Необходимый минимум документов по персональным данным

Навигация

← Обратно к теме № 1 «НПА по персональным данным»

Как только в организацию трудоустраивается первый работник, компания становится оператором персональных данных. Чтобы на законной основе использовать, хранить и уничтожать личные сведения граждан, компании необходимо уведомить Роскомнадзор о намерении обрабатывать персональные данные по специальной форме. Этот документ — из первых, который готовит компания. И некоторые даже спорят, что сделать раньше: назначать ответственное лицо, которое займется подготовкой всех документов, или все-таки направить уведомление в Роскомнадзор. Не принципиально, что вы сделаете раньше, но подать уведомление вы обязаны и назначить ответственного за разработку документов по персональным данным. Если только этим не захочет заниматься руководитель. В таком случае никаких отдельных приказов о назначении издавать не придется.

В рамках этого урока мы составили для вас все необходимые документы по работе с персональными данными на предприятии. Каждый вы можете скачать на компьютер и работать с ним, как и когда вам удобно.

Уведомление Роскомнадзора о намерении обрабатывать персональные данные

Начнем с уведомления о намерении обрабатывать персональные данные. Документ утвержден приложением № 1 к Приказу Роскомнадзора от 28.10.2022 № 180. В форме указывают общие сведения об организации, цель обработки, дату начала и условие, когда обработка персональных данных прекращается.

Ниже представлен пример уведомления для компании-работодателя, которая работает с персональными данными работников исключительно с целью корректного ведения кадрового и бухгалтерского учетов.

Если у вас несколько целей, разрешено в одной форме все их перечислять и расписывать. Если вы планируете передавать персональные данные иностранным компаниям или гражданам, необходимо дополнительно заполнить и направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных. Подробнее см. самый конец материала.

Приказ о назначении лица, ответственного за работу с персональными данными

Пока Роскомнадзор изучает уведомление, готовим следующие документы. Если руководитель не собирается заниматься персональными данными, нужен приказ о назначении ответственного лица. На кого возложить обязанности, решает директор. Но это должен быть человек, который разбирается в теме. Например, начальник (специалист) отдела кадров или бухгалтер, если он занимается и бухгалтерией, и кадрами.

Форма приказа произвольная, если только в организации не принят специальный шаблон для таких распоряжений. Вот наш вариант документа, где соблюдены обязательные требования к подобного рода бумагам:

Поскольку у работника появятся новые обязанности, их следует зафиксировать в документах, в частности, в трудовом договоре. Для этого составляйте дополнительное соглашение, подписывайте у руководителя и работника, каждой стороне оставляйте по одному экземпляру. Вот как мы предлагаем составить допсоглашение к трудовому договору в связи с появлением новых обязанностей по работе с персональными данными:

Список лиц, имеющих доступ к персональным данным

Очевидно, что кроме ответственного лица, есть и другие сотрудники, которым по долгу службы нужен доступ к персональным данным. Это, к примеру, бухгалтер или юрист. Если штат большой, возможно, документы подчиненных понадобятся руководителям подразделений или медкабинета. Т. е. список лиц, которые получают доступ к персональным данным работников, в зависимости от организации, отличается. Мы покажем, как его оформить в виде распорядительного документа:

Сразу же после ознакомления с текстом приказа о списке сотрудников, имеющих доступ к личным сведениям, рекомендуем запросить от каждого перечисленного обязательство о неразглашении полученной информации. Этот документ не имеет специально утвержденной формы, его оформляют произвольно. Но так, чтобы, при необходимости, с легкостью идентифицировать гражданина, т. е. с указанием его полного имени и фамилии, паспортных данных. И обратите внимание на сами формулировки: не стоит перечислять все виды персональных данных, которые работник обязуется не разглашать. Корректнее написать «все персональные данные, к которым имею доступ».

Вот пример такого обязательства. Если понравился, берите за основу.

Положение и политика персональных данных

Переходим к документам, которые работодатель обязан подготовить для защиты персональных данных от незаконного их использования и потери. Вопросы хранения и правила корректной обработки в организации прописывают в отдельном локальном документе — положении. Это внутренний документ, который должен быть у каждого работодателя. Кроме него, каждой компании необходима политика в отношении персональных данных или ее еще называют политика конфиденциальности. Некоторые наивно полагают, что такой документ обязателен в случае, когда организация работает с персональными данными посетителей сайта (работников, клиентов, партнеров). Но политика — такой же обязательный документ, как и положение, о чем сказано в Федеральном законе от 27.07.2006 № 152-ФЗ. Кто-то объединяет их в единый документ, но юристы рекомендуют готовить отдельно положение и политику: так проще доказать, что компания выполнила требования законодательства.

Несмотря на кажущееся сходство, политика и положение имеют много различий. Для наглядности они представлены в таблице.

Роскомнадзор подготовил рекомендации, как составить положение и политику персональных данных. Но конкретных форм или шаблонов для этих документов нет. А поэтому внимательно изучайте закон о персональных данных и готовьте локальные нормативные акты. Наши эксперты подготовили для вас примеры обоих этих документов. Их удобно использоваться в качестве основы для собственных внутренних ЛНА.

Обратите внимание: способ ознакомления с положением и политикой немного отличается. С обоими документами допустимо знакомить с помощью отдельного листа ознакомления, а для новеньких сотрудников прописать ознакомление с положением и политикой в трудовом договоре, например. Что касается ознакомления пользователей сайта с политикой конфиденциальности организации, обычно их уведомляют о наличии такого документа и необходимости согласиться с ним до того или одновременно с тем, как граждане воспользуются ресурсом.

Рекомендуем утверждать политику и положение приказом руководителя. В качестве ориентира предлагаем бланк приказа об утверждении политики обработки персональных данных:

Согласия на обработку персональных данных

Итак, у нас есть практически все документы для работы с персональными данными. Не хватает лишь согласий работников на их предоставление. Работодатель обязан получать отдельные согласия:

• на обработку персональных данных;
• обработку персональных данных, разрешенных для распространения.

Если вы передаете личную информацию работников иностранным лицам, подготовьте еще согласие на трансграничную передачу. А если работаете с биометрическими персональными данными родственников работника, нужен отдельный документ для этих целей.

Специальной формы согласия тоже не существует. Но есть список обязательной информации, по которой идентифицируют, кто подписал документ, какие сведения о себе и кому он разрешил использовать и распространять, сколько действует согласие. Кроме того, Приказом Роскомнадзора от 24.02.2021 № 18 утверждены специальные требования к тексту согласия на обработку персональных данных, разрешенных для распространения.

Ниже представлены образцы двух документов: согласия на обработку персональных данных и согласия на обработку с целью распространения.

Напомним, что согласие следует получить до того или одновременно с тем, как организация начнет обрабатывать, хранить и защищать персональные данные работника. Его следует оформлять исключительно в письменном виде и желательно в виде отдельного документа. Исключение — если организация относится к микропредприятиям и заключает трудовой договор по типовой форме (ст. 309.2 ТК РФ). В этом документе уже содержится согласие на обработку персональных данных работника. Но для распространения и передачи его личных сведений третьим лицам все равно понадобится подготовить отдельные бумаги.

Трансграничная передача персональных данных

Пару слов о трансграничной передаче персональной информации сотрудников. Чтобы передача таких данных была законной, следует оформить несколько документов. Сначала подать специальное уведомление в Роскомнадзор.

Если ведомство разрешило передавать личную информацию в другие государства, готовьте следующий обязательный документ — согласие работника. Оно оформляется с учетом требований закона и содержит в обязательном порядке перечень данных, которые сотрудник позволяет передавать, и страну, куда они уходят.

Вопросы для самопроверки

Проверьте себя — ответьте на несколько ключевых вопросов по теме. Каждый вопрос разверните, нажав на него мышкой — и увидите правильный ответ.

Далее к теме № 3 «Биометрические персональные данные» →