В последние годы многие интернет-компании, до того работающие без оформления в статусе юридического лица, легализовали свое положение. Большинство из них, правда, по-прежнему сотрудничает с самозанятыми гражданами или неоформленными в статусе сотрудников фрилансерами. Но и эта ситуация скоро изменится – ФНС объявила «охоту за нарушителями». Что это значит для организаций, которые уже обзавелись физическим офисом и рассадили в них наемных работников?

Значит, что официальным работодателям нужно оформить всех, кто занят в офисе, и наладить работу с персональными данными (ПД) сотрудников. Первую задачу выполнить несложно, а как не «нарваться» на штраф Роскомнадзора, выполняя вторую? Специалисты советуют обратить внимание на 5 основных моментов (на которые «наступают» наниматели чаще всего).

Неправильные бланки и формы

Конечно, новая бумажная волокита не слишком радует. Но и пугаться раньше времени не стоит. С персональными данными сотрудников все не так сложно – надо лишь один раз организовать правильную систему действий и придерживаться ее. Первое правило такой организации гласит: не верьте всему, что найдете в интернете. Далеко не каждый бланк или форма окажутся оформленными правильно. Куда лучше перепроверить себя, используя методички Роскомнадзора. Особенно с двумя ключевыми документами:

  • Уведомлением об обработке данных.
  • Бланком согласия на обработку от наемных работников.

Уведомление

По регламенту каждый работодатель обязан уведомить региональное подразделение контролирующего органа (Роскомнадзор) о том, что собирается работать с данными сотрудников. Само уведомление заполняется по правилам, утвержденным в методических рекомендациях Приказом № 94 от 30.05.2017. Если в нем допущены ошибки или нужны изменения, об этом органы проверки тоже надо уведомить. Причем не позже, чем через 10 дней после первой подачи документа (уведомления). Изменения вносятся информационным письмом. Это бланковая форма, тоже есть в методических рекомендациях (2-е приложение).

Согласие

По правилам новый сотрудник должен подписать согласие на обработку данных. Оно может составляться в свободной форме, но обязательно должно содержать реквизиты, перечисленные в ст. 9 152-ФЗ (п. 4). Если в документе чего-то не хватает или он подписан позже, чем составлен трудовой договор, работодатель имеет все шансы получить штраф в размере 75 тыс. рублей.

Порядок обработки информации

Порядок работы с персональными данными устанавливается внутренним приказом (политика обработки информации). Доступ к ним должен быть ограничен (даже там, где весь штат – это руководитель, бухгалтер и несколько исполнителей). За распределение доступов, контроль своевременного возвращения копий личных документов и прочие моменты, связанные с персональными данными, должен отвечать назначенный сотрудник.

Политика обработки

Если компания не разработала или просто забыла опубликовать подробные правила работы с данными сотрудников, ей грозит штраф. Суть в том, чтобы каждый желающий мог получить информацию о том, что в организации происходит с данными сотрудников.

Публиковаться политика действий веб-студии может на ее собственном сайте (оптимальный вариант) или на другом ресурсе. Главное, чтобы во время проверки компания могла доказать, что документ открыт и может быть прочитан всеми заинтересованными лицами.

Роскомнадзор выпустил рекомендации по оформлению внутренней политики для всех работодателей. Ориентироваться лучше на них. «Рерайтинг» готовых программ конкурентов часто подводит: обнаружив любое несоответствие, контрольный орган может наложить штраф. Просто уделите этому вопросу немного времени, чтобы создать собственную политику обработки ПД с учетом специфики своей работы.

Ответственное лицо

Ответственный сотрудник назначается приказом руководителя. Обратите внимание, он не только отвечает за исполнение правил, прописанных в политике, но и:

  • подчиняется напрямую главе компании;
  • наделен полномочиями давать указания управляющим подразделениями.

Доступы

Список лиц, которые могут работать с персональными данными персонала, должен быть не только поименным. Он должен быть еще и обоснованным. То есть доступы должны иметь только те сотрудники, которым для исполнения должностных обязанностей нужна информация о других работников, являющаяся конфиденциальной. Доступы «раздаются» внутренними приказами с перечислением ф. и. о., должностей получателей, объема доступных сведений и наименований подразделений, в которых они работают (если это студия, представленная офисами в нескольких городах, например).

Хранение данных

По аналогии с офлайн-предприятиями, компании, занятые на виртуальном коммерческом поле, должны пользоваться материальными носителями данных. Это могут быть журналы, папки с личными делами работников, другие документы.

Список таких носителей (и не только офлайновых, но и цифровых) должен быть установлен внутренними правилами обработки ПД (политикой компании). Для материальных носителей (бумажных) в каждом кабинете надо определить место их защищенного хранения (сейф, металлический шкаф на ключе, запирающийся архивный блок и т. д.)

Внутренний аудит

Реализовав систему защиты конфиденциальной информации, наниматель по закону должен еще и следить за ее работоспособностью. Для этого с заданной периодичностью на предприятии проводится внутренний аудит (он нужен хотя бы для того, чтобы у проверяющих органов не было соблазна провести внешнюю проверку). Реализовать программу аудита несложно. Надо:

  • установить порядок его проведения;
  • назначить частоту контрольных проверок;
  • утвердить членов комиссии, которая будет анализировать документы.

Лишние документы в делах сотрудников

Где бы ни хранились личные дела сотрудников, не стоит в них держать копии паспортов, ИНН, СНИЛС, ОМС и других личных документов. Сразу после проведения бухгалтерских транзакций (выплата больничного, командировочных и т. д.) эти копии следует вернуть сотруднику. То же касается приема на работу: по факту оформления трудового договора все, что уже не нужно работодателю, надо из дела убрать. Иначе штраф 50 тыс. рублей.

Сотрудники не знакомы с политикой бренда в отношении персональных данных

Наконец, самое простое требование: всех, кто занят в штате, нужно ознакомить с политикой работодателя в отношении их персональных данных и их правами, гарантированными 152-ФЗ. Не просто ознакомить, а получить подтверждение тому, что они поняли всю суть. Это можно сделать двумя способами: включить соответствующие положения в трудовой договор или при приеме на работу собирать подписи на отдельном листе (лист ознакомления работников под подпись).