815 просмотров

Работа с персональными данными: к чему придирается Роскомнадзор

Автор: Анна Веденеева, 24/08/2020
Практически каждой организации приходится работать с персональными данными как своих сотрудников, так и клиентов. При этом важно соблюдать правила, регламентируемые Федеральным законом №152-ФЗ «О персональных данных». За соблюдением этого закона следит Роскомнадзор. Он контролирует, чтобы данные использовались с согласия владельца и никуда не просочились. О том, как соответствовать требованиям 152-ФЗ, рассказывает Анна Веденеева, генеральный директор «Бухгалтерского бюро Анны Веденеевой».

Для начала стоит разобраться какие данные считаются персональными.

Персональные данные — это любая информация, с помощью которой можно идентифицировать человека, как конкретное физическое лицо. К ним относят такие сведения, как: паспортные данные, Фамилия Имя Отчество, номер телефона, ИНН, СНИЛС, образование, профессия, имущество и доход, cookie в браузере, семейное положение, фото, ссылка на профиль в социальной сети. Если в адресе электронной почты фигурирует личная информация — Фамилия Имя Отчество или дата рождения (ivanov1979@mail.du), то она тоже относится к личным данным. То есть для того, чтобы идентифицировать человека важны скорее не сами данные, а их совокупность.

Варианты контроля

Плановая проверка

Специалисты Роскомнадзора составляют график плановых проверок еще до начала года и публикуют его на своем официальном сайте. Каждая организация может заблаговременно узнать о проверке. А также за три дня по почте придет уведомление, в котором будет указано на какую дату она назначена.

Плановые проверки проводятся раз в три года, для отдельных категорий — раз в два года.

Внеплановая проверка

Они не включены в график, проводятся по жалобам граждан, которые считают, что их права нарушили. Люди обычно жалуются на SMS-спам, назойливые звонки и прочее. Также проверку могут организовать по требованию прокурора.

О внеплановой вы будете извещены лишь за 24 часа до ее начала.

Количество внеплановых проверок неограниченно, одной жалобы достаточно, чтобы инспекторы выехали к вам.

Документарная проверка

В этом случае Роскомнадзор запрашивает копии необходимых документов или какие-либо пояснения по определенной ситуации. Запрос происходит письменно — вы получаете соответствующее письмо. И ответит на него надо в течение пяти дней.

Такие проверки проводятся исключительно по плану.

Текущий контроль

В этом случает проверка проходит без участия организации или ИП. Специалисты проверяют информацию о компании. Для ‘того они изучают сайт, а также другие сведения, находящиеся в открытом доступе.

О такой проверке можно узнать, только в том случае, если специалисты найдут нарушения. В этом случае вы получите требование об устранении недостатков. Его надо выполнить, иначе вас оштрафуют.

Нарушения, которые может выявить Роскомнадзор

Не уведомили территориальный орган Роскомнадзора об обработке персональных данных.

Если вы собираете личные сведения на сотрудников, в рамках трудовых отношений, уведомлять никого не нужно.

При работе с персональными данными клиентов, необходимо отправить уведомление в Роскомнадзор. А также уведомлять нужно, если вы собираетесь обрабатывать данные уволенных сотрудников или кандидатов на вакансии. Для этого используйте специальную форму на сайте ведомства. Уведомление также следует отправить и в бумажном виде.

Не разработали политику обработки персональных данных.

Ее нужно не только сгенерировать, но и предоставить в публичном доступе — на сайте организации, в офисе или мобильном приложении.

Отсутствует согласие на обработку персональных данных.

Согласие граждан необходимо получать в обязательном порядке. Это базовый документ, в котором прописано, какие данные и с какими целями вы планируете собрать.

Если собираете данные через интернет, то понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму сбора данных, на которой человек ставит галочку, тем самым соглашаясь на обработку персональных данных.

Не позаботились о системе технической защиты персональных данных.

Серверы с базами данных необходимо размещать в защищенном месте, чтобы к ним имели доступ только те, кто имеет на это право. Необходимо установить антивирусные программы.

Издайте приказ, который утвердит порядок хранения персональных данных и утвердите перечень работников, которые будут иметь к ним доступ. Назначьте ответственного за обработку личной информации.

Персональные данные на бумаге храните в сейфе или в архиве.

Если компания не защитит данные, и кто-то получит к ним доступ, то ее оштрафуют. А если в результате утечки данных пострадает человек, то компания должна будет компенсировать ущерб.

Отсутствуют внутренние документы с правилами обработки и защиты персональных данных в вашей компании.

В личных делах сотрудников лишние документы.

К примеру, документы сотрудник должен предъявить лишь при оформлении трудовых отношений. Поэтому после завершения процедуры хранить их копии в отделе кадров не нужно.

Если в компании приняты все меры, документы поддерживаются в актуальном состоянии, уведомление подано, то контролирующему органу не к чему будет придраться.



Вы заметили у нас ошибку? Помогите нам ее исправить! Выделите ошибку и нажмите одновременно клавиши "Ctrl" и "Enter" и повторите код с картинки. Спасибо!
Купить
Школа бизнеса «Я - предприниматель» это информационный проект ПАО «Совкомбанк».
Цель школы - помочь в финансовой грамотности предпринимателям России и широкому кругу граждан, собирающихся стать предпринимателями.
Генеральная лицензия Банка России №963 от 5 декабря 2014 года © 2004-2019, ПАО «Совкомбанк». Все права защищены.