Все работодатели являются операторами персональных данных (ОПД). У них есть ряд обязанностей по Закону №152-ФЗ «О защите персональных данных» и Трудовому кодексу в части действий с личной информацией граждан. Одна из них — издать политику в отношении обработки персональных данных и другие локальные акты в этой сфере. Разбираемся с перечнем и содержанием документов работодателя по 152-ФЗ с учетом нового закона о персональных данных 2022 года.
Важно! Время использования типовых шаблонов по работе с персданными прошло. Все «могут быть», «какие-то мероприятия по защите персданных» и общие формулировки заменены на требование конкретизировать субъектов, персональные данные и действия под конкретные цели. Использовать типовые шаблоны с общими формулировками опасно. |
Рекомендуем разрабатывать Политику по обработке персональных данных и Положение по персданным и другие документы исключительно под свою компанию, учитывая ее специфику и бизнес-процессы. Если у вас возникнут сложности, наши эксперты помогут вам разработать документы или провести аудит составленных вами ЛНА.
Скачайте образцы документов для работы: |
|
Примерная форма политики по персданным |
|
Рекомендации Роскомнадзора по составлению политики по персданным |
Какие локальные акты по персональным данным должны быть у работодателя
Перечень и содержание конкретных документов всегда зависят от специфики деятельности организации, например:
- сколько у нее видов деятельности;
- с какими категориями граждан она работает — только работники или еще клиенты, посетители и другие физлица;
- в каком объеме организация собирает личную информацию о них;
- как она обрабатывает персональные данные (ПД) — неавтоматизированным способом или с помощью информационной системы;
- работает ли компания с информацией о гражданах самостоятельно или передала их обработку другому лицу.
Но есть ряд обязательных документов по персональным данным в организации. Это локальные нормативные акты, которые нужно принимать с учетом мнения профсоюза, и локальные акты, которые утверждаются работодателем без согласования с профсоюзом.
Таблица. Обязательные локальные акты по персональным данным согласно нормативным документам
Название | Согласование с профсоюзом (да/нет) | Нормативные требования | Краткое описание |
Политика об обработке персональных данных |
нет |
п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ |
Основополагающий документ, который объясняет принципы работы компании с личными данными клиентов, работников и других физлиц
|
Положение о персональных данных работников |
да |
Устанавливает порядок обработки, а также права и обязанности работодателя, работника в сфере защиты ПД |
|
Локальные акты по вопросам обработки персональных данных |
нет |
п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ |
Определяют для каждой цели обработки ПД:
|
Документированные процедуры по предотвращению и выявлению нарушений законодательства о ПД, устранению последствий нарушений |
нет |
п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ |
Устанавливают способы и средства защиты ПД, порядок действий при утечках личной информации и других инцидентах |
Руководитель компании самостоятельно определяет конечный перечень документов по защите персональных данных, не игнорируя законодательные требования. Например, список локальных актов для интернет-магазина, где есть наемные работники, может выглядеть так:
- политика об обработке персональных данных;
- регламент (порядок, положение) обработки ПД;
- положение об обработке персональных данных работников;
- перечень должностей сотрудников, имеющих доступ к ПД, и объем доступа;
- реестр ПД;
- положение о защите персональных данных в информационной системе — веб-сайте;
- формы согласия на обработку ПД, договора-оферты с покупателем;
- приказ о назначении ответственного за организацию обработки персональных данных.
Важно! Правила в локальных актах не могут ограничивать права субъекта ПД, а также давать оператору не предусмотренные законодательно полномочия и обязанности — п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ.
|
Как составить Политику обработки и защиты персональных данных
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к Политике обработки ПД — ст. 18.1 Закона №152-ФЗ. Документ размещают на сайте компании, если он есть. То есть в сети Интернет можно найти образцы локальных актов в сфере персональных данных, в том числе Политику оператора.
Но мы не советуем их использовать, поскольку каждая организация имеет свою специфику. То, что применимо и проверено в одной компании, может не работать в другой. И Политика обработки персональных данных изначально не будет выполняться.
Для разработки собственного документа воспользуйтесь рекомендациями Роскомнадзора и Законом №152-ФЗ. Учитывайте также Закон №266-ФЗ от 14.07.2022 о новых требованиях к работе с ПД.
Скачайте Рекомендации Роскомнадзора здесь.
Политика об обработке ПД состоит из разделов:
- Общие положения;
- Цели сбора персональных данных;
- Правовые основания обработки ПД;
- Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;
- Порядок и условия обработки ПД;
- Актуализация, исправление, удаление и уничтожение ПД.
Рассмотрим их примерное содержание.
Примерную структуру Политики по обработке ПД, скачайте по ссылке.
Прежде чем корректировать документы или разрабатывать новые под требования закона №266-ФЗ от 14.07.2022, проведите аудит. Как это сделать, узнаете на курсе.
|
Общие положения
Здесь описывают назначение документа, а также приводят основные термины и определения по ст. 3 Закона №152-ФЗ. Также в разделе приводят права, обязанности оператора и субъекта ПД.
Для описания назначения Политики можно использовать формулировку «Защита прав субъектов персональных данных при обработке их персональных данных. Установление принципов работы компании с ПД».
Обратите внимание! При описании обязанностей оператора по обработке персональных данных не забудьте про новые требования по ст. 1 закона 266-ФЗ:
|
Цели сбора персональных данных
В этом разделе указывают, для чего оператору нужна личная информация физических лиц: работников, клиентов, посетителей. Цели обработки определяют исходя из видов деятельности компании и ИП по учредительным документам, их бизнес-процессов, требований законодательства.
Важно! Обработка ПД должна ограничиваться достижением конкретных, заранее определенных целей (ст. 5 Закона №152-ФЗ). Оператор не может требовать от физического лица избыточную личную информацию, которая не связана с исполнением условий договора с ним или законодательных требований.
Например, информация о вероисповедании работника не нужна для ведения кадрового учета. Адреса e-mail или страницы в соцсетях нельзя требовать как обязательные сведения при оказании услуг по ремонту мебели. |
Некоторые компании при описании целей ограничиваются одним предложением «Организация собирает и использует персональные данные для своей уставной деятельности и выполнения требований законодательства РФ». Это универсальная формулировка, но к ней могут быть претензии у тех же субъектов ПД. Оператор нужно будет доказывать, что он не собирает избыточную личную информацию.
Правовые основания обработки персональных данных
Здесь указывают законы и нормативные акты, в соответствии с которыми нужна личная информация граждан при осуществлении определенного вида деятельности. Например, сведения о работниках собирают по требованиям Трудового кодекса, Налогового кодекса, законов о социальном страховании и бухгалтерском учете, нормативных актов по воинскому учету.
Также правовым основанием могут служить уставные документы оператора, договор между ним и клиентом, согласие на обработку персональных данных.
Обратите внимание! Закон №152-ФЗ к правовым основаниям обработки ПД не относится. Он описывает требования к самой процедуре. |
Объем и категории обрабатываемых ПД, категории субъектов ПД
Здесь указывайте группы физических лиц, с которыми вы взаимодействуете, и чьи данные собираете. Субъектами персональных данных могут быть:
- работники;
- посетители компании;
- клиенты;
- представители контрагентов;
- подрядчики — ИП и самозанятые.
Важно! Новый закон о защите персональных данных 2022 года ввел требование об указании категорий субъектов ПД и категорий ПД в уведомлении Роскомнадзора по каждой цели обработки — ч. 3.1 ст. 22 Закона №152-ФЗ в редакции с 01.09.2022. |
Например, по категории «посетители организации» указывайте как такие группы ПД, как Ф.И.О., паспортные данные, биометрические данные (если используете видеокамеры на входе).
Порядок и условия обработки персональных данных
В этом разделе подробно опишите:
- перечень действий с персональными данными (сбор, передача третьим лицам, хранение и другое);
- способы обработки (например, автоматизирования или без источников автоматизации);
- сроки совершения действий с ПД;
- условия передачи ПД третьим лицам;
- сведения о соблюдении требований конфиденциальности;
- условия и сроки хранения ПД.
Оператор имеет право поручить обработку персональных данных другому лицу по договору. Но это не избавляет его от ответственности перед субъектом ПД.
Если вы передаете личную информацию клиентов третьим лицам, опишите в этом разделе названия и местонахождение этих лиц. Например, ИП поручил ведение учета бухгалтерии на аутсорсинге. В этом случае он указывает как Центр обработки персональных данных (ЦОД) компанию-подрядчика.
Здесь же отразите случаи, когда передача ПД происходит без согласия субъекта. Это ситуации выполнения требований законодательства: направление сведений в пенсионный фонд, военкомат, налоговую инспекцию, взаимодействие с органами дознания и другое.
Актуализация, исправление, удаление и уничтожение ПД
По общему правилу обработка персональных данных должна быть прекращена после достижения указанных целей обработки, отзыва согласия субъектом ПД, а также при выявлении неправомерной обработки — ст. 21 Закона №152-ФЗ. С 1 сентября 2022 года установлен срок в 10 рабочих дней на эту процедуру при обращении гражданина. Это тоже нужно отразить в Политике.
Важно! Роскомнадзор рекомендует документировать уничтожение персональных данных. Чаще всего оформляют соответствующий акт или делают запись в соответствующем Журнале. Форму акта, Журнала и порядок их заполнения оператор определяет самостоятельно. |
Что обязательно включить в политику по обработке персональных данных в связи с новыми требованиями закона 266-ФЗ, подскажем на нашем курсе. |
Что писать в Положении о защите персональных данных работников
При разработке локального нормативного акта руководствуйтесь требованиями главы 14 ТК РФ и Законом №152-ФЗ. Учитывайте также следующие особенности нормативного регулирования трудовых отношений:
- Обработка персональных данных работников может проходить только на территории РФ, поскольку действие Трудового кодекса не распространяется за пределы страны. Все действия с ПД должны быть обусловлены нормативными требованиями, содействием профессиональному развитию сотрудника, обеспечением его личной безопасности, контролем за выполняемой работой и сохранностью имущества работодателя.
- Всю личную информацию о работнике нужно получать только у него самого. Запрашивать ее у третьих лиц можно при условии уведомления и письменного согласия сотрудника.
- Специальные категории ПД работника (ст. 10 Закона №152-ФЗ) по общему правилу обрабатывать запрещено, если иное не указано в законодательстве. Например, информацию о состоянии здоровья сотрудника можно получать только в связи с установлением медицинских противопоказаний к определенной трудовой деятельности.
- Обработка ПД работников часто попадает под условия обязательного раскрытия информации в соответствии с федеральными законами: передача отчетности в ФНС, внебюджетные фонды и тому подобное. Все случаи передачи персональных данных третьим лицам нужно указать в Положении, чтобы сотрудник имел полную информацию о действиях с его данными.
Важно! Положение о защите персональных данных работников 2022 — обязательный локальный нормативный акт, от разработки которого освобождены только работодатели-физические лица без статуса ИП, а также микропредприятия. Но все условия обработки ПД работника они должны указать в трудовом договоре.
|
Как разработать локальные акты по процедурам предотвращения нарушений законодательства при работе с ПД
Средства обеспечения безопасности персональных данных зависят от способа их обработки:
- автоматизированного;
- без использования средств автоматизации;
- смешанного.
Для каждого способа оператор должен определить угрозы безопасности ПД, организационные и технические меры по обеспечению безопасности ПД, средства защиты информации, правила доступа к ПД, а также другие правила по ч. 2 ст. 19 Закона №152-ФЗ. По сути, в этой норме перечислено, что должно содержаться в локальных актах организации по предотвращению нарушений законодательства.
Что еще нужно знать работодателю про документы по персональным данным
Оператор должен ознакомить работников, которые обрабатывают ПД, с требованиями законодательства и локальных актов, провести обучение в этой сфере — ст. 18.1 Закона №152-ФЗ. Политика обработки персональных данных должна быть доступна неограниченному кругу лиц.
По требованию Роскомнадзора оператор обязан представить свои локальные акты в области обработки персональных данных.
За невыполнение обязанности по опубликованию Политики обработки персональных даных организацию привлекут к административной ответственности по ст. 13.11 КоАП РФ. Штраф за это нарушение для юрлица составляет от 30 000 до 60 000 рублей.
Разобраться с новыми требованиями закона к работе с персональными данными, провести аудит документов на соответствие новым требованиям и внести корректировки в политику об обработке персональных данных, в положении о персданных и другие документы поможет наш курс.
|
Топ-5 документов по персональным данным, которые скачивают ваши коллеги: |
|
Бланк приказа о назначении ответственного за обработку персданных |
|
Образец положений согласия на распространение персданных |
|
Пример нового согласия на обработку персданных
|
|
Таблица изменений в работе с персданными на 2022-2023 гг. |
|
Чек-лист для аудита документов по персданным
|