В мае Роскомнадзор получил тысячи уведомлений и собрал ошибки, которые чаще всего допускали компании в обязательных сообщениях. Разберемся как не допускать подобных ошибок.
❗️ОШИБКА 1. В бланке, сведениях об операторе и подписи
Уведомление обязательно оформить на бланке организации — оператора персональных данных или заверить печатью организации, которую проставляют на подписи руководителя или уполномоченного лица. По правилам делопроизводства, документ нужно зарегистрировать, например, в журнале исходящих документов, иметь исходящий номер и дату создания.
В поле «Наименование (фамилия, имя, отчество), адрес оператора» работодатели не полно указывают адрес: не пишут почтовый индекс, муниципальный район (для организаций районов области), улицу, номер дома, корпус — если они есть.
Наименования организации в уведомлении нередко не соответствует указанному на бланке или печати на уведомлении, сведениям в ЕГРЮЛ. Обратите внимание. Почтовый адрес — это адрес, по которому организация зарегистрирована в ЕГРЮЛ, адрес местонахождения — это адрес, по которому фактически осуществляется деятельность.
Поле «Филиалы». Здесь нужно отмечать отделения, корпуса, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, которые имеют отношение к организации и входят в ее структуру.
❗️ОШИБКА 1. В бланке, сведениях об операторе и подписи
Уведомление обязательно оформить на бланке организации — оператора персональных данных или заверить печатью организации, которую проставляют на подписи руководителя или уполномоченного лица. По правилам делопроизводства, документ нужно зарегистрировать, например, в журнале исходящих документов, иметь исходящий номер и дату создания.
В поле «Наименование (фамилия, имя, отчество), адрес оператора» работодатели не полно указывают адрес: не пишут почтовый индекс, муниципальный район (для организаций районов области), улицу, номер дома, корпус — если они есть.
Наименования организации в уведомлении нередко не соответствует указанному на бланке или печати на уведомлении, сведениям в ЕГРЮЛ. Обратите внимание. Почтовый адрес — это адрес, по которому организация зарегистрирована в ЕГРЮЛ, адрес местонахождения — это адрес, по которому фактически осуществляется деятельность.
Поле «Филиалы». Здесь нужно отмечать отделения, корпуса, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, которые имеют отношение к организации и входят в ее структуру.
Подпись. Уведомление должно подписать уполномоченное на это лицо. К ним относятся: Уполномоченным лицом является:
- единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);
- руководитель или начальник, действующий на основании положения;
- представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.
Исполнитель. Поле необходимо заполнить для обратной связи с исполнителем документа, в нем нужно указать сведения об исполнителе и всю контактную информацию.
Поле «Дата начала обработки персональных данных». Фактически это дата, которая указана в свидетельстве ИНН. Даже если уведомление подается через несколько лет после начала обработки персональных данных, дату нужно указать из свидетельства ИНН.
- единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);
- руководитель или начальник, действующий на основании положения;
- представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.
Исполнитель. Поле необходимо заполнить для обратной связи с исполнителем документа, в нем нужно указать сведения об исполнителе и всю контактную информацию.
Поле «Дата начала обработки персональных данных». Фактически это дата, которая указана в свидетельстве ИНН. Даже если уведомление подается через несколько лет после начала обработки персональных данных, дату нужно указать из свидетельства ИНН.
❗️ОШИБКА 2. В основаниях и целях обработки персональных данных
Поле «Правовое основание обработки персональных данных». Операторы не указывают соответствующие статьи, дату принятия и номера закона или иного нормативно-правового акта, регулирующих осуществляемый вид деятельности и касающегося обработки персональных данных. Часто операторы указывают только Федеральный закон № 152-ФЗ. Но этот Закон не дает правовых оснований операторам для обработки персональных данных. Закон только регулирует отношения, связанные с обработкой.
Необходимо указать все отраслевые нормативно-правовые акты, которыми руководствуется оператор, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.
Поле «Цель обработки персональных данных».
Необходимо обратиться к уставу организации, а также не забывать, что каждое юридическое лицо в обязательном порядке осуществляет бухгалтерский и кадровый учет, в рамках которого обрабатываются персональные данные работников, а также членов их семьи. Например, в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и проч.
Поле «Правовое основание обработки персональных данных». Операторы не указывают соответствующие статьи, дату принятия и номера закона или иного нормативно-правового акта, регулирующих осуществляемый вид деятельности и касающегося обработки персональных данных. Часто операторы указывают только Федеральный закон № 152-ФЗ. Но этот Закон не дает правовых оснований операторам для обработки персональных данных. Закон только регулирует отношения, связанные с обработкой.
Необходимо указать все отраслевые нормативно-правовые акты, которыми руководствуется оператор, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.
Поле «Цель обработки персональных данных».
Необходимо обратиться к уставу организации, а также не забывать, что каждое юридическое лицо в обязательном порядке осуществляет бухгалтерский и кадровый учет, в рамках которого обрабатываются персональные данные работников, а также членов их семьи. Например, в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и проч.
❗️ОШИБКА 3. В поле «Категории персональных данных»
Ошибочно указывают персональные данные конкретных физических лиц — работников, клиентов, абонентов и др.; используют фразы и др.«, «и т.п.», «другая информация», «анкетные данные». Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.
Информация, относящаяся к физическому лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Они являются материальными носителями персональных данных.
при заполнении поля для начала необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.
После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).
Ошибочно указывают персональные данные конкретных физических лиц — работников, клиентов, абонентов и др.; используют фразы и др.«, «и т.п.», «другая информация», «анкетные данные». Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.
Информация, относящаяся к физическому лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Они являются материальными носителями персональных данных.
при заполнении поля для начала необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.
После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).
❗️ ОШИБКА 4. В поле «Категории субъектов, персональные данные которых обрабатываются»
Операторы нередко указывают не все категории субъектов персональных данных, применяются фразы «и др.», «и т. п.», «другая информация», упоминаются сторонние юридические лица. Но содержание поля «вытекает» из «Цель обработки персональных данных».
Необходимо указывать категории физических лиц и виды отношений с ними. Под видами отношений РКН понимает трудовые, гражданско-правовые, договорные отношения, отношения в целях исполнения закона или любого другого нормативно-правового акта, регламентирующего обработку персональных данных согласно сфере деятельности юридического лица.
Поле «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных». Из перечня действий, указанных в требованиях ч. 3 ст. 3 Закона № 152-ФЗ, необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными. У подавляющего большинства операторов это как минимум — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение.
Операторы нередко указывают не все категории субъектов персональных данных, применяются фразы «и др.», «и т. п.», «другая информация», упоминаются сторонние юридические лица. Но содержание поля «вытекает» из «Цель обработки персональных данных».
Необходимо указывать категории физических лиц и виды отношений с ними. Под видами отношений РКН понимает трудовые, гражданско-правовые, договорные отношения, отношения в целях исполнения закона или любого другого нормативно-правового акта, регламентирующего обработку персональных данных согласно сфере деятельности юридического лица.
Поле «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных». Из перечня действий, указанных в требованиях ч. 3 ст. 3 Закона № 152-ФЗ, необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными. У подавляющего большинства операторов это как минимум — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение.
❗️ОШИБКА 5. В описании мер по защите персональных данных
В поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона „О персональных данных“» операторы копируют текст, приведенный в примерах для заполнения. Правильно: проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора.
Подраздел «средства обеспечения безопасности» — это технические меры по обеспечению безопасности персональных данных при их обработке. Содержание подраздела «правовые меры» может быть отнесено как в Поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).
Если используется электронная цифровая подпись (ЭЦП), необходимо заполнить раздел «использование шифровальных (криптографических) средств», где обязательно указать наименование, регистрационные номера и производителей используемых криптографических средств (ЭЦП), а также сведения об уровнях защиты.
Если проведена классификация информационных систем персональных данных, то необходимо в уведомлении так же указать к какому классу они относятся.
Источник: сайт Роскомнадзора
В поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона „О персональных данных“» операторы копируют текст, приведенный в примерах для заполнения. Правильно: проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора.
Подраздел «средства обеспечения безопасности» — это технические меры по обеспечению безопасности персональных данных при их обработке. Содержание подраздела «правовые меры» может быть отнесено как в Поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).
Если используется электронная цифровая подпись (ЭЦП), необходимо заполнить раздел «использование шифровальных (криптографических) средств», где обязательно указать наименование, регистрационные номера и производителей используемых криптографических средств (ЭЦП), а также сведения об уровнях защиты.
Если проведена классификация информационных систем персональных данных, то необходимо в уведомлении так же указать к какому классу они относятся.
Источник: сайт Роскомнадзора
✅ ОБРАТИТЕ ВНИМАНИЕ
Необходимо понимать разницу между уведомлением и информационным письмом, которое направляется для внесения изменений в реестр операторов персональных данных.
В информационном письме обязательными для заполнения являются поля:
1️⃣ «Наименование оператора»;
2️⃣ «Сокращенное наименование оператора»;
3️⃣ «Адрес оператора» (адрес местонахождения и почтовый адрес);
4️⃣ «ИНН» и «ОРГН».
Далее в информационном письме нужно заполнять только те поля, в содержание которых нужно внести изменения.
При этом поля необходимо заполнять полностью. То есть вы должны не добавлять информацию в поле, а полностью заменить содержание поля — указать полностью новые сведения.
Необходимо понимать разницу между уведомлением и информационным письмом, которое направляется для внесения изменений в реестр операторов персональных данных.
В информационном письме обязательными для заполнения являются поля:
1️⃣ «Наименование оператора»;
2️⃣ «Сокращенное наименование оператора»;
3️⃣ «Адрес оператора» (адрес местонахождения и почтовый адрес);
4️⃣ «ИНН» и «ОРГН».
Далее в информационном письме нужно заполнять только те поля, в содержание которых нужно внести изменения.
При этом поля необходимо заполнять полностью. То есть вы должны не добавлять информацию в поле, а полностью заменить содержание поля — указать полностью новые сведения.
В закрытом канале опубликовала интересные материалы:
1️⃣ Ответила на вопросы подписчиков по персональным данным:
- Как поступить, если сотрудник отказывается дать согласие на обработку биометрических персональных данных?
- Можно ли без согласия работников установить камеры на территории организации, чтобы контролировать безопасность производства работ?
- Нужно ли брать согласие на обработку персональных данных родственников сотрудника?
2️⃣ Разместила пакет обязательных документов для работы в системе воинского учета (прием на работу военнообязанного, учетная работа по ведению воинского учета, отчетность), всего более 30 шаблонов и образцов документов.
3️⃣ Опубликовала список обязательной кадровой отчетности со сроками сдачи и пояснениями.
😲 Получилось 8 страниц ❗️
Если вы хотите присоединиться к закрытому каналу, пишите мне @KornilovaS
1️⃣ Ответила на вопросы подписчиков по персональным данным:
- Как поступить, если сотрудник отказывается дать согласие на обработку биометрических персональных данных?
- Можно ли без согласия работников установить камеры на территории организации, чтобы контролировать безопасность производства работ?
- Нужно ли брать согласие на обработку персональных данных родственников сотрудника?
2️⃣ Разместила пакет обязательных документов для работы в системе воинского учета (прием на работу военнообязанного, учетная работа по ведению воинского учета, отчетность), всего более 30 шаблонов и образцов документов.
3️⃣ Опубликовала список обязательной кадровой отчетности со сроками сдачи и пояснениями.
😲 Получилось 8 страниц ❗️
Если вы хотите присоединиться к закрытому каналу, пишите мне @KornilovaS
Проект о квотах для инвалидов в обособленных подразделениях работодателя внесли в Госдуму
Предложили устанавливать отдельные квоты для инвалидов не только филиалам и представительствам, но и другим обособленным подразделениям.
Условие – они находятся в разных регионах с головной организацией. К этим подразделениям хотят применять квоты субъектов РФ, в которых они располагаются (п. п. 1 и 2 ст. 1 проекта).
Сейчас по такому принципу квоты устанавливают именно представительствам и филиалам. Исходят из среднесписочной численности работников таких подразделений за предыдущий квартал. Остальных сотрудников учитывают при подсчете квоты для головной организации.
По мнению разработчиков проекта, изменения позволят расширить возможности для трудоустройства инвалидов. Предполагается, что поправки вступят в силу со дня официального опубликования в качестве закона (ст. 2 проекта).
Документ:
Проект Федерального закона N 944763-8
источник: Консультант Плюс
Предложили устанавливать отдельные квоты для инвалидов не только филиалам и представительствам, но и другим обособленным подразделениям.
Условие – они находятся в разных регионах с головной организацией. К этим подразделениям хотят применять квоты субъектов РФ, в которых они располагаются (п. п. 1 и 2 ст. 1 проекта).
Сейчас по такому принципу квоты устанавливают именно представительствам и филиалам. Исходят из среднесписочной численности работников таких подразделений за предыдущий квартал. Остальных сотрудников учитывают при подсчете квоты для головной организации.
По мнению разработчиков проекта, изменения позволят расширить возможности для трудоустройства инвалидов. Предполагается, что поправки вступят в силу со дня официального опубликования в качестве закона (ст. 2 проекта).
Документ:
Проект Федерального закона N 944763-8
источник: Консультант Плюс
СФР планирует обновить форму ЕФС-1, порядок ее заполнения и форматы подачи сведений
Социальный фонд хочет изменить единую форму ЕФС-1, порядок ее заполнения, а также форматы представления сведений.
Планируют такие новшества:
- в подразделе 1 переименовать поле "Статус ЗЛ" в "Код категории ЗЛ";
- в подразделе 1.2 убрать тип "Назначение выплат по ОСС". Это значит, что не придется подавать сведения о тех сотрудницах, кто уходит в декрет или в отпуск по уходу за ребенком;
- в раздел 2 ввести поле "Код подчиненности";
- в подразделе 2.1 вместо поля "в том числе на конец предыдущего отчетного периода" добавить поле "На начало отчетного периода";
ввести новые коды. К примеру, для застрахованных иностранцев хотят добавить код "МДИГ";
- расширить перечень кодов наименований должностей и профессий для ЕФС-1.
Есть и другие новшества.
Проекты проходят общественное обсуждение.
источник: Консультант Плюс
Социальный фонд хочет изменить единую форму ЕФС-1, порядок ее заполнения, а также форматы представления сведений.
Планируют такие новшества:
- в подразделе 1 переименовать поле "Статус ЗЛ" в "Код категории ЗЛ";
- в подразделе 1.2 убрать тип "Назначение выплат по ОСС". Это значит, что не придется подавать сведения о тех сотрудницах, кто уходит в декрет или в отпуск по уходу за ребенком;
- в раздел 2 ввести поле "Код подчиненности";
- в подразделе 2.1 вместо поля "в том числе на конец предыдущего отчетного периода" добавить поле "На начало отчетного периода";
ввести новые коды. К примеру, для застрахованных иностранцев хотят добавить код "МДИГ";
- расширить перечень кодов наименований должностей и профессий для ЕФС-1.
Есть и другие новшества.
Проекты проходят общественное обсуждение.
источник: Консультант Плюс
В каких ситуациях довод работника о том, что он не читал документ прежде, чем подписывать, поможет ему в споре при обжаловании последствий?
Anonymous Quiz
50%
Для суда такой довод не аргумент при любых обстоятельствах
44%
В ситуациях, когда действия работодателя в целом незаконны
6%
В ситуациях, когда работник — иностранец-ВКС
Нужно ли начислять районный коэффициент и процентную надбавку, если работник трудится в местности, где установлены доплаты, дистанционно?
Anonymous Quiz
77%
Да
19%
Нет
4%
Да, если работник письменно попросит об этом
В какой срок нужно уничтожить персональные данные кандидата, которому отказали в приеме на работу?
Anonymous Quiz
62%
В течение 30 дней
35%
В течение 10 дней
4%
В течение трех месяцев
Нужно ли начислять районный коэффициент и процентную надбавку, если работник трудится в местности, где установлены доплаты, дистанционно?
Правильный ответ 1. Районный коэффициент и процентную надбавку начисляют в зависимости от места выполнения работником трудовой функции. Где при этом находится организация неважно. Начислять доплаты нужно, в том числе, если работник трудится в местности, где установлены доплаты, дистанционно (письмо Роструда от 12.09.2023 № ПГ/18818-6-1), вахтой (ст. 302 ТК) или в обособленном структурном подразделении, расположенном в соответствующем регионе (п. 1 Обзора практики, утв. Президиумом ВС 26.02.2014).
Правильный ответ 1. Районный коэффициент и процентную надбавку начисляют в зависимости от места выполнения работником трудовой функции. Где при этом находится организация неважно. Начислять доплаты нужно, в том числе, если работник трудится в местности, где установлены доплаты, дистанционно (письмо Роструда от 12.09.2023 № ПГ/18818-6-1), вахтой (ст. 302 ТК) или в обособленном структурном подразделении, расположенном в соответствующем регионе (п. 1 Обзора практики, утв. Президиумом ВС 26.02.2014).
В какой срок нужно уничтожить персональные данные кандидата, которому отказали в приеме на работу?
Правильный ответ 1. Если кандидату отказали, его персональные данные нужно уничтожить в течение 30 дней. Это следует из ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ. Поскольку процесс найма может затянуться на несколько месяцев, укажите в политике обработки данных соискателей обоснованный срок принятия решений (например, до шести месяцев). В ходе проверки Роскомнадзор запросит доступ к системам и посмотрит, сколько хранятся несколько случайно выбранных резюме. Когда решение об отказе принято, единственная возможность сохранить контакт соискателя — получить его отдельное согласие на включение в кадровый резерв. Срок хранения данных таких кандидатов укажите в положении. Как правило, он не превышает 10 лет.
Правильный ответ 1. Если кандидату отказали, его персональные данные нужно уничтожить в течение 30 дней. Это следует из ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ. Поскольку процесс найма может затянуться на несколько месяцев, укажите в политике обработки данных соискателей обоснованный срок принятия решений (например, до шести месяцев). В ходе проверки Роскомнадзор запросит доступ к системам и посмотрит, сколько хранятся несколько случайно выбранных резюме. Когда решение об отказе принято, единственная возможность сохранить контакт соискателя — получить его отдельное согласие на включение в кадровый резерв. Срок хранения данных таких кандидатов укажите в положении. Как правило, он не превышает 10 лет.