Роскомнадзор ищет ошибки: как избежать штрафов за обработку личных данных

Право Инструкции Актион
Взять номер паспорта работника, чтобы оформить ДМС или выписать пропуск — привычные действия, которые тем не менее могут привести к штрафам. Кто может работать с личными данными и когда нужно уведомлять Роскомнадзор об этом — в статье «Актион Кадры и HR»
Фото: Shutterstock
Фото: Shutterstock

Чиновники хотят увеличить штрафы за ошибки работодателей при работе с персональными данными. Когда изменения примут, Роскомнадзор обязательно найдет повод провести в компаниях внеплановые контрольные мероприятия. Первое, на что обратят внимание проверяющие, — ошибки в согласиях на обработку персональных данных (ПД). Рассмотрим, что проверить в этом документе уже сейчас, чтобы не оштрафовали и не выдали предписание.

Сроки хранения

Срок действия согласия на обработку персональных данных закон не устанавливает. Поэтому сотрудник и работодатель вправе сами определить и прописать, сколько будет действовать конкретное согласие на обработку ПД.

При этом на практике в согласии работодатели часто указывают, что оно действует с момента предоставления бессрочно, а сотрудник может отозвать его, если предоставит работодателю заявление об отзыве. Досрочно отозвать согласие сотрудник может и тогда, когда в согласии определен срок его действия. Ждать окончания такого срока работник не обязан. При этом после окончания срока действия согласия или после того, как сотрудник отзовет его, работодатель должен хранить документ еще три года (п. 441 Перечня, утв. приказом Росархива от 20.12.2019 № 236). Данное правило действует с 2020 года. Ранее согласие на обработку ПД должны были хранить 75 лет.