Скачать проверочные листы

Ошибки при работе с персональными данными

Ошибка 1. За обработку персональных данных отвечает кадровик

 Часто ответственным за обработку персональных данных назначают кадровика, бухгалтера, секретаря и т. д. Логика компании – сотрудник работает с документами, значит, может отвечать и за персональные данные. Однако возлагать такие функции закон разрешает не на любого сотрудника. Есть критерии, которые нужно соблюдать, чтобы не получить штраф.

Назначьте компетентного сотрудника. Ответственному предстоит организовать обработку данных в масштабе организации. Кроме того, он должен напрямую подчиняться гендиректору(ч. 2 ст. 22.1 Федерального закона № 152-ФЗ, далее – Закон № 152-ФЗ). Поэтому в большинстве случаев назначить кадровика будет ошибкой. Это допустимо только в маленькой компании.

 Безопаснее сделать ответственным за персданные директора по информационной безопасности или по персоналу. Такие сотрудники подчиняются напрямую руководителю организации и обычно обладают достаточными знаниями.

Назначать ответственным генерального директора чиновники Роскомнадзора не рекомендуют, так как вряд ли он будет непосредственно организовывать обработку персданных. Скорее всего, негласно перепоручит эти функции кому-то из подчиненных, что может привести к штрафу или путанице.

59966065Нельзя назначать несколько ответственных. Даже если компания крупная, с филиальной сетью, ответственный должен быть один. Он может давать поручения другим сотрудникам.

Наделите ответственного полномочиями. Предоставьте сотруднику информацию о том, какие персональные данные и какими способами обрабатывают в компании (ч. 3 ст. 22 Закона № 152-ФЗ). Дайте ему право контролировать обработку персданных. О назначении ответственного издайте приказ в произвольной форме. Подробно его полномочия пропишите в трудовом договоре или должностной инструкции (образец ниже).

Ошибка 2. Документы с персональными данными хранят на столах или стеллажах

 Во время проверки инспектор Роскомнадзора обратит внимание, где вы храните документы с персональными данными. Готовьтесь платить штраф, если контролер найдет такие документы на столах или стеллажах.
 Утвердите перечень мест, где будете хранить персональные данные. При проверке инспектор Роскомнадзора запросит приказ, которым вы утвердили перечень мест хранения материальных носителей персональных данных (образец ниже). Во всех кабинетах, где обрабатываете персданные на бумаге, определите места хранения – сейфы или запираемые шкафы. Местом хранения может быть и само помещение, например архив организации.

Оставлять документы, которые содержат персданные, на столах, полках, стеллажах, нельзя. Часто кадровик держит на видном месте список контактных телефонов или информацию о днях рождения работников. Инспекторы Роскомнадзора могут счесть это нарушением. В открытом доступе можно оставлять только документы, в которых нет информации о конкретных работниках. Например, коллективный договор и локальные акты.

Организуйте доступ работников к персональным данным. Утвердите приказом перечень лиц, которых допустили к обработке персональных данных. Это сотрудники, которые работают с личными данными работников, клиентов, абонентов и т. д. В приказе укажите, к каким данным имеет доступ конкретный работник (образец ниже).

В должностные инструкции или трудовые договоры сотрудников, допущенных к работе с личными данными, включите информацию о том, что они обрабатывают эти данные без использования средств автоматизации (образец ниже). Также укажите, какие категории персданных обрабатывают и какими правилами руководствуются. Как вариант, эти сведения пропишите в ЛНА и ознакомьте работников с ним под подпись. Если Роскомнадзор обнаружит, что сотрудников не проинформировали, то сочтет это нарушением.

Получите у сотрудников, которых допустили к обработке персональных данных, обязательство о неразглашении (образец ниже). Только в этом случае вы сможете привлечь работника к ответственности за утечку личных данных.

Ошибка 3. В компании хранят личные данные, которые нужно было уничтожить

 Нельзя хранить личные данные, если достигли целей, для которых их получали, – предоставили гарантии, выплаты и т. п. Например, нет причин оставлять в кадрах копию свидетельства о рождении ребенка, после того как назначили работнику пособие по уходу за ребенком (ч. 6 ст. 13 Федерального закона от 29.12.2006 № 255-ФЗ). Но, прежде чем уничтожать документы, убедитесь, что истекли сроки хранения. Если преждевременно избавитесь от документов, руководителя организации оштрафуют, а кадровику придется восстанавливать бумаги (ст. 13.20 КоАП).
59966065Для госслужащих действует особый порядок работы с копиями документов сотрудников. Кадровая служба госоргана должна хранить в личном деле гражданского служащего копию его паспорта, диплома, свидетельства о регистрации брака и т. д. (п. 16 Положения, утв. Указом Президента от 30.05.2005 № 609).

Если персданные работника больше не нужны компании, информацию и ее носители уничтожают в 30-дневный срок (ч. 4 ст. 21 Закона № 152-ФЗ). Однако закон или договор часто устанавливает другой период хранения. Для документов по личному составу сроки хранения смотрите в Перечне, утвержденном приказом Минкультуры от 25.08.2010 № 558. Например, приказы о приеме и увольнении хранят 75 (50) лет. Поэтому, даже если работник уволился, документы нужно хранить в организации в течение установленного срока.

Установите порядок уничтожения персданных. Разработайте локальный акт об уничтожении персональных данных. В нем пропишите, в каких случаях компания уничтожает личные данные. Определите, какие способы для этого использовать. Например, носители данных можно уничтожить с помощью шредера, сжечь и т. п. Можно заключить со специализированной организацией договор об уничтожении документов. Наиболее удобный способ избавиться от документов, не прибегая к услугам сторонних фирм, – уничтожить их в шредере.

Создайте комиссию по уничтожению персданных. В ее состав входят председатель и как минимум еще два сотрудника. Также включайте в комиссию работника, ответственного за обработку документов, которые планируете уничтожить. Комиссия составляет перечень документов для уничтожения с учетом сроков их хранения.

Зафиксируйте уничтожение персданных. Отразите в специальном журнале или акте, что уничтожили документы, которые содержат персональные данные работников (образец ниже). Унифицированных форм акта и журнала нет, их утверждает сам работодатель (информация Роскомнадзора от 25.09.2015). Отразите, какие документы уничтожили, когда и каким способом. Также внесите информацию, почему они больше не нужны. Когда уничтожите данные, внесите в книги и журналы учета, номенклатуру дел отметки об уничтожении документов. Укажите дату и номер акта (образец ниже).

600px-emblem-important-svg-kopiyaВажные выводы

1. Назначьте ответственным за обработку персданных директора по персоналу, IT-директора или другого компетентного сотрудника, который напрямую подчиняется гендиректору.

2. Документы с персональными данными храните в сейфах, запираемых шкафах или помещениях. Перечень таких мест закрепите в приказе.

3. Уничтожьте персданные, которые больше не нужны. Но предварительно проверьте, что истекли сроки хранения.