Необходимый минимум документов по персональным данным
Каждая компания, которая имеет дело с персональными данными гражданами, обязана принять пакет документов, который подтвердит, что личные сведения правильно используются и надежно защищаются. Чтобы не получить штраф за несоблюдение закона, убедитесь, что в организации имеется необходимый минимум документов по персональным данным.
← Обратно к теме № 1 «НПА по персональным данным»
Как только в организацию трудоустраивается первый работник, компания становится оператором персональных данных. Чтобы на законной основе использовать, хранить и уничтожать личные сведения граждан, компании необходимо уведомить Роскомнадзор о намерении обрабатывать персональные данные по специальной форме. Этот документ — из первых, который готовит компания. И некоторые даже спорят, что сделать раньше: назначать ответственное лицо, которое займется подготовкой всех документов, или все-таки направить уведомление в Роскомнадзор. Не принципиально, что вы сделаете раньше, но подать уведомление вы обязаны и назначить ответственного за разработку документов по персональным данным. Если только этим не захочет заниматься руководитель. В таком случае никаких отдельных приказов о назначении издавать не придется.
В рамках этого урока мы составили для вас все необходимые документы по работе с персональными данными на предприятии. Каждый вы можете скачать на компьютер и работать с ним, как и когда вам удобно.
Уведомление Роскомнадзора о намерении обрабатывать персональные данные
Начнем с уведомления о намерении обрабатывать персональные данные. Документ утвержден приложением № 1 к Приказу Роскомнадзора от 28.10.2022 № 180. В форме указывают общие сведения об организации, цель обработки, дату начала и условие, когда обработка персональных данных прекращается.
Ниже представлен пример уведомления для компании-работодателя, которая работает с персональными данными работников исключительно с целью корректного ведения кадрового и бухгалтерского учетов.
Если у вас несколько целей, разрешено в одной форме все их перечислять и расписывать. Если вы планируете передавать персональные данные иностранным компаниям или гражданам, необходимо дополнительно заполнить и направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных. Подробнее см. самый конец материала.
Приказ о назначении лица, ответственного за работу с персональными данными
Пока Роскомнадзор изучает уведомление, готовим следующие документы. Если руководитель не собирается заниматься персональными данными, нужен приказ о назначении ответственного лица. На кого возложить обязанности, решает директор. Но это должен быть человек, который разбирается в теме. Например, начальник (специалист) отдела кадров или бухгалтер, если он занимается и бухгалтерией, и кадрами.
Форма приказа произвольная, если только в организации не принят специальный шаблон для таких распоряжений. Вот наш вариант документа, где соблюдены обязательные требования к подобного рода бумагам:
Поскольку у работника появятся новые обязанности, их следует зафиксировать в документах, в частности, в трудовом договоре. Для этого составляйте дополнительное соглашение, подписывайте у руководителя и работника, каждой стороне оставляйте по одному экземпляру. Вот как мы предлагаем составить допсоглашение к трудовому договору в связи с появлением новых обязанностей по работе с персональными данными:
Список лиц, имеющих доступ к персональным данным
Очевидно, что кроме ответственного лица, есть и другие сотрудники, которым по долгу службы нужен доступ к персональным данным. Это, к примеру, бухгалтер или юрист. Если штат большой, возможно, документы подчиненных понадобятся руководителям подразделений или медкабинета. Т. е. список лиц, которые получают доступ к персональным данным работников, в зависимости от организации, отличается. Мы покажем, как его оформить в виде распорядительного документа:
Сразу же после ознакомления с текстом приказа о списке сотрудников, имеющих доступ к личным сведениям, рекомендуем запросить от каждого перечисленного обязательство о неразглашении полученной информации. Этот документ не имеет специально утвержденной формы, его оформляют произвольно. Но так, чтобы, при необходимости, с легкостью идентифицировать гражданина, т. е. с указанием его полного имени и фамилии, паспортных данных. И обратите внимание на сами формулировки: не стоит перечислять все виды персональных данных, которые работник обязуется не разглашать. Корректнее написать «все персональные данные, к которым имею доступ».
Вот пример такого обязательства. Если понравился, берите за основу.
Положение и политика персональных данных
Переходим к документам, которые работодатель обязан подготовить для защиты персональных данных от незаконного их использования и потери. Вопросы хранения и правила корректной обработки в организации прописывают в отдельном локальном документе — положении. Это внутренний документ, который должен быть у каждого работодателя. Кроме него, каждой компании необходима политика в отношении персональных данных или ее еще называют политика конфиденциальности. Некоторые наивно полагают, что такой документ обязателен в случае, когда организация работает с персональными данными посетителей сайта (работников, клиентов, партнеров). Но политика — такой же обязательный документ, как и положение, о чем сказано в Федеральном законе от 27.07.2006 № 152-ФЗ. Кто-то объединяет их в единый документ, но юристы рекомендуют готовить отдельно положение и политику: так проще доказать, что компания выполнила требования законодательства.
Несмотря на кажущееся сходство, политика и положение имеют много различий. Для наглядности они представлены в таблице.
Суть различий | Политика | Положение |
---|---|---|
Характер документа | Внешний, к которому следует обеспечить неограниченный доступ, например, опубликовать на сайте | Внутренний, доступен только работникам организации |
Содержание | Требования в законодательстве не установлены, но имеются рекомендации Роскомнадзора | Требования оговорены в п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ |
Порядок принятия | Законодательно не установлен. На практике утверждается руководителем | Если предусмотрено ЛНА, утверждается после согласования с профсоюзом |
Требования к ознакомлению | С политикой в отношении обработки персональных данных в обязательном порядке знакомят только тех работников, кто непосредственно работает с личной информацией | С положением об обработке персональных данных, как внутренним документом, следует ознакомить всех сотрудников |
Роскомнадзор подготовил рекомендации, как составить положение и политику персональных данных. Но конкретных форм или шаблонов для этих документов нет. А поэтому внимательно изучайте закон о персональных данных и готовьте локальные нормативные акты. Наши эксперты подготовили для вас примеры обоих этих документов. Их удобно использоваться в качестве основы для собственных внутренних ЛНА.
Обратите внимание: способ ознакомления с положением и политикой немного отличается. С обоими документами допустимо знакомить с помощью отдельного листа ознакомления, а для новеньких сотрудников прописать ознакомление с положением и политикой в трудовом договоре, например. Что касается ознакомления пользователей сайта с политикой конфиденциальности организации, обычно их уведомляют о наличии такого документа и необходимости согласиться с ним до того или одновременно с тем, как граждане воспользуются ресурсом.
Рекомендуем утверждать политику и положение приказом руководителя. В качестве ориентира предлагаем бланк приказа об утверждении политики обработки персональных данных:
Согласия на обработку персональных данных
Итак, у нас есть практически все документы для работы с персональными данными. Не хватает лишь согласий работников на их предоставление. Работодатель обязан получать отдельные согласия:
- на обработку персональных данных;
- обработку персональных данных, разрешенных для распространения.
Если вы передаете личную информацию работников иностранным лицам, подготовьте еще согласие на трансграничную передачу. А если работаете с биометрическими персональными данными родственников работника, нужен отдельный документ для этих целей.
Специальной формы согласия тоже не существует. Но есть список обязательной информации, по которой идентифицируют, кто подписал документ, какие сведения о себе и кому он разрешил использовать и распространять, сколько действует согласие. Кроме того, Приказом Роскомнадзора от 24.02.2021 № 18 утверждены специальные требования к тексту согласия на обработку персональных данных, разрешенных для распространения.
Ниже представлены образцы двух документов: согласия на обработку персональных данных и согласия на обработку с целью распространения.
Напомним, что согласие следует получить до того или одновременно с тем, как организация начнет обрабатывать, хранить и защищать персональные данные работника. Его следует оформлять исключительно в письменном виде и желательно в виде отдельного документа. Исключение — если организация относится к микропредприятиям и заключает трудовой договор по типовой форме (ст. 309.2 ТК РФ). В этом документе уже содержится согласие на обработку персональных данных работника. Но для распространения и передачи его личных сведений третьим лицам все равно понадобится подготовить отдельные бумаги.
Трансграничная передача персональных данных
Пару слов о трансграничной передаче персональной информации сотрудников. Чтобы передача таких данных была законной, следует оформить несколько документов. Сначала подать специальное уведомление в Роскомнадзор.
Если ведомство разрешило передавать личную информацию в другие государства, готовьте следующий обязательный документ — согласие работника. Оно оформляется с учетом требований закона и содержит в обязательном порядке перечень данных, которые сотрудник позволяет передавать, и страну, куда они уходят.
Вопросы для самопроверки
Проверьте себя — ответьте на несколько ключевых вопросов по теме. Каждый вопрос разверните, нажав на него мышкой — и увидите правильный ответ.
-
Куда надо отправить уведомление о намерении обрабатывать персональные данные?
В Роскомнадзор. НЕ в ГИТ и НЕ в Роструд.
-
Сколько согласий надо брать у работника на обработку персональных данных?
Это зависит от целей обработки — сколько целей столько и согласий.
-
Кто должен быть ответственным за организацию обработки персональных данных?
Кого приказом директор назначит, то и будет ответственным.
-
Положение об обработке и защите персональных данных и Политика работы с персональными данными — это один и тот же документ?
Нет, это разные документы.
Далее к теме № 3 «Биометрические персональные данные» →