Как проводятся проверки соблюдения требований к обработке персональных данных

Проверки работодателя по вопросам обработки им персональных данных проводит Роскомнадзор и его территориальные органы на основании Закона от 26.12.2008 № 294-ФЗ и в соответствии с Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденными постановлением Правительства от 13.02.2019 № 146 (далее – Правила контроля).

Проверки бывают плановые и внеплановые.

Плановые проверки

Плановые проверки могут проводить в выездной и документарной форме. Работодателя включат в план проверок, когда пройдет три года со дня его госрегистрации или после трех лет с момента окончания последней проверки. В отдельных случаях проверку проводят не чаще одного раза в два года со дня окончания последней проверки. Это касается работодателей, которые:

  • обрабатывают персональные данные в государственных информационных системах;
  • собирают биометрические персональные данные и специальные категории таких данных;
  • передают персональные данные на территорию иностранного государства, которое не обеспечивает необходимую защиту субъекта данных;
  • обрабатывают персональные данные по поручению иностранного госоргана, юридического или физического лица.

Такой порядок установлен в пункте 7 Правил контроля.

Срок плановой проверки составит не больше 20 рабочих дней. Для субъектов малого предпринимательства общий срок выездных плановых проверок не может превышать в год:

  • 50 часов – для малого предприятия;
  • 15 часов – для микропредприятия.

Известить о плановой проверке вас должны за три дня до ее начала. Для этого контролирующие органы направляют копию приказа о проверке по почте с уведомлением о вручении, по электронной почте с квалифицированной электронной подписью или любым удобным способом (п. 11121617 Правил контроля).

Внеплановые проверки

Внеплановая проверка может быть только выездная, ее проводят только по конкретным основаниям. К таким основаниям относятся следующие ситуации:

  • работодатель не исполнил предписание об устранении нарушений полностью или в части;
  • поступило обращение гражданина о нарушении;
  • Президент и Правительство издали поручение о внеплановой проверке;
  • прокурор вынес требование о проверке;
  • руководитель Роскомнадзора или его территориального органа принял решение о проверке по итогам рассмотрения докладной записки.

Это следует из пункта 8 Правил контроля.

Срок внеплановой проверки составляет не больше 10 рабочих дней. Известить о начале проверки вас должны за 24 часа до ее начала.

Процедура проверки

Перед проверкой проверяющий направляет запрос с требованием представить документы. Сделать это нужно в срок, указанный в запросе. Представить документы можно в виде копий с печатью организации, если она есть, и подписью работодателя или его представителя. Документы можно также направить через интернет, заверив усиленной квалифицированной электронной подписью (п. 273334 Правил контроля).

Работодатель обязан представить проверяющим все необходимые документы и информацию и создать нужные условия для проверки. Кроме того, он должен обеспечить доступ проверяющих в помещения и к оборудованию, с помощью которого осуществляют обработку персональных данных (п. 34 Правил контроля).

По результатам проверки составляют акт проверки (раздел VIII Правил контроля). Его форма утверждена приказом Минэкономразвития от 30.04.2009 № 141. Если в ходе проверки будут выявлены нарушения, дополнительно составляют предписание об их устранении. Устранить такие нарушения нужно в течение шести месяцев со дня, когда выдадут предписание (раздел IX Правил контроля).

Если вы не согласны с выводами должностных лиц Роскомнадзора и его органов, а также с их действиями в ходе проверки, то можно обжаловать данные выводы или действия (п. 4 ст. 21 Закона от 26.12.2008 № 294-ФЗраздел XII Правил контроля).

Задать вопрос можно тут

Написать или позвонить можно WhatsApp +79287768843

С уважением к вашему бизнесу,

Сушонкова Елена

Подписывайтесь на нас:

ВК Facebook Дзен Одноклассники Teletype Телеграмм

Список всех публикаций блога вы найдёте на главной странице канала

Материал подготовлен с использованием системы Жизненные ситуации - готовое решение для предпринимателей

ДРУГИЕ МАТЕРИАЛЫ ПО ТЕМЕ

Как организовать защиту персональных данных сотрудников в организации

Изменяется ли трудовая функция при уменьшении обязанностей: новая позиция Мосгорсуда

Можно ли внести изменения в приказ об увольнении, а именно основание и перенос даты увольнения?

Today
by Elena Sushonkova
3
Кадры и зарплата

Можно ли внести изменения в приказ об увольнении, а именно основание и перенос даты увольнения?

Ответ: Изменение основания и перенос даты увольнения путем издания приказа о внесении изменений в первоначальный приказ об увольнении будут неправомерны.

В целях надлежащего увольнения следует издать новый приказ об увольнении работника, а старый приказ отменить.

Обоснование: Основания для увольнения установлены ст. 77 ТК РФ, увольнение работника возможно только при наличии документов, подтверждающих указанные основания.

Работник имеет право расторгнуть трудовой договор, предупредив об этом работодателя в письменной форме не позднее чем за две недели, если иной срок законодательно не установлен. Течение указанного срока начинается на следующий день после получения работодателем заявления работника об увольнении (ст. 80 ТК РФ).

Обратите внимание!

Нарушение порядка расторжения трудового договора является нарушением трудового законодательства и влечет административную ответственность по ч. 1 ст. 5.27 КоАП РФ.

Изменение основания увольнения влечет за собой необходимость переоформить документы, связанные с прекращением трудовых отношений. В частности, приказ об увольнении, личную карточку работника и тому подобное. В целях надлежащего увольнения следует издать новый приказ об увольнении работника, а старый приказ отменить. Поскольку работник должен быть ознакомлен с данными документами под подпись в день увольнения, вносить изменения можно только с его согласия и до расторжения трудового договора, а без согласия работника и после расторжения трудового договора вносить изменения в приказ об увольнении неправомерно (ст. 84.1 ТК РФ).

Приказ об увольнении по собственному желанию следует отменить отдельным приказом либо отдельным пунктом в новом приказе.

Дата увольнения может быть изменена в таком же порядке, если трудовой договор еще не расторгнут. После расторжения трудового договора (задним числом) дату увольнения по инициативе работодателя изменять нельзя.

Трудовым законодательством предусмотрена только одна причина изменения формулировки увольнения - если увольнение признано незаконным по решению суда (ст. 394 ТК РФ).

Задать вопрос можно тут

Написать или позвонить можно WhatsApp +79287768843

С уважением к вашему бизнесу,

Сушонкова Елена

Подписывайтесь на нас:

ВК Facebook Дзен Одноклассники Teletype Телеграмм

Список всех публикаций блога вы найдёте на главной странице канала

Материал подготовлен с использованием системы КонсультантПлюс

ДРУГИЕ МАТЕРИАЛЫ ПО ТЕМЕ

Как уведомить Роскомнадзор о начале обработки персональных данных сотрудников

Как организовать защиту персональных данных сотрудников в организации

Изменяется ли трудовая функция при уменьшении обязанностей: новая позиция Мосгорсуда

Today
by Elena Sushonkova
2
Кадры и зарплата

Изменяется ли трудовая функция при уменьшении обязанностей: новая позиция Мосгорсуда

Объем обязанностей исполнительного директора был уменьшен: у него забрали несколько подчиненных служб. Из-за этого ему урезали зарплату в 10 раз. Работник не согласился с новыми условиями и был уволен. Он обжаловал действия компании.

Мосгорсуд встал на сторону работодателя. Изменение объема обязанностей не означает, что трудовая функция работника изменилась. Сотрудник остался на прежнем месте, новая должностная инструкция не установила дополнительные обязанности, а конкретизировала прежние. Значит, организация правильно применила процедуру, предусмотренную ст. 74 ТК РФ.

Суд также отметил: раз нагрузка сотрудника снизилась, то и зарплата уменьшена правомерно.

Ранее Мосгорсуд придерживался противоположной позиции (Апелляционное определение Московского городского суда от 06.12.2018 по делу N 33-52120/2018). Он указывал, что уменьшение функционала работника влечет изменение его трудовой функции.

Документ: Апелляционное определение Московского городского суда от 26.03.2019 по делу N 33-13196/2019

Требование: О восстановлении на работе, признании приказов недействительными полностью и в части, взыскании заработной платы за время вынужденного прогула, недополученной заработной платы, процентов, компенсации морального вреда.

Обстоятельства: Истец указал, что оснований для расторжения трудового договора не имелось, работодателем в одностороннем порядке при отсутствии изменений организационных или технологических условий труда незаконно изменены условия трудового договора в части размера оплаты труда и должностных обязанностей, указанные действия работодателя нарушают трудовые права истца и причиняют ему моральный вред.

Решение: В удовлетворении требований отказано.

Задать вопрос можно тут

Написать или позвонить можно WhatsApp +79287768843

С уважением к вашему бизнесу,

Сушонкова Елена

Подписывайтесь на нас:

ВК Facebook Дзен Одноклассники Teletype Телеграмм

Список всех публикаций блога вы найдёте на главной странице канала

Материал подготовлен с использованием системы КонсультантПлюс

ДРУГИЕ МАТЕРИАЛЫ ПО ТЕМЕ

Суд: если с работником договоры заключались на разные сроки, то отношения бессрочными не признаются

Как уведомить Роскомнадзор о начале обработки персональных данных сотрудников

Как организовать защиту персональных данных сотрудников в организации

Yesterday
by Elena Sushonkova
3
Кадры и зарплата

Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников(ст. 887 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации. Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. 47 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

Ситуация: можно ли разместить на официальном сайте списки уволенных сотрудников

Нет, нельзя без согласия сотрудника.

Если работодатель разместит на своем официальном сайте списки уволенных сотрудников без их согласия, он нарушит правила работы с персональными данными. Поскольку списки уволенных сотрудников содержат информацию, которая относится к их персональным данным. При этом не имеет значения основание увольнения, например утрата доверия или неоднократное неисполнение обязанностей. В любом случае размещать на корпоративном сайте личные данные сотрудника без его согласия неправомерно (Федеральный закон от 27.07.2006 № 152-ФЗ). Аналогичные разъяснения дают специалисты Минтруда в письме от 08.10.2018 № 14-2/В-803.

Разместить на своем корпоративном сайте списки уволенных можно, только если получите у сотрудников согласие на обработку их персональных данных.

Ситуация: является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (ст. 5.27 КоАП РФ). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников.

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Ситуация: как защитить персональные сведения, находящиеся в компьютерной базе данных

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8−16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Ситуация: как поступить, если человек отказывается давать согласие на обработку его персональных данных

Организация вправе продолжать обрабатывать персональные данные человека без его согласия при наличии определенных оснований. При этом объем такой обработки достаточно велик и позволяет организации осуществлять текущую деятельность без нарушений.

В частности, работодатель может не требовать согласия на обработку персональных данных у соискателей для заключения трудового и гражданско-правового договора, направления персонифицированной отчетности в органы Пенсионного фонда РФ, налоговой отчетности в ФНС России, сведений о военнообязанных в военные комиссариаты, а также для хранения документов с персональными данными, в том числе трудовых и гражданско-правовых договоров, личных карточек, личных дел, и т. д. То есть когда работодатель исполняет возложенные на него законодательством обязанности.

Такие правила установлены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Для осуществления всех иных действий организации необходимо получать согласие человека на обработку его персональных данных (ч. 4 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Внимание: действующее законодательство не обязывает человека давать согласие на обработку персональных данных, поэтому отказ с его стороны нельзя считать нарушением и основанием для отказа в заключении договора. Штатный сотрудник также не может быть уволен или привлечен к иной дисциплинарной ответственности за отказ от предоставления согласия на обработку персональных данных.

Ситуация: как поступить, если сотрудник отказывается предоставлять персональные данные членов семьи для заполнения кадровых документов

В соответствии со статьей 9 Закона от 27 июля 2006 г. № 152-ФЗ сотрудник предоставляет персональные данные о самом себе. Однако для заполнения личной карточки сотрудника работодателю нужны сведения о членах его семьи и ближайших родственниках. Если сотрудник отказывается предоставлять данные о родственниках, то работодатель не вправе требовать их предоставления (ч. 1 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗп. 3 ст. 86 ТК РФ). В таком случае некоторые разделы личной карточки по форме № Т-2 останутся незаполненными по объективным причинам.

Чтобы избежать возможных претензий со стороны проверяющих органов и сотрудника, рекомендуется получить заявление сотрудника с его отказом от предоставления таких данных или зафиксировать такой отказ в акте. И акт и заявление можно составить в произвольной форме.

Задать вопрос можно тут

Написать или позвонить можно WhatsApp +79287768843

С уважением к вашему бизнесу,

Сушонкова Елена

Подписывайтесь на нас:

ВК Facebook Дзен Одноклассники Teletype Телеграмм

Список всех публикаций блога вы найдёте на главной странице канала

Материал подготовлен с использованием системы Жизненные ситуации - готовое решение для предпринимателей

ДРУГИЕ МАТЕРИАЛЫ ПО ТЕМЕ

Расходы работника на нужды организации можно не возмещать, если работодатель не просил их оплачивать

Суд: если с работником договоры заключались на разные сроки, то отношения бессрочными не признаются

Как уведомить Роскомнадзор о начале обработки персональных данных сотрудников

Yesterday
by Elena Sushonkova
1
Кадры и зарплата

Как заполнить РСВ, если работникам выплаты не производились, а учредителю выплачены дивиденды?

Ответ: В расчете по страховым взносам необходимо заполнить титульный лист, разд. 1, подразделы 1.1 и 1.2 Приложения 1 к разд. 1, Приложение 2 к разд. 1 и разд. 3 "нулевого" расчета по страховым взносам, за исключением подраздела 3.2. Сведения об учредителе и сумме выплаченных дивидендов в расчете по страховым взносам не указываются.

Обоснование: Дивиденды не признаются объектом обложения страховыми взносами на обязательное пенсионное страхование, обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством, на обязательное медицинское страхование (пп. 1 п. 1 ст. 420 НК РФ). При этом учредитель не является застрахованным лицом, поэтому дивиденды не учитываются при заполнении расчета по страховым взносам (разд. VII, VIII, XI, XXII Порядка заполнения расчета по страховым взносам, утвержденного Приказом ФНС России от 10.10.2016 N ММВ-7-11/551@ (далее - Порядок)).

В своих разъяснениях ФНС России уточнила, что вне зависимости от осуществляемой деятельности обязательными для заполнения всеми плательщиками страховых взносов в соответствии с Порядком являются: титульный лист, разд. 1, подразделы 1.1 и 1.2 Приложения 1 к разд. 1, Приложение 2 к разд. 1 и разд. 3 "Персонифицированные сведения о застрахованных лицах" расчета (Письмо ФНС России от 02.04.2018 N ГД-4-11/6190@).

Раздел 3 расчета по страховым взносам заполняется плательщиками на всех застрахованных лиц за последние три месяца расчетного (отчетного) периода (п. 22.1 Порядка).

В персонифицированных сведениях о застрахованных лицах, в которых отсутствуют данные о сумме выплат и иных вознаграждений, начисленных в пользу физического лица за последние три месяца отчетного (расчетного) периода, подраздел 3.2 разд. 3 не заполняется (п. 22.2 Порядка).

В Письме от 24.03.2017 N 03-15-07/17273 (направлено Письмом ФНС России от 03.04.2017 N БС-4-11/6174) Минфин России пояснил, что в случае отсутствия у плательщика страховых взносов выплат в пользу физических лиц в течение того или иного расчетного (отчетного) периода плательщик обязан представить в установленный срок в налоговый орган расчет с нулевыми показателями.

Застрахованными лицами являются, в частности, граждане РФ, работающие по трудовому договору, в том числе руководители организаций, являющиеся единственными участниками (учредителями), членами организаций, собственниками их имущества (п. 1 ст. 7 Федерального закона от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации", п. 1 ч. 1 ст. 2 Федерального закона от 29.12.2006 N 255-ФЗ "Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством", п. 1 ст. 10 Федерального закона от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации").

Таким образом, даже в случае отсутствия выплат работникам необходимо заполнить расчет по страховым взносам. Расчет должен состоять из титульного листа, разд. 1, подразделов 1.1 и 1.2 Приложения 1 к разд. 1, Приложения 2 к разд. 1, разд. 3, который заполняется на всех застрахованных лиц. Если застрахованным лицам за последние три месяца отчетного (расчетного) периода не начислялись выплаты и иные вознаграждения, то плательщиком заполняется разд. 3 расчета, за исключением подраздела 3.2.

Задать вопрос можно тут

Написать или позвонить можно WhatsApp +79287768843

С уважением к вашему бизнесу,

Сушонкова Елена

Подписывайтесь на нас:

ВК Facebook Дзен Одноклассники Teletype Телеграмм

Список всех публикаций блога вы найдёте на главной странице канала

Материал подготовлен с использованием системы КонсультантПлюс

ДРУГИЕ МАТЕРИАЛЫ ПО ТЕМЕ

Каков порядок уплаты ИП страховых взносов за себя и работников, если деятельность ведется не по месту регистрации?

КБК для перечисления ИП страховых взносов за себя 1 процент

Суды: при частичной занятости сотрудника на вредных работах допвзносы все равно нужно платить

Yesterday
by Elena Sushonkova
3
Кадры и зарплата
Show more