Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Юридический навигатор
  3. Взаимоотношения с государственными органами

Какие документы запросит Роскомнадзор на проверке по персданным

0
Журнал «Юридический справочник руководителя» № 4 / 2024
Юлия Жижерина
юрист по трудовому праву
Татьяна Снежкина
юрист по трудовому праву
Штрафы за неправильную обработку персональных данных растут, ответственность постоянно ужесточается (планируется введение уголовной). А это значит, что пора тщательно проверить, все ли документы в компании, касающиеся персданных, оформлены правильно. Автор подробно разъясняет, какие документы должны быть в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как их составить, чтобы избежать гигантских штрафов.

Важно понимать, что защита персональных данных является одним из основных принципов деятельности любой компании. Она требует ответственного подхода и систематической работы, ведь нарушения могут повлечь серьезные последствия для бизнеса, поэтому компаниям необходимо уделить должное внимание вопросам обработки персональных данных и подготовке к проверкам. Один из самых актуальных – ​оформление документов, которые проверяющие могут запросить при проверке. В статье остановимся на наиболее важных из них, которые чаще всего проверяющие требуют от работодателей.

Связанный материал
Персональные данные сотрудников. Что должен знать работодатель
№ 02 / 2015

См. статью «Персональные данные сотрудников. Что должен знать работодатель» в № 2’ 2015

Связанный материал
Персональные данные потребителя: новые правила
№ 06 / 2022

См. статью «Персональные данные потребителя: новые правила» в № 6’ 2022

В первую очередь в рамках проведения проверки Роскомнадзор заинтересуют общие сведения о компании, поэтому проверяющие затребуют:

  • копию устава;
  • договоры об аренде офисных помещений (рабочих мест);
  • штатное расписание;
  • локальный нормативный акт (ЛНА), устанавливающий политику в отношении обработки персональных данных, правила обработки и защиты персданных;
  • перечень лиц, имеющих доступ и непосредственно допущенных к обработке персданных;
  • согласия субъектов персданных на их обработку работодателем;
  • приказ о назначении должностного лица (уполномоченного представителя), которое обязано представлять интересы юридического лица при проведении проверки, а также о назначении ответственного за организацию обработки персданных;
  • уведомления Роскомнадзора об обработке персональных данных
  • и иные документы общего характера.

Связанный материал
Роскомнадзор придет с профилактическим визитом
№ 01 / 2023

См. статью «Роскомнадзор придет с профилактическим визитом» в № 1’ 2023

Далее подробно рассмотрим те из них, о содержании которых у проверяющих возникают вопросы чаще всего.

Приказ о назначении ответственного за организацию работы с персональными данными

Надзорный орган по традиции затребует приказ о назначении ответственного за организацию обработки персональных данных. Ведь работодатель обязан его назначить (ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», далее – ​Закон № 152‑ФЗ). Форма документа нормативно не установлена, поэтому ее можно разработать самостоятельно (Пример 1).

Связанный материал
Защита персональных данных: новые требования, обязанности и сроки
№ 09 / 2022

Читайте об изменениях в законодательстве о персданных в статье: «Защита персональных данных: новые требования, обязанности и сроки» в № 9’ 2022

Пример 1. Приказ о назначении ответственного за организацию обработки персональных данных лица
Приказ о назначении ответственного за организацию обработки персональных данных Скачать документ

Причем недостаточно только назначить ответственное за организацию обработки персданных лицо, соответствующие обязанности должны быть прописаны в его должностной инструкции (инструкции по профессии) и/или трудовом договоре. Поэтому необходимо проверить, отражены ли там обязанности, касающиеся работы с персональными данными. Ведь проверяющие непременно запросят эти документы (образец формулировки см. в Примере 2).

Связанный материал
Что относится к персональным данным: судебная практика
№ 10 / 2020

См. статью «Что относится к персональным данным: судебная практика» в № 10’ 2020

Пример 2. Формулировка для должностной инструкции и/или трудового договора ответственного за организацию обработки персональных данных

5. Работник обязан:

…5.8. Организовать разработку, принятие и актуализацию Работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

5.9. Организовать применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.10. Осуществлять внутренний контроль (аудит) за соблюдением Работодателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных и принимать меры в случае выявления нарушений.

5.11. Организовать проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых Работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных.

5.12. Доводить до сведения работников Работодателя положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

5.13. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.

ЛНА об обработке и защите персональных данных

При любой проверке должностное лицо надзорного органа обязательно запросит локальные нормативные акты касательно обработки и защиты персональных данных (ст. 87 ТК РФ). Прежде всего – ​ЛНА, определяющий политику оператора в отношении обработки персональных данных (ст. 18.1 Закона № 152‑ФЗ). Законом прямо не урегулировано, как должен называться локальный нормативный акт об обработке персональных данных, – ​Политика или Положение. На практике встречаются оба варианта, при которых, например, Положение включается в состав Политики, или наоборот. Часто практикуют также одновременное оформление и Политики, и Положения: например Положение рассчитано на сотрудников компании, а Политика – ​на клиентов, посетителей сайта, соискателей и пр. В любом случае такой документ в отношении персональных данных должен быть (письмо Роскомнадзора от 19.10.2021 № 08-71063).

При составлении документа, определяющего политику оператора в отношении обработки персональных данных, следует руководствоваться Рекомендациями Роскомнадзора, которые размещены на официальном сайте (www.rkn.gov.ru/personal-data/p908/)1.

Обратите внимание: этот документ необходимо опубликовать или иным образом обеспечить неограниченный доступ к нему, а также к сведениям о реализуемых требованиях к защите персональных данных. А если на сайте компании есть формы сбора персональных данных, то ей необходимо обеспечить доступ к политике в отношении обработки персональных данных на всех страницах сайта, с использованием которых осуществляется этот сбор (ч. 2 ст. 18.1 Закона № 152‑ФЗ, см. также постановление Восьмого кассационного суда общей юрисдикции от 31.03.2023 № 16-1661/2023).

В содержании ЛНА о персональных данных обязательно проверят в том числе наличие следующей информации:

  • категории субъектов, данные которых обрабатываются (например, работники, клиенты, кандидаты на вакансии, родственники работников);
  • перечень обрабатываемых категорий персональных данных отдельно каждой категории субъектов;
  • цели обработки по каждой категории субъектов. Причем цели сбора и обработки персданных должны быть заранее определены исходя из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, деятельности, которая предусмотрена учредительными документами оператора, конкретных бизнес-процессов оператора (ч. 2 ст. 5 Закона № 152‑ФЗ, Рекомендации Роскомнадзора) (см. Пример 3);
  • правовое основание обработки персональных данных (необходимость получения согласия на обработку либо заключение договора, ссылки на нормы: статьи / части / пункты / подпункты закона или подзаконного акта);
  • описание порядка, способов и методов обезличивания персональных данных, для каких целей осуществляется обезличивание, в отношении каких категорий субъектов осуществляется обезличивание;
Связанный материал
Когда и зачем нужно обезличивать персональные данные
№ 09 / 2019

См. статью «Когда и зачем нужно обезличивать персональные данные» в № 9’ 2019
  • срок обработки и хранения персональных данных, условия прекращения обработки;
  • условия и порядок уничтожения персональных данных, составление актов об уничтожении данных, выгрузок из журналов регистрации событий в информационной системе персональных данных (при работе с такими системами);
  • процедуры, направленные на предотвращение и выявление нарушений законодательства о персональных данных, устранение последствий таких нарушений.

Пример 3. Формулировки в Положении о персональных данных относительно целей обработки персональных данных работников

4.1. Целью обработки персональных данных Работников является обеспечение соблюдения законов и иных нормативных правовых актов, содействие Работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности Работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества, включая:

  • осуществление и выполнение возложенных законодательством РФ и международными договорами РФ на Работодателя функций, полномочий и обязанностей;
  • регулирование трудовых отношений и иных непосредственно связанных с ними отношений, обеспечение трудовых прав Работников;
  • заключение и исполнение трудовых договоров и иных договоров, заключенных между Работниками и Работодателем;
  • подбор и управление персоналом;
  • отражение информации в кадровых документах, ведение кадрового учета;
  • защита жизни, здоровья или иных жизненно важных интересов Работников;
  • проведение дисциплинарных процедур, аттестации и оценки деятельности Работников;
  • расчет и выплата заработной платы, пособий и иных выплат Работникам, ведение бухгалтерского учета;
  • предоставление налоговых вычетов, обеспечение социального страхования Работников, предоставление Работникам гарантий и компенсаций в соответствии с законодательством;
  • организация медицинского и иного страхования Работников и имущества Работодателя;
  • организация командировок и иных поездок Работников (включая компенсацию расходов); осуществление технической и организационной поддержки Работников в служебных целях;
  • формирование кадрового резерва;
  • осуществление контроля за количеством и качеством выполняемой Работниками работы;
  • выпуск доверенностей и иных уполномочивающих документов;
  • обучение, продвижение по работе;
  • оформление награждений и поощрений;
  • представление Работодателем установленных законодательством сведений и отчетности в уполномоченные государственные органы в отношении физических лиц, в том числе в Социальный фонд России, Федеральную налоговую службу РФ, органы воинского учета, органы статистики, органы занятости и иные уполномоченные органы в соответствии с законодательством РФ;
  • оформление пропусков на территорию Работодателя.

Отдельно Роскомнадзор при проверке уделяет внимание положениям ЛНА, которые устанавливают процедуры, направленные на предотвращение и выявление нарушений законодательства в области персональных данных, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1 Закона № 152‑ФЗ). Это может быть как отдельный документ, так и раздел в Положении об обработке персональных данных (Пример 4).

Пример 4. Формулировки в ЛНА о процедурах, направленных на предотвращение и выявление нарушений законодательства о персональных данных, устранение последствий таких нарушений

5.6. Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных.

5.6.1. Для выявления и предотвращения нарушений, предусмотренных законодательством в сфере персональных данных, Работодатель использует следующие процедуры:

1) осуществление внутреннего контроля (аудита) соответствия обработки персональных данных требованиям к защите персональных данных;

2) оценку вреда, который может быть причинен субъектам персональных данных;

3) ознакомление Работников, непосредственно осуществляющих обработку персональных данных, с законодательством о персональных данных, в том числе с требованиями к защите персональных данных и настоящим Положением;

4) ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;

5) осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством в области персональных данных;

6) обеспечение недопустимости осуществления обработки персональных данных, не совместимых с целями сбора персональных данных;

7) обеспечение недопустимости осуществления объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

8) обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

9) обеспечение при обработке персональных данных точности персональных данных, их достаточности и актуальности по отношению к целям обработки персональных данных.

5.6.2. Порядок оценки вреда, который может быть причинен субъектам персональных данных.

5.6.2.1. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой Работодателем.

5.6.2.2. Работодатель для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения законодательства о персональных данных:

5.6.2.2.1. Высокую в случаях:

  • обработки сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Работодателем для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;
  • обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;
  • обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;
  • обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных п. 9 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»;
  • поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;
  • сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.

5.6.2.2.2. Среднюю в случаях:

  • распространения персональных данных на официальном сайте Работодателя в Интернете, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;
  • обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
  • продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;
  • получения согласия на обработку персональных данных посредством реализации на официальном сайте в Интернете функционала, не предполагающего дальнейшую идентификацию и/или аутентификацию субъекта персональных данных;
  • осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и/или неопределенному кругу лиц в целях, не совместимых между собой.

5.6.2.2.3. Низкую в случаях:

  • ведения общедоступных источников персональных данных, сформированных в соответствии с Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных»;
  • назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным Работником Работодателя.

5.6.2.3. Результаты оценки вреда оформляются актом оценки вреда.

5.6.2.4. Акт оценки вреда должен содержать:

а) наименование или фамилию, имя, отчество (при наличии) и адрес Работодателя;

б) дату издания акта оценки вреда;

в) дату проведения оценки вреда;

г) фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;

д) степень вреда, которая может быть причинена субъекту персональных данных.

5.6.2.5. Акт оценки вреда в электронной форме, подписанный в соответствии с федеральным законом и локальными нормативными актами Работодателя электронной подписью, признается электронным документом, равнозначным акту оценки вреда на бумажном носителе, подписанному собственноручной подписью.

5.6.2.6. Если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

Перечень лиц, имеющих доступ к персональным данным

Следующий документ, который обязательно запросят проверяющие, – ​это перечень лиц, имеющих доступ и непосредственно допущенных к работе с персональными данными (ст. 88 ТК РФ). Обычно это право дается сотрудникам, которым нужны персональные данные других работников в связи с выполнением трудовых обязанностей, например для ведения кадрового или налогового учета. Перечень можно включить в текст самого приказа или сделать приложением к нему. Кроме того, надо утвердить перечень работников, имеющих доступ к персональным данным в информационной системе (подп. «в» п. 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 01.11.2012 № 1119). Оба перечня можно объединить в один приказ (Пример 5).

Пример 5. Приказ, утверждающий перечень лиц, допущенных к работе с персональными данными

По аналогии с ответственным за организацию работы с персональными данными проверяющие могут запросить сведения о трудовых обязанностях (скорее всего, содержащиеся в должностной инструкции (инструкции по профессии) или в трудовом договоре сотрудников, имеющих доступ к персональным данным). Поэтому рекомендуем включать в указанные выше документы таких работников их обязанности в сфере обработки персональных данных (см. Пример 6).

Пример 6. Формулировки в должностной инструкции и/или трудовом договоре работника, имеющего доступ к персональным данным

5. Работник обязан:

<…>

  • соблюдать и исполнять требования законодательства и локальных нормативных актов о защите, хранении, обработке и передаче персональных данных работников и законодательства РФ в области персональных данных, в том числе относящиеся к обязанностям Работодателя, действуя от его имени;
  • сохранять конфиденциальность персональных данных, полученных в связи с исполнением своих трудовых обязанностей;
  • не отвечать на вопросы, связанные с передачей персональных данных других Работников третьим лицам, по телефону или электронной почте, если это не связано с исполнением трудовых обязанностей;
  • незамедлительно сообщать своему непосредственному руководителю или лицу, ответственному за организацию обработки персональных данных у Работодателя (в Филиале), обо всех фактах нарушения конфиденциальности персональных данных или об обстоятельствах, создающих угрозу их разглашения, в том числе об утрате (хищении) материальных носителей персональных данных (бумажных документов, дисков, флэш-накопителей и др.);
  • по всем вопросам, связанным с обработкой и защитой персональных данных, обращаться к своему непосредственному руководителю или лицу, ответственному за организацию обработки персональных данных у Работодателя.

Связанный материал
Разглашение информации о сотруднике. Предостережения для работодателя
№ 03 / 2019

См. статью «Разглашение информации о сотруднике. Предостережения для работодателя» в № 3’ 2019

Описание помещений, в которых осуществляется обработка персональных данных

Для предотвращения нарушений законодательства о персональных данных работодатель обязан принимать не только правовые, но и организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных и иных неправомерных действий (ст. 18.1, 19 Федерального закона № 152‑ФЗ). Одна из таких мер – ​хранить персональные данные недоступными для не имеющих к ним доступ сотрудников и всех третьих лиц. Проверяющие могут запросить описание помещений, в которых осуществляется обработка персональных данных: расположение, номера помещений; наличие охраны, режима обеспечения безопасности, оборудование помещений и пр. В этом случае поможет приказ, который определяет помещения для обработки персональных данных и утверждает требования к местам их хранения (Пример 7).

Пример 7. Приказ об определении помещений для обработки персональных данных и утверждении требований к местам хранения персональных данных

Согласия на обработку персональных данных

Роскомнадзор обязательно заинтересуется, правомерно ли работодатель осуществляет обработку персональных данных. Для этого у оператора должны быть в наличии согласия на обработку персональных данных. Поэтому рекомендуем кадровым специалистам периодически проверять:

Связанный материал
Как правильно составить согласие на обработку персональных данных
№ 02 / 2024

Образцы согласий на обработку персональных данных для различных ситуаций (согласие на обработку общих персданных, биометрических персданных, специальной категории, согласие на передачу персданных третьему лицу, согласие на распространение и передачу персданных, сбор сведений о кандидате, обработку данных членов семьи и пр.) см. в статье «Как правильно составить согласие на обработку персональных данных» в № 2’ 2024
  • актуальны ли формы согласий на обработку персональных данных;
  • имеются ли надлежаще оформленные согласия на обработку данных от субъектов персональных данных.

Требования к содержанию согласий установлены в ч. 4 ст. 9 Закона № 152‑ФЗ. Так, любое согласие должно содержать:

  • Ф.И.О. работника, его адрес, номер, сведения о дате выдачи паспорта и выдавшем его органе;
  • наименование и адрес работодателя (а также лица, осуществляющего обработку персональных данных по поручению работодателя);
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • перечень действий с персональными данными, на совершение которых дается согласие, описание способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва;
  • подпись субъекта персональных данных.

Кстати, есть случаи, когда согласие на обработку персональных данных оформлять не нужно. Так, согласие не потребуется, если:

  • обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п. 2, 5 ч. 1 ст. 6 Закона № 152‑ФЗ);
  • обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона № 152‑ФЗ);
  • персональные данные передаются в государственный орган в соответствии с требованиями законодательства, например в налоговые органы (письмо ФНС России от 08.06.2022 № ПА-3-24/5978@);
  • предусмотрено коллективным договором, соглашением, а также локальными актами работодателя, принятыми в установленном ст. 372 ТК РФ порядке (абз. 2 Разъяснений Роскомнадзора2);
  • обязанность обработки, в том числе опубликования и размещения персональных данных работников в Интернете, предусмотрена законодательством (абз. 1 п. 1 Разъяснений Роскомнадзора);
  • проводится обработка персональных данных близких родственников работника в случаях, установленных законодательством РФ (получение алиментов, допуск к гостайне, оформление социальных выплат) (абз. 1 п. 2 Разъяснений Роскомнадзора);
  • обработка специальной категории персональных данных связана с выполнением работником своих трудовых обязанностей (п. 3 Разъяснений Роскомнадзора);
  • обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений (абз. 1 п. 5 Разъяснений Роскомнадзора);
  • обработка персональных данных осуществляется в отношении уволенных работников (абз. 6-10 п. 5 Разъяснений Роскомнадзора) и пр.

Вместе с тем, поскольку есть риски того, что проверяющие сочтут те или иные данные, которые обрабатывает компания, избыточными либо не соответствующим целям обработки, лучше в любом случае запросить с работника согласие на обработку персональных данных.

Также обратите внимание, что должны быть отдельные согласия:

  • на обработку биометрических персональных данных;
  • на обработку персональных данных специальной категории;
  • распространение персональных данных (размещение информации на сайте в Интернете)3;
  • передачу персональных данных третьим лицам (когда привлекаются сторонние организации, например для охраны территории и организации пропускного режима) и некоторые другие, о которых подробно рассказано в статье «Как правильно составить согласие на обработку персональных данных» в № 2’ 2024.

Связанный материал
Как правильно составить согласие на обработку персональных данных
№ 02 / 2024

См. статью «Как правильно составить согласие на обработку персональных данных» в № 2’ 2024

Другие документы

Роскомнадзор при проверках требует и документы, которые могут оформляться при подборе персонала. Например заявления, анкеты, опросные листы, резюме, согласие соискателя на замещение вакантной должности и иные документы, которые используются при подборе персонала и содержат персональные данные, а также приказы, утверждающие для них формы.

При разработке и утверждении подобных форм рекомендуем проверить, не запрашиваете ли вы с соискателей избыточные персональные данные или данные, которые не соответствуют целям обработки. Если такое обнаруживается (например требование к кандидату указать сведения о наличии у него кредитных обязательств или любые другие данные, которые не относятся к его деловым качествам), рекомендуем исключить подобные формулировки из форм документов.

Также при проверке запросят справку о составе документов, входящих в личное дело работника компании (если личные дела ведутся, что не обязательно для большинства компаний). В связи с этим рекомендуем не хранить в личном деле копии документов работника и не указывать их в справке о составе документов личного дела, которая представляется при проверке, поскольку Роскомнадзор это не приветствует4.

Учитывайте, что при проверке обязательно потребуют подтверждение того, что работники ознакомлены с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, документами о политике оператора в отношении обработки таких данных, ЛНА по вопросам обработки персональных данных. Поэтому рекомендуем перепроверить, ознакомлены ли работники под подпись со всеми локальными нормативными актами компании, касающимися обработки персональных данных.

Также Роскомнадзор часто проверяет, как работодатель соблюдает права субъектов персональных данных в части взаимодействия с ними. В этих целях он может запросить копии обращений от граждан по вопросам уточнения, удаления, уничтожения персональных данных, копии ответов оператора и принятые меры по обращениям граждан с приложением копий документов о принятых мерах. Чтобы было проще подобрать документы для проверки, рекомендуем завести журнал, в котором можно регистрировать обращения по вопросам обработки персональных данных и кратко отражать, какие меры и когда были приняты работодателем в ответ на обращения граждан.

Затребует ведомство и ЛНА, устанавливающие порядок уничтожения, а также подтверждающие уничтожение персональных данных по достижении цели обработки (например акты об уничтожении материальных носителей персональных данных). Если же обработка персональных данных осуществляется работодателем с использованием средств автоматизации, кроме акта об уничтожении персональных данных, потребуется сделать выгрузку из журнала регистрации событий в информационной системе персональных данных (п. 2, 3, 5 Требований к подтверждению уничтожения персональных данных, утв. приказом Роскомнадзора от 28.10.2022 № 179).

* * *

Таким образом, при проверке Роскомнадзора потребуется довольно внушительный пакет документов, список которых может отличаться в зависимости от того, персональные данные каких категорий обрабатываются в компании, кому и каким способом компания передает персональные данные, и других особенностей и обстоятельств. Поэтому чтобы организовать эффективную работу с персональными данными и успешно пройти проверку Роскомнадзора, нужно обеспечить слаженное взаимодействие всех работников компании (и особенно – ​ответственного за обработку персональных данных, допущенных к обработке данных лиц), поддержание документов относительно работы с персональными данными в актуальном состоянии и своевременное реагирование на запросы субъектов персональных данных и надзорного органа.

Для снижения рисков при обработке персональных данных стоит принять во внимание Рекомендации Роскомнадзора от 08.08.2023, в том числе минимизировать список персональных данных для сбора и обработки. Лучше использовать только те сведения, которые реально нужны, не накапливать личную информацию «на всякий случай», использовать юридические, технические и программные средства, принимать меры физического контроля для обеспечения необходимого уровня безопасности данных.

Чтобы максимально эффективно подготовиться к проверке Роскомнадзора, также рекомендуем ознакомиться со списком контрольных вопросов, утв. приказом Роскомнадзора от 24.12.2021 № 253. Отвечая на вопросы, указанные в проверочном листе, можно определить, в каких процедурах работы с персональными данными у компании есть недочеты, и вовремя их исправить.

Сноски 4

  1. Далее – Рекомендации Роскомнадзора. Вернуться назад
  2. См. разъяснения Роскомнадзора в разделе «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (https://54.rkn.gov.ru/protection/p14241/), далее – Разъяснения Роскомнадзора. Вернуться назад
  3. См., например, решение Индустриального районного суда г. Перми от 07.11.2023 по делу № 12-402/2023. Вернуться назад
  4. Рекомендации Роскомнадзора от 08.08.2023 (https://rkn.gov.ru/news/rsoc/news74733.htm). Вернуться назад
Оценить статью
0 Коментариев
s
В избранное
Версия для печати
Отправить по почте

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Типичные ошибки в работе с персональными данными

Юридический навигатор
№ 03 / 2024
В фокусе

Изменение законодательства в сфере персональных данных и огромные штрафы за нарушения стимулируют еще раз проверить, все ли с персданными в организации в порядке. Автор выделяет 5 ошибок, которые чаще всего допускают организации в этой области.

Елена Кожемякина
управляющий партнер юридической компании BLS

Обязательно ли оформление спецификаций по договорам поставки в рамках ГК РФ?

Юридический навигатор
№ 11 / 2023

После проведения камеральной проверки ИФНС указала в акте, что к договору поставки не оформлялись спецификации (договором оформление спецификаций не предусмотрено). В частности, что неоформление спецификаций в том числе свидетельствует о формальности отношений между покупателем и контрагентом. Обязательно ли оформление спецификаций по договорам поставки в рамках ГК РФ?

Алексей Александров
рецензент службы Правового консалтинга ГАРАНТ

Как правильно составить согласие на обработку персональных данных

Юридический навигатор
№ 02 / 2024
Трудовое законодательство

С декабря 2023 года штрафы за обработку персональных данных без согласия субъекта или с неверно составленным согласием выросли до 700 000 рублей. А за год до этого изменились и требования к самим согласиям на обработку персональных данных. Рассказываем, какие согласия и в каких случаях необходимо составлять, почему лучше оформлять разные согласия на обработку персданных, а не включать все в одно, приводим образцы согласий для наиболее типичных ситуаций, даем советы по оптимизации документооборота.

Екатерина Краецкая
частнопрактикующий юрист

Чем хорош налоговый мониторинг

Юридический навигатор
№ 10 / 2023
Налогообложение

С 1 января 2016 года в НК РФ был введен раздел V.2 «Налоговый контроль в форме налогового мониторинга». Эта новая форма налогового контроля была призвана заменить традиционные проверки правильности исчисления и уплаты налогов на основе удаленного доступа налоговых органов к информационным системам налогоплательщика, его бухгалтерской и налоговой отчетности. Сам по себе налоговый мониторинг не влияет на объем налоговых обязательств компании, однако является инструментом, который позволяет снизить риски нарушения налогового законодательства. В статье практикующий юрист рассказывает, кому доступен налоговый мониторинг, что он собой представляет, какие преимущества дает.

Ирина Штукмастер
ведущий юрист компании «Пепеляев Групп»

Что смягчит административную ответственность

Юридический навигатор
№ 07 / 2020
Взаимоотношения с государственными органами

При решении вопроса о привлечении к административной ответственности и назначении наказания согласно ч. 2, 3 ст. 4.1 КоАП РФ учитываются не только характер совершенного правонарушения, имущественное положение привлекаемого к ответственности лица, но и наличие обстоятельств, отягчающих и (или) смягчающих ответственность. И последние особенно интересны, поскольку их можно самостоятельно «генерировать» даже на стадии рассмотрения дела, в отличие, скажем, от популярных оснований освобождения от административной ответственности – малозначительности правонарушения (ст. 2.9) и крайней необходимости (ст. 2.7) – которые «цементируются» в момент совершения правонарушения. Расскажем, что такое смягчающие обстоятельства, когда нарушитель может к ним апеллировать, на что упирать в ходе судебного заседания. Поясним, какие действия суды признают содействием в рассмотрении дела об административном правонарушении.

Сергей Слесарев
частнопрактикующий юрист, эксперт Экспертного центра «Общественная Дума»

Когда к ответственности привлекут и организацию, и должностное лицо

Юридический навигатор
№ 01 / 2020
Юридическая ответственность

Одной из самых неприятных ситуаций для любого предпринимателя является внимание к его персоне со стороны проверяющих, которые обязательно находят в его деятельности нарушения и карают по всей строгости закона. На практике некоторые пытаются уходить от административной ответственности, свалив все на своих должностных лиц. Однако получается это не всегда, более того, зачастую проверяющие наказывают и тех и других. Почему так происходит, можно ли этого избежать, расскажем в статье.

Александр Бычков
директор юридического департамента ООО «Пимпэй Касса»

Как проверить иностранного контрагента

Юридический навигатор
№ 11 / 2022
Договорные отношения

Приводим подробную инструкцию, как самостоятельно проверить иностранного контрагента и снизить риски при принятии решения о заключении с ним договора. Узнаете, какие публичные и частные сервисы, базы данных в Интернете для этого использовать. Наши подробные рекомендации, адаптированные под условия заключения сделок в конкретной организации, можно включить в локальный нормативный акт или иной организационно-распорядительный документ, посвященный вопросам проверки благонадежности иностранных партнеров в рамках договорно-правовой работы.

Алексей Каблучков
юрисконсульт ООО «Торговый Дом Авто Ресурс», канд. юрид. наук

Малозначительность: когда получится «уйти» от ответственности

Юридический навигатор
№ 12 / 2019
Юридическая ответственность

КоАП РФ содержит несколько оснований для освобождения от административной ответственности, одно из которых – ​малозначительность административного правонарушения (ст. 2.9 КоАП РФ). В 8 из 10 просматриваемых судебных дел привлекаемое к ответственности лицо пытается прямо или косвенно сослаться на малозначительность правонарушения. Однако суды в основном такие доводы отклоняют. Почему так происходит и что в действительности следует понимать под малозначительностью – ​расскажем в этой статье. С помощью нашей подборки судебной практики вы сможете сориентироваться при схожих с рассмотренными обстоятельствах и не упустите шанс избежать ответственности, когда это возможно.

Сергей Слесарев
частнопрактикующий юрист, эксперт Экспертного центра «Общественная Дума»