых стеллажах, которые, в свою очередь, были установлены у открытого окна. То есть любой человек мог просунуть руку и украсть тот или иной документ. Мы выписали предписание на устранение этого нарушения. К нашему очередному визиту в организации были установлены несгораемые сейфы, решетки на окнах, заменены двери и замки. Разве что человека с автоматом рядом не стояло. Мы не требовали такого глобального вооружения и не предписывали конкретных мер. Как обезопасить документы - решать работодателю. Главное, чтобы эти меры исключили любой вариант утечки информации. В данном случае достаточно было закрыть окна или установить сейф.

– А как быть в ситуации, когда закон обязывает государственные или муниципальные органы размещать в открытом доступе документы, содержащие персональные данные? К примеру, жалобы.

– В этом случае в сети должны появляться обезличенные документы, по которым без дополнительной информации было бы невозможно определить принадлежность персональных данных конкретному человеку.

– К нам в редакцию часто обращаются читатели, которые возмущены повсеместным видеонаблюдением. Камеры стоят в подъездах, магазинах, медицинских учреждениях, офисах и даже детских садах. Это законно?

– Видеозаписи, равно как и фотографии являются так называемыми биометрическими персональными данными, если по ним можно легко установить личность человека. А значит работа с ними должна укладываться в требования соответствующего закона. Для начала, любое видеонаблюдение должно иметь правовое обоснование, отраженное в локальных актах. Если речь, к примеру, о камерах в подъездах или на автомобильных парковках – это, наверняка, вопрос обеспечения безопасности. А вот если мы говорим о видеонаблюдении в группах детского сада, учебных классах или на рабочих местах – это, на мой взгляд, явное превышение требуемых норм безопасности. Такая съемка является наблюдением за личностью и может привести к ее дискриминации. При такой установке камер работодатель должен получить согласие сотрудников, а учитель или воспитатель – согласие родителей. При установке средств видеонаблюдения в общественных местах, их посетители должны предупреждаться о возможной фото и видеосъёмке соответствующими информационными табличками.

– И за каждое нарушение теперь установлен свой штраф?

– Именно. Более того: если нарушений несколько, штрафы будут суммироваться. А наказать виновного теперь намного проще. Если до 1 июля возбуждать дела по таким административным делам был вправе только прокурор, то теперь его участие необязательно - дела по статье 13.11 КоАП могут возбуждать должностные лица Роскомнадзора. Поэтому лично я советую работодателям в любой непонятной ситуации внимательно читать закон. А если сомнения глубоки и ситуация совсем не ясна, звоните по нашему номеру телефона: 78-00-78. Здесь вам всегда помогут разобраться.  



Партнеры