Можно ли кадровика привлечь к материальной ответственности за ошибки?
В этом вопросе нет однозначной позиции.
Позиция 1. Кадровик должен возместить работодателю ущерб в размере не более среднего месячного заработка.
Отдельные суды признают выплаты, которые работодатель должен выплатить вследствие ошибок кадровых работников, материальным ущербом. И взыскивают с кадровиков ущерб в размере среднего месячного заработка (например, Решение Геленджикского городского суда Краснодарского края от 03.09.2019 по делу № 2-1732/2019).
Но такие решения, если и принимаются, то на уровне судов первой инстанции.
Позиция 2. Привлечь кадровика к материальной ответственности нельзя.
Работник не обязан возмещать денежные средства, которые организация перечислила в пользу другого сотрудника. Суммы, выплаченные незаконно уволенному, являются мерой ответственности работодателя, которую нельзя переложить на другое лицо (Определение Второго КСОЮ от 21.07.2020 по делу № 88-14710/2020, 2-3925/2019).
Суды указывают, что даже в том случае, когда кадровик допустил ошибку при составлении приказа об увольнении, подписывает приказ руководитель организации. Именно руководитель увольняет работников, и он несет персональную ответственность за деятельность организации в силу занимаемой должности обязан контролировать действия подчиненных ему работников и правильно применять нормы трудового законодательства (Определения Второго КСОЮ от 14.05.2024 по делу № 88-10600/2024).
В этом вопросе нет однозначной позиции.
Позиция 1. Кадровик должен возместить работодателю ущерб в размере не более среднего месячного заработка.
Отдельные суды признают выплаты, которые работодатель должен выплатить вследствие ошибок кадровых работников, материальным ущербом. И взыскивают с кадровиков ущерб в размере среднего месячного заработка (например, Решение Геленджикского городского суда Краснодарского края от 03.09.2019 по делу № 2-1732/2019).
Но такие решения, если и принимаются, то на уровне судов первой инстанции.
Позиция 2. Привлечь кадровика к материальной ответственности нельзя.
Работник не обязан возмещать денежные средства, которые организация перечислила в пользу другого сотрудника. Суммы, выплаченные незаконно уволенному, являются мерой ответственности работодателя, которую нельзя переложить на другое лицо (Определение Второго КСОЮ от 21.07.2020 по делу № 88-14710/2020, 2-3925/2019).
Суды указывают, что даже в том случае, когда кадровик допустил ошибку при составлении приказа об увольнении, подписывает приказ руководитель организации. Именно руководитель увольняет работников, и он несет персональную ответственность за деятельность организации в силу занимаемой должности обязан контролировать действия подчиненных ему работников и правильно применять нормы трудового законодательства (Определения Второго КСОЮ от 14.05.2024 по делу № 88-10600/2024).
Коллеги, доброе утро!
В недавней викторине вызвал трудности вопрос касающийся обезличивания персональных данных.
Давайте разберемся подробнее:
1. Что такое обезличивание ПД?
2. Когда и какие данные необходимо обезличивать?
3. Как обезличивать?
1️⃣ Обезличивание — это форма обработки, при которой становится невозможно определить, кому принадлежат данные, без доступа к дополнительной информации. Это позволяет сохранить смысл информации, но исключает возможность идентифицировать конкретного человека (подп. 9 п. 1 ст. 3 Закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ).
Правило про необходимость обезличивания было всегда: когда данные больше не нужны, их нужно было либо уничтожить, либо обезличить (п. 7 ст. 5 Закона № 152-ФЗ). Однако долгое время обезличивали персональные данные только государственные и муниципальные органы, так как утвержденного порядка, как это делать другим операторам персданных, не было.
Ситуация изменилась с 1 сентября 2025 года. В Законе № 152-ФЗ появилась статья 13.1, которая устанавливает, как именно нужно работать с обезличенными персональными данными. В том числе — когда их нужно передавать государству, как обезличивать и кто может получить к ним доступ. К этому моменту также должны были принять специальные правила, которые обяжут всех операторов — в том числе работодателей — использовать определенные методы обезличивания. Кроме того, появились конкретные требования к обезличиванию и их придется выполнять всем.
У обезличенных персональных данных есть две сферы применения: их можно будет использовать для внутренних задач компании, но также их придется предоставить по запросу государства. Но в первую очередь речь идет не о данных сотрудников, а клиентов. Особенно, если компания работает в сфере связи, интернет-торговли и т.д. Например, Минцифры сможет запросить у компании обезличенные наборы данных для мероприятий по борьбе с терроризмом при введении режима КТО, предупреждения эпидемий и отравлений во время карантина, проведения различных исследований (постановление Правительства от 24.04.2025 № 538). Обезличенные данные также понадобятся для реализации нацпроектов, госпрограмм и приоритетных инициатив.
Всю запрошенную информацию нужно будет безвозмездно направить в федеральную информационную систему — на Единую платформу национальной системы управления данными (постановление Правительства от 28.05.2025 № 740). Чтобы предоставить данные у компании будет три рабочих дня (проект постановления Правительства).
В недавней викторине вызвал трудности вопрос касающийся обезличивания персональных данных.
Давайте разберемся подробнее:
1. Что такое обезличивание ПД?
2. Когда и какие данные необходимо обезличивать?
3. Как обезличивать?
1️⃣ Обезличивание — это форма обработки, при которой становится невозможно определить, кому принадлежат данные, без доступа к дополнительной информации. Это позволяет сохранить смысл информации, но исключает возможность идентифицировать конкретного человека (подп. 9 п. 1 ст. 3 Закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ).
Правило про необходимость обезличивания было всегда: когда данные больше не нужны, их нужно было либо уничтожить, либо обезличить (п. 7 ст. 5 Закона № 152-ФЗ). Однако долгое время обезличивали персональные данные только государственные и муниципальные органы, так как утвержденного порядка, как это делать другим операторам персданных, не было.
Ситуация изменилась с 1 сентября 2025 года. В Законе № 152-ФЗ появилась статья 13.1, которая устанавливает, как именно нужно работать с обезличенными персональными данными. В том числе — когда их нужно передавать государству, как обезличивать и кто может получить к ним доступ. К этому моменту также должны были принять специальные правила, которые обяжут всех операторов — в том числе работодателей — использовать определенные методы обезличивания. Кроме того, появились конкретные требования к обезличиванию и их придется выполнять всем.
У обезличенных персональных данных есть две сферы применения: их можно будет использовать для внутренних задач компании, но также их придется предоставить по запросу государства. Но в первую очередь речь идет не о данных сотрудников, а клиентов. Особенно, если компания работает в сфере связи, интернет-торговли и т.д. Например, Минцифры сможет запросить у компании обезличенные наборы данных для мероприятий по борьбе с терроризмом при введении режима КТО, предупреждения эпидемий и отравлений во время карантина, проведения различных исследований (постановление Правительства от 24.04.2025 № 538). Обезличенные данные также понадобятся для реализации нацпроектов, госпрограмм и приоритетных инициатив.
Всю запрошенную информацию нужно будет безвозмездно направить в федеральную информационную систему — на Единую платформу национальной системы управления данными (постановление Правительства от 28.05.2025 № 740). Чтобы предоставить данные у компании будет три рабочих дня (проект постановления Правительства).
❤1
2️⃣ Вопрос об обезличивании персональных данных для внутренних задач компании может возникнуть при работе с персональными данными уволенных работников.
По общему правилу, после увольнения сотрудника компания уничтожает данные о нем, если нет законных причин продолжать их хранить (п. 7 ст. 5 Закона № 152‑ФЗ).
НО! уничтожать или изменять кадровые документы, которые архивное законодательство требует длительно хранить, не придется. Требования по обезличиванию их не касаются. Данные и в кадровых, и в бухгалтерских системах также можно и нужно хранить, если они связаны с исполнением обязательств перед уволенным работником. Например, личные дела уволенных сотрудников подлежат хранению в архиве 50 или 75 лет в соответствии с приказом Росархива от 20.12.2019 № 236. Эти данные можно сохранять в кадровых и бухгалтерских системах для обеспечения прав бывших работников при обращении в госорганы, например в Социальный фонд России.
Однако нередко данные сотрудников остаются в других цифровых средах — базах знаний, CRM, на корпоративном портале. Удалять такие данные опасно - это может нарушить связность информации и работу внутренних систем. В этих случаях единственный законный путь — не уничтожать, а обезличить информацию — исключить возможность идентифицировать конкретного человека, но сохранить структуру и полезность массива данных.
По общему правилу, после увольнения сотрудника компания уничтожает данные о нем, если нет законных причин продолжать их хранить (п. 7 ст. 5 Закона № 152‑ФЗ).
НО! уничтожать или изменять кадровые документы, которые архивное законодательство требует длительно хранить, не придется. Требования по обезличиванию их не касаются. Данные и в кадровых, и в бухгалтерских системах также можно и нужно хранить, если они связаны с исполнением обязательств перед уволенным работником. Например, личные дела уволенных сотрудников подлежат хранению в архиве 50 или 75 лет в соответствии с приказом Росархива от 20.12.2019 № 236. Эти данные можно сохранять в кадровых и бухгалтерских системах для обеспечения прав бывших работников при обращении в госорганы, например в Социальный фонд России.
Однако нередко данные сотрудников остаются в других цифровых средах — базах знаний, CRM, на корпоративном портале. Удалять такие данные опасно - это может нарушить связность информации и работу внутренних систем. В этих случаях единственный законный путь — не уничтожать, а обезличить информацию — исключить возможность идентифицировать конкретного человека, но сохранить структуру и полезность массива данных.
3️⃣ Роскомнадзор предусмотрел пять методов обезличивания персональных данных. Именно их нужно использовать, в том числе и в кадровой работе (приказ РКН от 19.06.2025 № 140).
Введение идентификаторов. Этот метод подойдет, если данные сотрудника продолжают использоваться, но его имя должно быть скрыто. Например, в базе знаний или отчетах можно заменить Ф. И. О. сотрудника на уникальный идентификатор (например, HR-2023-017). Таблица соответствия с настоящими именами должна храниться отдельно, с ограниченным доступом. Это позволяет сохранить внутреннюю логику системы, не нарушая конфиденциальность.
Изменение состава данных. Если в документе избыточная информация, ее можно удалить или заменить. Например, оставить только название отдела без указания должности или имени. Или указать только регион проживания, а не полный адрес. Также можно заменить паспортные данные фиктивными номерами, если документ нужен только в демонстрационных или обучающих целях.
Декомпозиция. Этот способ можно применять, если в системе совмещены личные и рабочие данные. К примеру, можно разнести информацию по разным модулям: в одной части оставить должность и задачи, в другой — контакты. При этом между частями не должно быть связи, позволяющей восстановить полную картину о человеке.
Перемешивание. Используется, если система хранит большие таблицы с повторяющимися записями. Например, можно случайным образом перемешать номера телефонов, e-mail или даты рождения между строками — так, чтобы каждая строка больше не соответствовала конкретному работнику. Метод особенно полезен при подготовке данных для внутренней аналитики.
Преобразование (агрегирование). Такой метод позволяет обезличить данные, сохранив общую статистику. Например, в отчетах по текучести кадров можно указать, что уволились три специалиста 25–35 лет из IT-отдела, без указания фамилий. Или — что на позиции в «поддержке» было оформлено 12 срочных договоров за год.
Выбор метода зависит от того, где хранятся данные и зачем они нужны. В любом случае важно зафиксировать, какой метод используется, в каком случае и кто за это отвечает.
Введение идентификаторов. Этот метод подойдет, если данные сотрудника продолжают использоваться, но его имя должно быть скрыто. Например, в базе знаний или отчетах можно заменить Ф. И. О. сотрудника на уникальный идентификатор (например, HR-2023-017). Таблица соответствия с настоящими именами должна храниться отдельно, с ограниченным доступом. Это позволяет сохранить внутреннюю логику системы, не нарушая конфиденциальность.
Изменение состава данных. Если в документе избыточная информация, ее можно удалить или заменить. Например, оставить только название отдела без указания должности или имени. Или указать только регион проживания, а не полный адрес. Также можно заменить паспортные данные фиктивными номерами, если документ нужен только в демонстрационных или обучающих целях.
Декомпозиция. Этот способ можно применять, если в системе совмещены личные и рабочие данные. К примеру, можно разнести информацию по разным модулям: в одной части оставить должность и задачи, в другой — контакты. При этом между частями не должно быть связи, позволяющей восстановить полную картину о человеке.
Перемешивание. Используется, если система хранит большие таблицы с повторяющимися записями. Например, можно случайным образом перемешать номера телефонов, e-mail или даты рождения между строками — так, чтобы каждая строка больше не соответствовала конкретному работнику. Метод особенно полезен при подготовке данных для внутренней аналитики.
Преобразование (агрегирование). Такой метод позволяет обезличить данные, сохранив общую статистику. Например, в отчетах по текучести кадров можно указать, что уволились три специалиста 25–35 лет из IT-отдела, без указания фамилий. Или — что на позиции в «поддержке» было оформлено 12 срочных договоров за год.
Выбор метода зависит от того, где хранятся данные и зачем они нужны. В любом случае важно зафиксировать, какой метод используется, в каком случае и кто за это отвечает.
Что будет, если проигнорировать правила обезличивания?
Пока специальные штрафы за нарушение правил обезличивания данных предусмотрены только для государственных и муниципальных органов — от 6000 до 12 000 руб. для должностных лиц (п. 7 ст. 13.11 КоАП).
Вместе с тем есть общая норма, которая предусматривает штрафы за нарушение законодательства об обработке персональных данных (п. 1 ст. 13.11 КоАП). Поэтому штраф для компании может достигнуть 300 000 руб. и 100 000 руб. для должностного лица — директора или того лица, на которое возложили такие полномочия.
Высока вероятность, что и пункт 7 статьи 13.11 КоАП скоро будет распространяться на всех операторов персональных данных без исключения.
Пока специальные штрафы за нарушение правил обезличивания данных предусмотрены только для государственных и муниципальных органов — от 6000 до 12 000 руб. для должностных лиц (п. 7 ст. 13.11 КоАП).
Вместе с тем есть общая норма, которая предусматривает штрафы за нарушение законодательства об обработке персональных данных (п. 1 ст. 13.11 КоАП). Поэтому штраф для компании может достигнуть 300 000 руб. и 100 000 руб. для должностного лица — директора или того лица, на которое возложили такие полномочия.
Высока вероятность, что и пункт 7 статьи 13.11 КоАП скоро будет распространяться на всех операторов персональных данных без исключения.
Коллеги, в закрытом канале в сентябре опубликованы материалы:
1. По персональным данным:
❓ Являются ли ОБЕЗЛИЧЕННЫЕ данные ПЕРСОНАЛЬНЫМИ?
Ведь обезличивание данных это процесс, в результате которого информация становится НЕ ОТНОСИМОЙ ни к какому лицу.
❓ Какими МЕТОДАМИ можно обезличить персональные данные?
❓Какие новые обязанности с 1 сентября появятся у работодателей в связи с принятием Федерального закона от 08.08.2024 № 233-ФЗ?
2. О моем личном опыте проведения аудитов системы воинского учета в компаниях.
Я поделилась с подписчиками сводной таблицей о целях и содержанию журналов по воинскому учету, формами журналов, особенностями заполнения карты формы 10.
3. Информацию о том, как законно установить видеонаблюдение в организации, что включить в ЛНА о видеонаблюдении.
4. Я поделилась сводной таблицей о вариантах индексации заработной платы.
5. Опубликовала пакет шаблонов (12 документов) для оформления дисциплинарного взыскания.
6. Ответила на вопросы:
- Как привлечь работника к ограниченной материальной ответственности (МО)?
- Когда работника можно привлечь к полной МО?
- Как привлечь к полной МО?
- Как взыскать ущерб при полной коллективной МО?
✅ Если вы хотите подписаться на закрытый канал напишите мне @KornilovaS
Подробнее об условиях можно узнать здесь https://t.me/HresHdev/1069
1. По персональным данным:
❓ Являются ли ОБЕЗЛИЧЕННЫЕ данные ПЕРСОНАЛЬНЫМИ?
Ведь обезличивание данных это процесс, в результате которого информация становится НЕ ОТНОСИМОЙ ни к какому лицу.
❓ Какими МЕТОДАМИ можно обезличить персональные данные?
❓Какие новые обязанности с 1 сентября появятся у работодателей в связи с принятием Федерального закона от 08.08.2024 № 233-ФЗ?
2. О моем личном опыте проведения аудитов системы воинского учета в компаниях.
Я поделилась с подписчиками сводной таблицей о целях и содержанию журналов по воинскому учету, формами журналов, особенностями заполнения карты формы 10.
3. Информацию о том, как законно установить видеонаблюдение в организации, что включить в ЛНА о видеонаблюдении.
4. Я поделилась сводной таблицей о вариантах индексации заработной платы.
5. Опубликовала пакет шаблонов (12 документов) для оформления дисциплинарного взыскания.
6. Ответила на вопросы:
- Как привлечь работника к ограниченной материальной ответственности (МО)?
- Когда работника можно привлечь к полной МО?
- Как привлечь к полной МО?
- Как взыскать ущерб при полной коллективной МО?
✅ Если вы хотите подписаться на закрытый канал напишите мне @KornilovaS
Подробнее об условиях можно узнать здесь https://t.me/HresHdev/1069
Telegram
HRHD
‼️ Коллеги, с 1 сентября будет действовать новая стоимость подписки на закрытый канал HRHDexpert:
✅ Подписка на 3 месяца: 400 руб.в месяц, итого 1200 рублей.
Подписка на 6 месяцев: 300 руб.в месяц, итого 1800 рублей.
Это связано с тем, что новые подписчики…
✅ Подписка на 3 месяца: 400 руб.в месяц, итого 1200 рублей.
Подписка на 6 месяцев: 300 руб.в месяц, итого 1800 рублей.
Это связано с тем, что новые подписчики…
❤1🔥1
Коллеги, доброе утро!
Делюсь информацией если кто еще не знал 🧐
Роскомнадзор проводит мероприятия без взаимодействия с контролируемым лицом с целью проверки исполнения требований Закона о персональных данных.
Несколько моих клиентов уже получили результаты таких контрольно-надзорных мероприятий (КНМ) с требованием исправить выявленные нарушения и предоставить необходимый пакет документов.
❓Как проводятся такие мероприятия без взаимодействия с контролируемым лицом?
РКН проводит проверку общедоступных интернет ресурсов компаний.
На что хотелось бы обратить внимание? Впервые РКН в рамках такого КНМ запрашивает документы по процедуре уничтожения и обезличивания ПД. Казалось бы при при анализе интернет ресурсов компании невозможно оценить каким образом проводятся мероприятия по обезличиванию и уничтожению ПД, а РКН просит предоставить документы где прописана система такой работы.
✅ Делаем вывод:
новые требования к обезличиванию ПД должны быть внедрены в компаниях не дожидаясь таких вот проверок. Обращаю внимание, срок предоставления ответа и документов в РКН всего 10 рабочих дней. Если система работы с ПД не была выстроена, в такой короткий срок все наверстать практически невозможно. Советую задуматься об этом уже сейчас.
❗️ в случае невыполнения оператором ПД в сроки, установленные законодательством Российской Федерации в области персональных данных, требования уполномоченного органа об уничтожении персональных данных, предусматривается административная ответственность в соответствии с ч. 5 ст. 13.11 КоАП РФ.
Делюсь информацией если кто еще не знал 🧐
Роскомнадзор проводит мероприятия без взаимодействия с контролируемым лицом с целью проверки исполнения требований Закона о персональных данных.
Несколько моих клиентов уже получили результаты таких контрольно-надзорных мероприятий (КНМ) с требованием исправить выявленные нарушения и предоставить необходимый пакет документов.
❓Как проводятся такие мероприятия без взаимодействия с контролируемым лицом?
РКН проводит проверку общедоступных интернет ресурсов компаний.
На что хотелось бы обратить внимание? Впервые РКН в рамках такого КНМ запрашивает документы по процедуре уничтожения и обезличивания ПД. Казалось бы при при анализе интернет ресурсов компании невозможно оценить каким образом проводятся мероприятия по обезличиванию и уничтожению ПД, а РКН просит предоставить документы где прописана система такой работы.
✅ Делаем вывод:
новые требования к обезличиванию ПД должны быть внедрены в компаниях не дожидаясь таких вот проверок. Обращаю внимание, срок предоставления ответа и документов в РКН всего 10 рабочих дней. Если система работы с ПД не была выстроена, в такой короткий срок все наверстать практически невозможно. Советую задуматься об этом уже сейчас.
❗️ в случае невыполнения оператором ПД в сроки, установленные законодательством Российской Федерации в области персональных данных, требования уполномоченного органа об уничтожении персональных данных, предусматривается административная ответственность в соответствии с ч. 5 ст. 13.11 КоАП РФ.
Четыре вида ответственности за нарушения при обработке персональных данных:
1️⃣ Дисциплинарная ответственность
Если сотрудник имел доступ к персональным данным и незаконно разгласил их третьим лицам, его можно уволить за разглашения охраняемой законом тайны. Такие требования установлены в подп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК.
2️⃣ Материальная ответственность
Если сотрудник нарушил правила работы с персональными данными и причинил компании ущерб. То, работодатель, на основании статей 238, 243 ТК может взыскать с нарушителя ущерб в размере среднего заработка. Если сотрудник умышленно причинил ущерб, взыскание можно произвести в полном размере.
3️⃣ Административная ответственность
Роскомнадзор привлекает к ответственности, например, если персональные данные обрабатывают без письменного согласия сотрудника. Также, за нарушение правил размещения и обновления биометрических персданных. Например, в единой биометрической системе. Штраф предусмотрен за каждое нарушение отдельно по статьям 13.11, 13.11.3 КоАП.
4️⃣ Уголовная ответственность
Предусмотрена в случае незаконного сбора, или распространения сведений о частной жизни сотрудника, которые составляют его личную или семейную тайну без его согласия. Также, если распространяли эти сведения в публичном выступлении, ст. 137 УК. Работодателям запрещено собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника. Такие требования перечислены в п. 4 ч. 1 ст. 86 ТК, ст. 10 ФЗ № 152-ФЗ.
1️⃣ Дисциплинарная ответственность
Если сотрудник имел доступ к персональным данным и незаконно разгласил их третьим лицам, его можно уволить за разглашения охраняемой законом тайны. Такие требования установлены в подп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК.
2️⃣ Материальная ответственность
Если сотрудник нарушил правила работы с персональными данными и причинил компании ущерб. То, работодатель, на основании статей 238, 243 ТК может взыскать с нарушителя ущерб в размере среднего заработка. Если сотрудник умышленно причинил ущерб, взыскание можно произвести в полном размере.
3️⃣ Административная ответственность
Роскомнадзор привлекает к ответственности, например, если персональные данные обрабатывают без письменного согласия сотрудника. Также, за нарушение правил размещения и обновления биометрических персданных. Например, в единой биометрической системе. Штраф предусмотрен за каждое нарушение отдельно по статьям 13.11, 13.11.3 КоАП.
4️⃣ Уголовная ответственность
Предусмотрена в случае незаконного сбора, или распространения сведений о частной жизни сотрудника, которые составляют его личную или семейную тайну без его согласия. Также, если распространяли эти сведения в публичном выступлении, ст. 137 УК. Работодателям запрещено собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника. Такие требования перечислены в п. 4 ч. 1 ст. 86 ТК, ст. 10 ФЗ № 152-ФЗ.
❤2
Планирую подготовить для вас несколько публикаций по поводу правил и алгоритма уничтожения ПД, а также рассказать о том какие требования по работе с ПД необходимо соблюдать на сайте компании.
🔥4
Доброе утро! Продолжаем тему персональных данных.
Ранее в канале были публикации по теме:
https://t.me/HresHdev/859
Как получать согласие пользователей на сбор данных через сайт? Какая форма сбора персональных данных пользователей должна использоваться?
https://t.me/HresHdev/434
Что проверить на сайте компании в части работы с персональными данными.
https://t.me/HresHdev/906
https://t.me/HresHdev/879
Перечень тем по ПД которые я выкладывала в закрытом канале.
Ранее в канале были публикации по теме:
https://t.me/HresHdev/859
Как получать согласие пользователей на сбор данных через сайт? Какая форма сбора персональных данных пользователей должна использоваться?
https://t.me/HresHdev/434
Что проверить на сайте компании в части работы с персональными данными.
https://t.me/HresHdev/906
https://t.me/HresHdev/879
Перечень тем по ПД которые я выкладывала в закрытом канале.
Telegram
HRHD
Друзья, на канале https://t.me/hrhd_education я получила вопрос:
Как получать согласие пользователей на сбор данных через сайт? Какая форма сбора персональных данных пользователей должна использоваться?
Так как тема персональных данных вышла на первый план…
Как получать согласие пользователей на сбор данных через сайт? Какая форма сбора персональных данных пользователей должна использоваться?
Так как тема персональных данных вышла на первый план…
❗️Требования Роскомнадзора к сайта ужесточились, они должны соответствовать 152-ФЗ.
✅ Давайте разберемся что проверит Роскомнадзор на вашем сайте?
1. На каком хостинге размещен сайт.
Если собираете на сайте персональные данные россиян, то сам сайт и сервер должны находиться на территории России.
2. Собираются ли файлы cookies.
Если да, должно появляться всплывающее уведомление при первом посещении сайта. В уведомлении должна быть кнопка, с помощью которой посетитель добровольно подтверждает свое согласие.
3. Подключены ли метрические системы.
Например, Яндекс Метрика или Google Analytics (подробнее об этом напишу обязательно). Сервера Google Analytics находятся в других странах, поэтому вам как оператору нужно сначала получить официальное разрешение на использование этого сервиса от РКН. Кроме разрешения важно внести пометку о трансграничной передаче данных в ваши ЛНА по персданным.
4. Есть ли формы обратной связи и согласия под ними.
На сайтов компании размещают не одну форму обратной связи. Это могут быть формы регистрации, подписки на рассылку, отклика на вакансию, оформления заказа, классические формы — например, для обратного звонка менеджера. Согласие на обработку ПДн важно разместить под каждой такой формой.
5. Размещена ли в свободном доступе политика обработки персональных данных.
Это основной документ, который регулирует то, каким образом вы собираете, обрабатываете и защищаете личные данные пользователей. Политика должна находиться в открытом доступе и на видном месте.
6. Подано ли уведомление в РКН.
Ведомство проверяет, подавал ли владелец сайта уведомление о том, что он собирает и обрабатывает личные данные. Эту информацию берут в реестре операторов ПДн.
✅ Давайте разберемся что проверит Роскомнадзор на вашем сайте?
1. На каком хостинге размещен сайт.
Если собираете на сайте персональные данные россиян, то сам сайт и сервер должны находиться на территории России.
2. Собираются ли файлы cookies.
Если да, должно появляться всплывающее уведомление при первом посещении сайта. В уведомлении должна быть кнопка, с помощью которой посетитель добровольно подтверждает свое согласие.
3. Подключены ли метрические системы.
Например, Яндекс Метрика или Google Analytics (подробнее об этом напишу обязательно). Сервера Google Analytics находятся в других странах, поэтому вам как оператору нужно сначала получить официальное разрешение на использование этого сервиса от РКН. Кроме разрешения важно внести пометку о трансграничной передаче данных в ваши ЛНА по персданным.
4. Есть ли формы обратной связи и согласия под ними.
На сайтов компании размещают не одну форму обратной связи. Это могут быть формы регистрации, подписки на рассылку, отклика на вакансию, оформления заказа, классические формы — например, для обратного звонка менеджера. Согласие на обработку ПДн важно разместить под каждой такой формой.
5. Размещена ли в свободном доступе политика обработки персональных данных.
Это основной документ, который регулирует то, каким образом вы собираете, обрабатываете и защищаете личные данные пользователей. Политика должна находиться в открытом доступе и на видном месте.
6. Подано ли уведомление в РКН.
Ведомство проверяет, подавал ли владелец сайта уведомление о том, что он собирает и обрабатывает личные данные. Эту информацию берут в реестре операторов ПДн.
✅ Какие документы необходимо разместить на сайте чтобы успешной пройти проверку РКН:
1. Форму-согласие на использование файлов cookies.
При первом посещении сайта, независимо от того, на какую страницу зашел пользователь, ему должна быть показана форма согласия на использование файлов cookies.
2. Политику обработки персональных данных.
В этом документе подробно расписывается, как вы обрабатываете и защищаете личную информацию, какие есть права у субъекта ПДн и какие обязанности у вас как оператора. В этом же документе должны быть сведения о сборе cookies и метрических программах. Ссылку на политику размещают в «подвале» сайта, можно разместить под формами обратной связи.
3. Согласие на обработку персональных данных.
Напомним, что размещать согласие рекомендуется под каждой формой обратной связи. С помощью такого согласия пользователь разрешает владельцу сайта сбор и обработку его данных. Также под формой можно дать ссылку на договор-оферты. Предустановленные галочки в таких чек-боксах не допускаются — галочку посетитель должен проставить сам. Важно не путать: согласие, политика об обработке ПДн, договор-оферта — всё это разные документы и правила оформления для них различаются.
4. Согласие на получение рекламной рассылки. Это необходимо если собранные данные используются для рекламных уведомлений (SMS, email и т.д.).
5. Пользовательское соглашение, которое определяет правила использования сайта, условия регистрации, права и обязанности сторон.
6. Информацию в «подвале» сайта.
Часто внизу сайта размещается ссылка на политику обработки ПДн, договор оферты, реквизиты компании и другие важные документы. Нижний раздел сайта виден всегда, на какой бы странице посетитель не оказался. Это дает возможность в любой момент посмотреть документы — не должно быть так, что пользователь часами «ходит» по вашему сайту в поиске информации.
❗️Доработка сайта — это не всё. Не забудьте составить все необходимы ЛНА, подать уведомление в РКН, назначить ответственного и обучить сотрудников. Это убережет от штрафных санкций.
1. Форму-согласие на использование файлов cookies.
При первом посещении сайта, независимо от того, на какую страницу зашел пользователь, ему должна быть показана форма согласия на использование файлов cookies.
2. Политику обработки персональных данных.
В этом документе подробно расписывается, как вы обрабатываете и защищаете личную информацию, какие есть права у субъекта ПДн и какие обязанности у вас как оператора. В этом же документе должны быть сведения о сборе cookies и метрических программах. Ссылку на политику размещают в «подвале» сайта, можно разместить под формами обратной связи.
3. Согласие на обработку персональных данных.
Напомним, что размещать согласие рекомендуется под каждой формой обратной связи. С помощью такого согласия пользователь разрешает владельцу сайта сбор и обработку его данных. Также под формой можно дать ссылку на договор-оферты. Предустановленные галочки в таких чек-боксах не допускаются — галочку посетитель должен проставить сам. Важно не путать: согласие, политика об обработке ПДн, договор-оферта — всё это разные документы и правила оформления для них различаются.
4. Согласие на получение рекламной рассылки. Это необходимо если собранные данные используются для рекламных уведомлений (SMS, email и т.д.).
5. Пользовательское соглашение, которое определяет правила использования сайта, условия регистрации, права и обязанности сторон.
6. Информацию в «подвале» сайта.
Часто внизу сайта размещается ссылка на политику обработки ПДн, договор оферты, реквизиты компании и другие важные документы. Нижний раздел сайта виден всегда, на какой бы странице посетитель не оказался. Это дает возможность в любой момент посмотреть документы — не должно быть так, что пользователь часами «ходит» по вашему сайту в поиске информации.
❗️Доработка сайта — это не всё. Не забудьте составить все необходимы ЛНА, подать уведомление в РКН, назначить ответственного и обучить сотрудников. Это убережет от штрафных санкций.
✅ АЛГОРИТМ ДЕЙСТВИЙ ПО УНИЧТОЖЕНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ:
1️⃣ Комиссия передает носители персональных данных сотруднику, который ответственен за уничтожение документов. Такой сотрудник обязан уничтожить персональные данные в присутствии членов комиссии.
2️⃣ Выделить отдельное помещение, в котором будут уничтожать персональные данные. Чтобы уничтожить ПД, нужно физически уничтожить документ с такими данными.
3️⃣ Если ПД хранятся в электронном виде, есть два варианта как поступить: либо стереть данные с носителя информации, либо уничтожить сам носитель информации (п.8 ст.3 ФЗ от 27.07.2006 г.№152-ФЗ).
4️⃣ После уничтожения носителей с ПД нужно подготовить акт об уничтожении ПД, если обрабатывали их на бумаге. Если вы использовали автоматизированную программу для обработки ПД, то необходимо сделать выгрузку из журнала регистрации событий. Она может быть приложением к акту в тех случаях, если данные хранятся на бумаге и в информационной системе (п.1,2 и 7 Требований, утв. приказом Роскомнадзора от 28.10.2022 №179).
5️⃣ Акт об уничтожении ПД нужно составить в произвольном виде в бумажной или электронной форме. Укажите в нем: наименование и адрес работодателя, компания которая обрабатывала данные по вашему поручению, ФИО сотрудника, ФИО и должности членов комиссии, перечень категорий ПД, причину, способ и дату уничтожения ПД, а также наименование материальных носителей или информационной системы, где были данные сотрудника. Подпишите акт у членов комиссии (п.3 Требований утв. приказом Роскомнадзора от 28.10.2022 №179).
6️⃣ Если акт оформлен на бумаге, его необходимо заверить подписью членов комиссии, если в электронном – подписать усиленной квалифицированной электронной подписью, если в ЛНА не установлен другой порядок (п.4 Требований, утв. приказом Роскомнадзора от 28.10.2022 г.№179).
7️⃣ В выгрузке из журнала регистрации событий в информационной системе ПД укажите: ФИО сотрудника, чьи ПД были уничтожены, перечень категорий ПД, наименование информационной системы ПД, причину и дату уничтожения ПД (п.5 Требований, утв. приказом Роскомнадзора от 28.10.2022 № 179).
1️⃣ Комиссия передает носители персональных данных сотруднику, который ответственен за уничтожение документов. Такой сотрудник обязан уничтожить персональные данные в присутствии членов комиссии.
2️⃣ Выделить отдельное помещение, в котором будут уничтожать персональные данные. Чтобы уничтожить ПД, нужно физически уничтожить документ с такими данными.
3️⃣ Если ПД хранятся в электронном виде, есть два варианта как поступить: либо стереть данные с носителя информации, либо уничтожить сам носитель информации (п.8 ст.3 ФЗ от 27.07.2006 г.№152-ФЗ).
4️⃣ После уничтожения носителей с ПД нужно подготовить акт об уничтожении ПД, если обрабатывали их на бумаге. Если вы использовали автоматизированную программу для обработки ПД, то необходимо сделать выгрузку из журнала регистрации событий. Она может быть приложением к акту в тех случаях, если данные хранятся на бумаге и в информационной системе (п.1,2 и 7 Требований, утв. приказом Роскомнадзора от 28.10.2022 №179).
5️⃣ Акт об уничтожении ПД нужно составить в произвольном виде в бумажной или электронной форме. Укажите в нем: наименование и адрес работодателя, компания которая обрабатывала данные по вашему поручению, ФИО сотрудника, ФИО и должности членов комиссии, перечень категорий ПД, причину, способ и дату уничтожения ПД, а также наименование материальных носителей или информационной системы, где были данные сотрудника. Подпишите акт у членов комиссии (п.3 Требований утв. приказом Роскомнадзора от 28.10.2022 №179).
6️⃣ Если акт оформлен на бумаге, его необходимо заверить подписью членов комиссии, если в электронном – подписать усиленной квалифицированной электронной подписью, если в ЛНА не установлен другой порядок (п.4 Требований, утв. приказом Роскомнадзора от 28.10.2022 г.№179).
7️⃣ В выгрузке из журнала регистрации событий в информационной системе ПД укажите: ФИО сотрудника, чьи ПД были уничтожены, перечень категорий ПД, наименование информационной системы ПД, причину и дату уничтожения ПД (п.5 Требований, утв. приказом Роскомнадзора от 28.10.2022 № 179).
👍1
✅ Продолжаем тему персональных данных.
При использовании Яндекс.метрики на сайте компании, необходимо:
1. Уведомить Роскомнадзор о том, что вы осуществляете обработку ПД, включая сбор с помощью "Яндекс.Метрика".
2. Обязательно получить согласие пользователей на обработку их ПД с использованием сookie-файлов. Ссылку на текст согласия необходимо разместить на тех страницах сайта, где осуществляется их сбор.
3. Информировать пользователей о том, что на сайте происходит обработка ПД с помощью интернет-сервисов. Реализовать это можно, например, с помощью всплывающего окна с подробной информацией об использовании сookie-файлов.
4. Дополнить документ, определяющий политику обработки ПД: указать факт использования "Яндекс.метрика", перечислить конкретные типы ПД которые обрабатываются с ее помощью, четко определить для каких целей вы обрабатываете ПД с помощью "Яндекс.Метрика".
❗️Обратите внимание!
Роскомнадзор проводит проверки сайтов в автоматическом режиме. Если вы используете на сайте "Яндекс.Метрика", а информация об этом отсутствует в политике конфиденциальности/соглашении, вы рискуете получить предписание об устранении нарушений или штраф.
При использовании Яндекс.метрики на сайте компании, необходимо:
1. Уведомить Роскомнадзор о том, что вы осуществляете обработку ПД, включая сбор с помощью "Яндекс.Метрика".
2. Обязательно получить согласие пользователей на обработку их ПД с использованием сookie-файлов. Ссылку на текст согласия необходимо разместить на тех страницах сайта, где осуществляется их сбор.
3. Информировать пользователей о том, что на сайте происходит обработка ПД с помощью интернет-сервисов. Реализовать это можно, например, с помощью всплывающего окна с подробной информацией об использовании сookie-файлов.
4. Дополнить документ, определяющий политику обработки ПД: указать факт использования "Яндекс.метрика", перечислить конкретные типы ПД которые обрабатываются с ее помощью, четко определить для каких целей вы обрабатываете ПД с помощью "Яндекс.Метрика".
❗️Обратите внимание!
Роскомнадзор проводит проверки сайтов в автоматическом режиме. Если вы используете на сайте "Яндекс.Метрика", а информация об этом отсутствует в политике конфиденциальности/соглашении, вы рискуете получить предписание об устранении нарушений или штраф.