Документы положения инструкции об обработке персональных данных

Заполните форму ниже, чтобы продолжить.

Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .

Заполните форму ниже, чтобы продолжить.

Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .

Узнайте, какие правовые риски угрожают вашему сайту!

В рабочее время перезвоним
в течение 15 минут!

LegalBox

Статья

Персональные данные

Документы на обработку персональных данных
для сайта и организации

1) для защиты от штрафов (до 6 580 000 ₽ с 27.03.2021 г.);
2) для успешного прохождения проверок и профилактических визитов Роскомнадзора;
3) для соответствия новым требованиям Закона №152-ФЗ (от 01.09.2022 г.
и
01.03.2023 г.), в частности:

  • требования к согласиям на обработку ПДн;
  • требования к политике конфиденциальности и локальным актам;
  • требования к сроку реагирования на запросы субъектов;
  • требования к поручению обработки ПДн;
  • требования к уведомлению Роскомнадзора об обработке ПДн;
  • требования к трансграничной передачи;
  • требования к оценке степени вреда и уничтожению ПДн.

На этой странице вы сможете найти перечень необходимых документов для соответствия требованиям Федерального закона №152-ФЗ «О персональных данных» и прохождения проверок Роскомнадзора.

Поможем бизнесу выполнить новые требования 152-ФЗ

Напишите нам, мы свяжемся с вами
и ответим на все ваши вопросы!

Наименование документа

Основание

1

Акт о выявлении нарушений в сфере защиты персональных данных

ч. 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.

2

Акт об уничтожении машинных носителей персональных данных

ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.; п. 5 приказа ФСБ № 378 от 10.07.14 г.; п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г.

3

Акт об уничтожении персональных данных

п.2 приказа Роскомнадзора № 179 от 28.10.22 г.

4

Акт определения необходимого уровня защищенности информационной системы персональных данных

ч. 9 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

5

Акт оценки вреда, который может быть причинен субъекту персональных данных

ч. 5 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

6

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

п. 2 приложения к постановлению Правительства № 1119 от 01.11.12 г.; п. 9 приказа ФСБ № 378 от 10.07.14 г.

7

Журнал сдачи и приема под охрану помещений

п. 2 приложения к постановлению Правительства № 1119, п. 8.12 приказа ФСТЭК № 21 от 18.02.13 г.; п. 6 приказа ФСБ № 378 от 10.07.14 г.

8

Журнал учета лиц, допущенных к работе с персональными данными в информационных системах

ч. «в» п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г.; п. 13 постановления Правительства № 687 от 08.09.08 г.

9

Журнал учета машинных носителей персональных данных

ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.; п. 5 приказа ФСБ № 378 от 10.07.14 г.; п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г.

10

Журнал учета мероприятий по контролю выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн

п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

11

Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания АРМ выполнения профилактических работ

п. 6 приказа ФСБ № 378 от 10.07.14 г.

12

Журнал учета обращений субъектов ПДн

п. 1 ст. 14 и ч. 3 п. 4 ст. 22.1. ФЗ № 152-ФЗ от 27.07.06 г.

13

Журнал учета процедур резервного копирования

8.5 приказа ФСТЭК № 21 от 18.02.13 г.

14

Журнал учета средств защиты информации

п. 4 приказа ФСБ № 378 от 10.07.14 г.

15

Журнале учета прохождения первичного инструктажа работниками, допущенными к работе с персональными данными

ч. 6 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

16

Заявление о предоставлении выписки из реестра операторов

Приказ Роскомнадзора № 94 от 30.05.17 г.

17

Инструкция администратора информационной безопасности

п. 14 приложения к постановлению Правительства № 1119 от 01.11.12 г.

18

Инструкция ответственного за организацию обработки персональных данных

ч. 1 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

19

Инструкция по применению антивирусных средств защиты

п. 8.6 приказа ФСТЭК № 21 от 18.02.13 г.;

20

Инструкция по работе с машинными носителями, содержащими персональные данные

ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.; п. 5 приказа ФСБ № 378 от 10.07.14 г.; п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г.

21

Инструкция по учету лиц, допущенных к работе с персональными данными

ч. «в» п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г.; п. 13 постановления Правительства № 687 от 08.09.08 г.

22

Инструкция по физической охране и контролю доступа в помещения

п. 8.2 приказа ФСТЭК № 21 от 18.02.13 г.; п. 13 постановления Правительства № 687 от 08.09.08 г.

23

Инструкция работников обслуживающих информационные системы персональных данных

ч. 2 и 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

24

Инструкция по проведению инструктажа работников, допущенных к работе с персональными данными

ч. 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

25

Лист ознакомления

ст. 22 ТК

26

Матрица доступа к ИСПДн

п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.2 приказа ФСТЭК № 21 от 18.02.13 г.

27

Обязательство о неразглашении персональных данных работников

ст. 7 ФЗ № 152-ФЗ от 27.07.06 г.

28

Отзыв согласия на обработку персональных данных

п. 2 ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

29

Отказ от согласия на обработку персональных данных

п. 1 ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.;

30

План контроля выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн

п. 3 ст. 18.1 и п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

31

Политика конфиденциальности персональных данных пользователей сайта

ст. 7 и п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

32

Политика оператора в отношении обработки персональных данных

п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

33

Положение о комиссии по обеспечению безопасности персональных данных

п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 постановления Правительства № 687 от 08.09.08 г.

34

Положение о парольной защите при обработке персональных данных

п. 8.1 и 8.11 приказа ФСТЭК № 21 от 18.02.13 г.

35

Положение о порядке уничтожения персональных данных

ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г., п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.; п. 5 приказа ФСБ№ 378 от 10.07.14 г.; п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г., п.2 приказа Роскомнадзора № 179 от 28.10.22 г.

36

Положение об обработке персональных данных

ч. 3 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

37

Положение об организации видеонаблюдения

п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г.

38

Положение об ответственности работников, допущенных к обработке персональных данных

ст. 90 ТК

39

Правила выявления инцидентов информационной безопасности информационных систем персональных данных

п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.

40

Правила оборудования помещений используемых для обработки персональных данных

ч. 8 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.12 приказа ФСТЭК № 21 от 18.02.13 г., п. 6 приказа ФСБ № 378 от 10.07.14 г.

41

Правила оценки вреда, который может быть причинен субъекту персональных данных

ч. 5 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

42

Правила рассмотрения обращений субъектов персональных данных

п. 1 ст. 14 и ч. 3 п. 4 ст. 22.1. ФЗ № 152-ФЗ от 27.07.06 г.

43

Приказ о назначении администратора информационной безопасности

п. 14 приложения к постановлению Правительства № 1119 от 01.11.12 г.

44

Приказ о назначении ответственного за организацию обработки персональных данных

ч. 1 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

45

Приказ о создании комиссии по уничтожению персональных данных

ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г., п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.; п. 5 приказа ФСБ № 378 от 10.07.14 г.; п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г., п.2 приказа Роскомнадзора № 179 от 28.10.22 г.

ч. 3 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

46

Приказ об утверждении комиссии по обеспечению безопасности персональных данных

п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 постановления Правительства № 687 от 08.09.08 г.

47

Приказ об утверждении локальных нормативных актов

п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

48

Приказ об утверждении перечня должностей работников, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения трудовых обязанностей

п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.2 приказа ФСТЭК № 21 от 18.02.13 г.

49

Приказ об утверждении политики оператора в отношении обработки персональных данных

п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

50

Приказ об утверждении списка помещений, предназначенных для обработки персональных данных

ч. 8 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.12 приказа ФСТЭК № 21 от 18.02.13 г., п. 6 приказа ФСБ № 378 от 10.07.14 г.

51

Протокол заседания комиссии по обеспечению безопасности персональных данных

п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 постановления Правительства № 687 от 08.09.08 г.

52

Регламент резервного копирования и восстановления информации в ИСПДн

8.5 приказа ФСТЭК № 21 от 18.02.13 г.

53

Согласие на обработку персональных данных

ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

54

Согласие на обработку персональных данных несовершеннолетнего

ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

55

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения

ст. 9 и 10.1 ФЗ № 152-ФЗ от 27.07.06 г.

56

Согласие на передачу персональных данных работника третьей стороне

ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

57

Согласие на получение персональных данных от третьих лиц

ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

58

Согласие сотрудника на осуществление видеонаблюдения на рабочем месте

ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

59

Уведомление о намерении осуществлять обработку персональных данных

Приказ Роскомнадзора № 180 от 28.10.22

60

Уведомление о прекращении обработки персональных данных

Приказ Роскомнадзора № 180 от 28.10.22

61

Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных

Приказ Роскомнадзора № 180 от 28.10.22

Положение о персональных данных работников — образец 2023 года вы найдете в этой статье — должно быть обязательно включено в структуру кадрового документооборота фирмы, имеющей наемных сотрудников. Каковы нюансы составления этого источника? Для чего нужно положение о работе с персональными данными работников? Рассмотрим ответы на эти и другие вопросы, а также приведем образец заполнения такого положения.

Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.

Что такое персональные данные

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в «КонсультантПлюс». Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото, например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Как составить согласие на обработку персональных данных, смотрите здесь.

См. также «Пропуск с фото может повлечь штраф за персональные данные».

Для чего нужно положение о работе с персональными данными

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников — посредством издания документов, определяющих политику предприятия в области персональных данных, локальных актов по вопросам обработки данных. При этом соответствующие документы и акты должны определять (для каждой цели обработки данных):

  • категории и перечни данных;
  • категории субъектов, в отношении которых осуществляется обработка персональных данных;
  • способы, сроки обработки, хранения данных;
  • порядок уничтожения данных при достижении целей осуществления их обработки либо при появлении иных законных оснований.

Документы и акты не могут включать норм, ограничивающих прав субъектов данных, так же, как и возлагающих на предприятие полномочия и обязанности, что не предусмотрены законом.

Отметим, что в действующих федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

ВАЖНО! С 1 сентября 2022 года у операторов персональных данных появилась новая обязанность — уведомление Роскомнадзора об установлении фактов неправомерной или случайной утечки персональных данных в течение 24 часов после инцидента (ч. 3.1 ст. 21 закона № 156-ФЗ в редакции, действующей с 01.09.2022).

Узнайте больше из специального материала о новых обязанностях операторов персональных данных.

Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты «КонсультантПлюс». Получите пробный доступ к системе и переходите в материал.

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

  • цели и задачи фирмы при работе с персональными данными;
  • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
  • описание операций с данными, практикуемых компанией;
  • способы доступа к данным, используемые в фирме;
  • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
  • права сотрудников фирмы на приобретение санкционированного доступа к данным;
  • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Персональные данные без штрафов

Время прохождения около 5 мин.


Пройти тест

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

  • устанавливающим общие положения документа;
  • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
  • определяющим перечень ключевых операций с персональными данными;
  • регламентирующим осуществление соответствующих операций;
  • определяющим порядок доступа работников фирмы и иных лиц к данным;
  • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
  • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
  • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Эксперты «КонсультантПлюс» подробно разъяснили специфику обработки персональных данных работников предприятия. Получите пробный доступ к публикации на данную тему бесплатно.

Где можно скачать образец положения об обработке персональных данных работников

Загрузить актуальный для 2023 года образец внутрикорпоративного положения об операциях с подобными данными вы можете на нашем портале, по ссылке ниже. Для вас доступен источник, соответствующий структуре, рассмотренной нами выше.

образец положения об обработке персональных данных работников

Скачать образец

Альтернативный бланк положения о персональных данных работников и образец его заполнения предоставили эксперты КонсультантПлюс. Вы можете скачать бланк и образец такого положения бесплатно по этой ссылке.

Итоги

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

  • «Воинский учет в организации — пошаговая инструкция»;
  • «Какой срок хранения документов в архиве организации».

Все работодатели являются операторами персональных данных (ОПД). У них есть ряд обязанностей по Закону №152-ФЗ «О защите персональных данных» и Трудовому кодексу в части действий с личной информацией граждан. Одна из них — издать политику в отношении обработки персональных данных и другие локальные акты в этой сфере. Разбираемся с перечнем и содержанием документов работодателя по 152-ФЗ с учетом нового закона о персональных данных 2022 года.

Важно! Время использования типовых шаблонов по работе с персданными прошло. Все «могут быть», «какие-то мероприятия по защите персданных» и общие формулировки заменены на требование конкретизировать субъектов, персональные данные и действия под конкретные цели. Использовать типовые шаблоны с общими формулировками опасно.

Рекомендуем разрабатывать Политику по обработке персональных данных и Положение по персданным и другие документы исключительно под свою компанию, учитывая ее специфику и бизнес-процессы. Если у вас возникнут сложности, наши эксперты помогут вам разработать документы или провести аудит составленных вами ЛНА.

Какие локальные акты по персональным данным должны быть у работодателя

Перечень и содержание конкретных документов всегда зависят от специфики деятельности организации, например:

  • сколько у нее видов деятельности;
  • с какими категориями граждан она работает — только работники или еще клиенты, посетители и другие физлица;
  • в каком объеме организация собирает личную информацию о них;
  • как она обрабатывает персональные данные (ПД) — неавтоматизированным способом или с помощью информационной системы;
  • работает ли компания с информацией о гражданах самостоятельно или передала их обработку другому лицу.

Но есть ряд обязательных документов по персональным данным в организации. Это локальные нормативные акты, которые нужно принимать с учетом мнения профсоюза, и локальные акты, которые утверждаются работодателем без согласования с профсоюзом.


Таблица. Обязательные локальные акты по персональным данным согласно нормативным документам

Название Согласование с профсоюзом (да/нет) Нормативные требования Краткое описание

Политика об обработке персональных данных

нет

п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ

Основополагающий документ, который объясняет принципы работы компании с личными данными клиентов, работников и других физлиц

Положение о персональных данных работников

да

п. 8 ст. 86, ст. 88 ТК РФ

Устанавливает порядок обработки, а также права и обязанности работодателя, работника в сфере защиты ПД

Локальные акты по вопросам обработки персональных данных

нет

п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ

Определяют для каждой цели обработки ПД:

  • категории и перечень ПД;
  • категории ПД;
  • способы обработки;
  • сроки обработки и хранения;
  • порядок уничтожения ПД

Документированные процедуры по предотвращению и выявлению нарушений законодательства о ПД, устранению последствий нарушений

нет

п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ

Устанавливают способы и средства защиты ПД, порядок действий при утечках личной информации и других инцидентах

Руководитель компании самостоятельно определяет конечный перечень документов по защите персональных данных, не игнорируя законодательные требования. Например, список локальных актов для интернет-магазина, где есть наемные работники, может выглядеть так:

  • политика об обработке персональных данных;
  • регламент (порядок, положение) обработки ПД;
  • положение об обработке персональных данных работников;
  • перечень должностей сотрудников, имеющих доступ к ПД, и объем доступа;
  • реестр ПД;
  • положение о защите персональных данных в информационной системе — веб-сайте;
  • формы согласия на обработку ПД, договора-оферты с покупателем;
  • приказ о назначении ответственного за организацию обработки персональных данных.

Важно! Правила в локальных актах не могут ограничивать права субъекта ПД, а также давать оператору не предусмотренные законодательно полномочия и обязанности — п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ.

Как составить Политику обработки и защиты персональных данных

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к Политике обработки ПД — ст. 18.1 Закона №152-ФЗ. Документ размещают на сайте компании, если он есть. То есть в сети Интернет можно найти образцы локальных актов в сфере персональных данных, в том числе Политику оператора.

Но мы не советуем их использовать, поскольку каждая организация имеет свою специфику. То, что применимо и проверено в одной компании, может не работать в другой. И Политика обработки персональных данных изначально не будет выполняться.

Для разработки собственного документа воспользуйтесь рекомендациями Роскомнадзора и Законом №152-ФЗ. Учитывайте также Закон №266-ФЗ от 14.07.2022 о новых требованиях к работе с ПД.

Скачайте Рекомендации Роскомнадзора здесь.

Политика об обработке ПД состоит из разделов:

  • Общие положения;
  • Цели сбора персональных данных;
  • Правовые основания обработки ПД;
  • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;
  • Порядок и условия обработки ПД;
  • Актуализация, исправление, удаление и уничтожение ПД.

Рассмотрим их примерное содержание.

Примерную структуру Политики по обработке ПД, скачайте по ссылке.

Прежде чем корректировать документы или разрабатывать новые под требования закона №266-ФЗ от 14.07.2022, проведите аудит. Как это сделать, узнаете на курсе.

Общие положения

Здесь описывают назначение документа, а также приводят основные термины и определения по ст. 3 Закона №152-ФЗ. Также в разделе приводят права, обязанности оператора и субъекта ПД.

Для описания назначения Политики можно использовать формулировку «Защита прав субъектов персональных данных при обработке их персональных данных. Установление принципов работы компании с ПД».

Обратите внимание! При описании обязанностей оператора по обработке персональных данных не забудьте про новые требования по ст. 1 закона 266-ФЗ:

  • предоставить информацию по запросу субъекта ПД в течение 10 рабочих дней;
  • сообщать через ГосСОПКУ о компьютерных инцидентах, связанных с утечкой персональных данных;
  • отвечать на запрос Роскомнадзора в течение 10 рабочих дней.

Цели сбора персональных данных

В этом разделе указывают, для чего оператору нужна личная информация физических лиц: работников, клиентов, посетителей. Цели обработки определяют исходя из видов деятельности компании и ИП по учредительным документам, их бизнес-процессов, требований законодательства.

Важно! Обработка ПД должна ограничиваться достижением конкретных, заранее определенных целей (ст. 5 Закона №152-ФЗ). Оператор не может требовать от физического лица избыточную личную информацию, которая не связана с исполнением условий договора с ним или законодательных требований. 

Например, информация о вероисповедании работника не нужна для ведения кадрового учета. Адреса e-mail или страницы в соцсетях нельзя требовать как обязательные сведения при оказании услуг по ремонту мебели.

Некоторые компании при описании целей ограничиваются одним предложением «Организация собирает и использует персональные данные для своей уставной деятельности и выполнения требований законодательства РФ». Это универсальная формулировка, но к ней могут быть претензии у тех же субъектов ПД. Оператор нужно будет доказывать, что он не собирает избыточную личную информацию.

Правовые основания обработки персональных данных

Здесь указывают законы и нормативные акты, в соответствии с которыми нужна личная информация граждан при осуществлении определенного вида деятельности. Например, сведения о работниках собирают по требованиям Трудового кодекса, Налогового кодекса, законов о социальном страховании и бухгалтерском учете, нормативных актов по воинскому учету.

Также правовым основанием могут служить уставные документы оператора, договор между ним и клиентом, согласие на обработку персональных данных.

Обратите внимание! Закон №152-ФЗ к правовым основаниям обработки ПД не относится. Он описывает требования к самой процедуре.

Объем и категории обрабатываемых ПД, категории субъектов ПД

Здесь указывайте группы физических лиц, с которыми вы взаимодействуете, и чьи данные собираете. Субъектами персональных данных могут быть:

  • работники;
  • посетители компании;
  • клиенты;
  • представители контрагентов;
  • подрядчики — ИП и самозанятые.

Важно! Новый закон о защите персональных данных 2022 года ввел требование об указании категорий субъектов ПД и категорий ПД в уведомлении Роскомнадзора по каждой цели обработки — ч. 3.1 ст. 22 Закона №152-ФЗ в редакции с 01.09.2022.

Например, по категории «посетители организации» указывайте как такие группы ПД, как Ф.И.О., паспортные данные, биометрические данные (если используете видеокамеры на входе).

Порядок и условия обработки персональных данных

В этом разделе подробно опишите:

  • перечень действий с персональными данными (сбор, передача третьим лицам, хранение и другое);
  • способы обработки (например, автоматизирования или без источников автоматизации);
  • сроки совершения действий с ПД;
  • условия передачи ПД третьим лицам;
  • сведения о соблюдении требований конфиденциальности;
  • условия и сроки хранения ПД.

Оператор имеет право поручить обработку персональных данных другому лицу по договору. Но это не избавляет его от ответственности перед субъектом ПД.

Если вы передаете личную информацию клиентов третьим лицам, опишите в этом разделе названия и местонахождение этих лиц. Например, ИП поручил ведение учета бухгалтерии на аутсорсинге. В этом случае он указывает как Центр обработки персональных данных (ЦОД) компанию-подрядчика.

Здесь же отразите случаи, когда передача ПД происходит без согласия субъекта. Это ситуации выполнения требований законодательства: направление сведений в пенсионный фонд, военкомат, налоговую инспекцию, взаимодействие с органами дознания и другое.

Актуализация, исправление, удаление и уничтожение ПД

По общему правилу обработка персональных данных должна быть прекращена после достижения указанных целей обработки, отзыва согласия субъектом ПД, а также при выявлении неправомерной обработки — ст. 21 Закона №152-ФЗ. С 1 сентября 2022 года установлен срок в 10 рабочих дней на эту процедуру при обращении гражданина. Это тоже нужно отразить в Политике.

Важно! Роскомнадзор рекомендует документировать уничтожение персональных данных. Чаще всего оформляют соответствующий акт или делают запись в соответствующем Журнале. Форму акта, Журнала и порядок их заполнения оператор определяет самостоятельно.

Что обязательно включить в политику по обработке персональных данных в связи с новыми требованиями закона 266-ФЗ, подскажем на нашем курсе.

Что писать в Положении о защите персональных данных работников

При разработке локального нормативного акта руководствуйтесь требованиями главы 14 ТК РФ и Законом №152-ФЗ. Учитывайте также следующие особенности нормативного регулирования трудовых отношений:

  1. Обработка персональных данных работников может проходить только на территории РФ, поскольку действие Трудового кодекса не распространяется за пределы страны. Все действия с ПД должны быть обусловлены нормативными требованиями, содействием профессиональному развитию сотрудника, обеспечением его личной безопасности, контролем за выполняемой работой и сохранностью имущества работодателя.
  2. Всю личную информацию о работнике нужно получать только у него самого. Запрашивать ее у третьих лиц можно при условии уведомления и письменного согласия сотрудника.
  3. Специальные категории ПД работника (ст. 10 Закона №152-ФЗ) по общему правилу обрабатывать запрещено, если иное не указано в законодательстве. Например, информацию о состоянии здоровья сотрудника можно получать только в связи с установлением медицинских противопоказаний к определенной трудовой деятельности. 
  4. Обработка ПД  работников часто попадает под условия обязательного раскрытия информации в соответствии с федеральными законами: передача отчетности в ФНС, внебюджетные фонды и тому подобное. Все случаи передачи персональных данных третьим лицам нужно указать в Положении, чтобы сотрудник имел полную информацию о действиях с его данными.

Важно! Положение о защите персональных данных работников 2022 — обязательный локальный нормативный акт, от разработки которого освобождены только работодатели-физические лица без статуса ИП, а также микропредприятия. Но все условия обработки ПД работника они должны указать в трудовом договоре.

Как разработать локальные акты по процедурам предотвращения нарушений законодательства при работе с ПД

Средства обеспечения безопасности персональных данных зависят от способа их обработки:

  • автоматизированного;
  • без использования средств автоматизации;
  • смешанного.

Для каждого способа оператор должен определить угрозы безопасности ПД, организационные и технические меры по обеспечению безопасности ПД, средства защиты информации, правила доступа к ПД, а также другие правила по ч. 2 ст. 19 Закона №152-ФЗ. По сути, в этой норме перечислено, что должно содержаться в локальных актах организации по предотвращению нарушений законодательства.

Совет

 

При разработке локальных актов руководствуются требованиями к защите ПД в информационных системах по Постановлению Правительства РФ от 01.11.2012 № 1119, а также Положением об особенностях обработки ПД без использования средств автоматизации от 15.09.2008 № 687.

Что еще нужно знать работодателю про документы по персональным данным

Оператор должен ознакомить работников, которые обрабатывают ПД, с требованиями законодательства и локальных актов, провести обучение в этой сфере — ст. 18.1 Закона №152-ФЗ. Политика обработки персональных данных должна быть доступна неограниченному кругу лиц.

По требованию Роскомнадзора оператор обязан представить свои локальные акты в области обработки персональных данных.

За невыполнение обязанности по опубликованию Политики обработки персональных даных организацию привлекут к административной ответственности по ст. 13.11 КоАП РФ. Штраф за это нарушение для юрлица составляет от 30 000 до 60 000 рублей.

Разобраться с новыми требованиями закона к работе с персональными данными, провести аудит документов на соответствие новым требованиям и внести корректировки в политику об обработке персональных данных, в положении о персданных и другие документы поможет наш курс.

Топ-5 документов по персональным данным, которые скачивают ваши коллеги:

Бланк приказа о назначении ответственного за обработку персданных

Образец положений согласия на распространение персданных

Пример нового согласия на обработку персданных

Таблица изменений в работе с персданными на 2022-2023 гг.

Чек-лист для аудита документов по персданным

Положение об обработке персональных данных

Положение о защите или обработке персональных данных работников составляют компании и ИП перед тем, как нанимать сотрудников.

Документ оформляют в свободной форме. Главное: каждый работник должен прочитать положение и подписать лист ознакомления с ним.

Положение об обработке персональных данных

Чтобы сохранить шаблон, сделайте копию в свой гугл-док: Файл → Создать копию. Или скопируйте текст и вставьте в текстовый редактор.

docx, 18 KB

Чек-листы для предпринимателей

Пошаговые инструкции по самым частым вопросам предпринимателей

Подробнее

Еще документы

Понравилась статья? Поделить с друзьями:

Это тоже интересно:

  • Доктор мом леденцы инструкция по применению для детей
  • Доктор мом для ингаляций инструкция
  • Доктор мом леденцы для горла инструкция
  • Доктор мом капли в нос инструкция
  • Доктор мом для всей семьи сироп инструкция

  • Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии