Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Кадровая служба
  3. Практические рекомендации

Документы по персональным данным, которые проверит Роскомнадзор

0
Журнал «Кадровая служба и управление персоналом предприятия» № 4 / 2024
Юлия Жижерина
юрист по трудовому праву
Татьяна Снежкина
юрист по трудовому праву
Любым организациям и ИП так или иначе приходится обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.

Важно понимать, что защита персональных данных является одним из основных принципов деятельности любой компании. Она требует ответственного подхода и систематической работы, ведь нарушения могут повлечь серьезные последствия для бизнеса, поэтому компаниям необходимо уделить должное внимание вопросам обработки персональных данных и подготовке к проверкам. Один из самых актуальных – ​оформление документов, которые проверяющие могут запросить при проверке. В статье остановимся на наиболее важных из них, которые чаще всего проверяющие требуют от работодателей.

Связанный материал
Организуем работу с персональными данными сотрудников
№ 02 / 2015

См. статью «Организуем работу с персональными данными сотрудников» в № 2’ 2015

В первую очередь в рамках проведения проверки Роскомнадзор заинтересуют общие сведения о компании, поэтому проверяющие затребуют:

  • копию устава;
  • договоры об аренде офисных помещений (рабочих мест);
  • штатное расписание;
  • локальный нормативный акт (ЛНА), устанавливающий политику в отношении обработки персональных данных, правила обработки и защиты персданных;
  • перечень лиц, имеющих доступ и непосредственно допущенных к обработке персданных;
  • согласия субъектов персданных на их обработку работодателем;
  • приказ о назначении должностного лица (уполномоченного представителя), которое обязано представлять интересы юридического лица при проведении проверки, а также о назначении ответственного за организацию обработки персданных;
  • уведомления Роскомнадзора об обработке персональных данных
  • и иные документы общего характера.

Связанный материал
Как работодателю уведомить Роскомнадзор об обработке персональных данных
№ 10 / 2022

См. статью «Как работодателю уведомить Роскомнадзор об обработке персональных данных» в № 10’ 2022
Связанный материал
Как по-новому проверяют работодателей, обрабатывающих персональные данные
№ 06 / 2019

О том, как проверяют работодателей, обрабатывающих персональные данные, читайте в № 6’ 2019

Далее подробно рассмотрим те из них, о содержании которых у проверяющих возникают вопросы чаще всего.

Приказ о назначении ответственного за организацию работы с персональными данными

Надзорный орган по традиции затребует приказ о назначении ответственного за организацию обработки персональных данных. Ведь работодатель обязан его назначить (ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», далее – ​Закон № 152‑ФЗ). Форма документа нормативно не установлена, поэтому ее можно разработать самостоятельно (Пример 1).

Связанный материал
Необходимо ли ежегодно переиздавать приказы о назначении ответственных?
№ 07 / 2021

Читайте ответ на вопрос, необходимо ли ежегодно переиздавать приказы о назначении ответственных, в № 7’ 2021

Пример 1. Приказ о назначении ответственного за организацию обработки персональных данных лица
Связанный материал
Должен ли в компании быть специалист по информационной безопасности?
№ 03 / 2024

О назначении ответственного за защиту персданных в информационных системах читайте статью «Должен ли в компании быть специалист по информационной безопасности?» в № 3’ 2024
Связанный материал
Что может сказать почерк об ответственности работника
№ 07 / 2021

См. также статью «Что может сказать почерк об ответственности работника» в № 7’ 2021

Причем недостаточно только назначить ответственное за организацию обработки персданных лицо, соответствующие обязанности должны быть прописаны в его должностной инструкции (инструкции по профессии) и/или трудовом договоре. Поэтому необходимо проверить, отражены ли там обязанности, касающиеся работы с персональными данными. Ведь проверяющие непременно запросят эти документы (образец формулировки см. в Примере 2).

Пример 2. Формулировка для должностной инструкции и/или трудового договора ответственного за организацию обработки персональных данных

5. Работник обязан:

…5.8. Организовать разработку, принятие и актуализацию Работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

5.9. Организовать применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.10. Осуществлять внутренний контроль (аудит) за соблюдением Работодателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных и принимать меры в случае выявления нарушений.

5.11. Организовать проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых Работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных.

5.12. Доводить до сведения работников Работодателя положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

5.13. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.

Связанный материал
Разглашение персональных данных: за что можно уволить работника
№ 03 / 2022

См. статью «Разглашение персональных данных: за что можно уволить работника» в № 3’ 2022

Связанный материал
Контролируем рабочую переписку сотрудников по электронной почте
№ 04 / 2019

Читайте также статью «Контролируем рабочую переписку сотрудников по электронной почте» в № 4’ 2019. В ней мы рассказали, какие изменения внести в документы, чтобы работодатель смог обеспечить конфиденциальность информации, а также как ему действовать при обнаружении разглашения охраняемой законом тайны

ЛНА об обработке и защите персональных данных

При любой проверке должностное лицо надзорного органа обязательно запросит локальные нормативные акты касательно обработки и защиты персональных данных (ст. 87 ТК РФ). Прежде всего – ​ЛНА, определяющий политику оператора в отношении обработки персональных данных (ст. 18.1 Закона № 152‑ФЗ). Законом прямо не урегулировано, как должен называться локальный нормативный акт об обработке персональных данных, – ​Политика или Положение. На практике встречаются оба варианта, при которых, например, Положение включается в состав Политики, или наоборот. Часто практикуют также одновременное оформление и Политики, и Положения: например Положение рассчитано на сотрудников компании, а Политика – ​на клиентов, посетителей сайта, соискателей и пр. В любом случае такой документ в отношении персональных данных должен быть (письмо Роскомнадзора от 19.10.2021 № 08-71063).

Связанный материал
ТОП-5 ошибок в сфере работы с персональными данными
№ 08 / 2021

См. статью «Топ-5 ошибок в сфере работы с персональными данными» в № 8’ 2021

При составлении документа, определяющего политику оператора в отношении обработки персональных данных, следует руководствоваться Рекомендациями Роскомнадзора, которые размещены на официальном сайте (www.rkn.gov.ru/personal-data/p908/) 1.

Связанный материал
О номере телефона – персданные или нет?
№ 01 / 2022

Относится ли номер телефона к персональным данным, читайте в № 1’ 2022

Обратите...

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 700 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Рекомендовано для вас

Что Роскомнадзор проверит в первую очередь и за что накажет

Кадровая служба
№ 03 / 2025
Правовое обеспечение деятельности

Ответственность за обработку персональных данных с нарушениями продолжает ужесточаться. С 30.05.2025 за повторные нарушения по некоторым статьям начнут взыскивать оборотные штрафы. Автор анализирует три основных требования к работодателям, которые необходимо выполнить в первую очередь при обработке персданных работников и клиентов (уведомление Роскомнадзора, назначение ответственного лица, утверждение политики обработки персональных данных), а также последствия их несоблюдения. Объясняет, как правильно выполнить такие требования (с образцами документов и конкретных формулировок), на основе собственного опыта и разъяснений Роскомнадзора. Показывает судебную практику, которая «подсвечивает» узкие места.

Ольга Свириденко
юрист по трудовому праву компании «Мир трудовых отношений»

На что работодателям обратить внимание в 2025 году?

Кадровая служба
№ 01 / 2025
Актуальное интервью

Что ожидают эксперты от 2025 года? Какие изменения повлияют на работодателей? Каким вопросам стоит уделить пристальное внимание уже сейчас? Журнал «Кадровая служба и управление персоналом предприятия» опросил экспертов и собрал самые интересные мнения. Спойлер: цифровизация внедряется во все сферы государственной жизни, а значит, контроль становится более избирательным, четким и тщательным. Наиболее рисковые сферы – воинский учет, персональные данные, миграционное законодательство и взаимоотношения с самозанятыми. Узнаете, сохранилась ли законотворческая деятельность и судебная практика с уклоном в сторону защиты интересов работников, какие проверяющие вероятнее всего придут с визитом в этом году, какие поправки стоит ввести в ЛНА в связи с последними изменениями в ТК РФ, а также почему удержание персонала становится для работодателей стратегической задачей.

Дискриминация в трудовых отношениях

Кадровая служба
№ 02 / 2025
Правовое обеспечение деятельности

Что является дискриминацией в трудовых отношениях по закону и на практике? Будет ли дискриминацией установление вилки окладов, привлечение сотрудника к дисциплинарной ответственности или отказ в приеме на работу инвалида на квотируемое место, если он не обращался в центр занятости? Какое наказание реально грозит работодателю при дискриминации работника или соискателя?

Алина Неретина
старший юрист ООО «Юнистафф Пейрол Компани»

Как закон о защите персданных распространяется на архивные документы

Кадровая служба
№ 09 / 2024
Делопроизводство в кадровой службе

Документы с персональными данными находятся под защитой закона о персданных. А что происходит с документами, когда они становятся архивными? Распространяется ли на них указанный закон и если да, то в какой части? Когда документ становится архивным? Как защищаются персональные данные, содержащиеся в таком документе? А как защищаются персданные при ответе архива на запросы граждан, в том числе и за границу? Автор анализирует нормативную базу и отвечает на указанные вопросы.

Наталья Храмцовская
к.и.н., ведущий эксперт по управлению документацией компании «ЭОС», эксперт ИСО

Какие данные являются персональными: позиция суда

Кадровая служба
№ 05 / 2021
Правовое обеспечение деятельности

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Александр Бычков
директор юридического департамента ООО «Пимпэй Касса»

Административная ответственность за нарушение трудового законодательства: как защититься

Кадровая служба
№ 03 / 2020
Правовое обеспечение деятельности

Работодатели и их должностные лица нередко подвергаются ответственности за нарушение трудового законодательства (ст. 5.27 и 5.27.1 КоАП РФ). Рассмотрим ситуации привлечения к ответственности, поговорим, от чего зависит размер штрафа, налагаемого на работодателя и его должностных лиц, возможно ли его снизить или вообще избежать, кем он применяется, а также, исходя из анализа судебной практики и личного опыта эксперта, расскажем о тех моментах, на которые стоит обратить внимание при защите интересов организации.

Елена Грозовская
адвокат Адвокатской палаты Саратовской области

Можно ли обязать держать зарплату в тайне?

Кадровая служба
№ 08 / 2020
Правовое обеспечение деятельности

Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

Елена Грозовская
адвокат Адвокатской палаты Саратовской области

За что работодателю может «прилететь» штраф?

Кадровая служба
№ 05 / 2024
Практические рекомендации

Как показывает практика, работодатели серьезно не относятся к соблюдению некоторых требований законодательства и это приводит их к штрафам при проверке. Выделим 5 типичных ошибок, которые допускают работодатели (часто из-за не слишком серьезного к ним отношения). В частности, поговорим об ошибках, которые затрагивают вопросы обучения по охране труда, привлечения к труду в нерабочее время, оформления трудового договора, привлечения к дисциплинарной ответственности и удержаний из зарплаты.

Сергей Слесарев
частнопрактикующий юрист