Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Кадровая служба
  3. Практические рекомендации

Документы по персональным данным, которые проверит Роскомнадзор

0
Журнал «Кадровая служба и управление персоналом предприятия» № 4 / 2024
Юлия Жижерина
юрист по трудовому праву
Татьяна Снежкина
юрист по трудовому праву
Любым организациям и ИП так или иначе приходится обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.

Важно понимать, что защита персональных данных является одним из основных принципов деятельности любой компании. Она требует ответственного подхода и систематической работы, ведь нарушения могут повлечь серьезные последствия для бизнеса, поэтому компаниям необходимо уделить должное внимание вопросам обработки персональных данных и подготовке к проверкам. Один из самых актуальных – ​оформление документов, которые проверяющие могут запросить при проверке. В статье остановимся на наиболее важных из них, которые чаще всего проверяющие требуют от работодателей.

Связанный материал
Организуем работу с персональными данными сотрудников
№ 02 / 2015

См. статью «Организуем работу с персональными данными сотрудников» в № 2’ 2015

В первую очередь в рамках проведения проверки Роскомнадзор заинтересуют общие сведения о компании, поэтому проверяющие затребуют:

  • копию устава;
  • договоры об аренде офисных помещений (рабочих мест);
  • штатное расписание;
  • локальный нормативный акт (ЛНА), устанавливающий политику в отношении обработки персональных данных, правила обработки и защиты персданных;
  • перечень лиц, имеющих доступ и непосредственно допущенных к обработке персданных;
  • согласия субъектов персданных на их обработку работодателем;
  • приказ о назначении должностного лица (уполномоченного представителя), которое обязано представлять интересы юридического лица при проведении проверки, а также о назначении ответственного за организацию обработки персданных;
  • уведомления Роскомнадзора об обработке персональных данных
  • и иные документы общего характера.

Связанный материал
Как работодателю уведомить Роскомнадзор об обработке персональных данных
№ 10 / 2022

См. статью «Как работодателю уведомить Роскомнадзор об обработке персональных данных» в № 10’ 2022
Связанный материал
Как по-новому проверяют работодателей, обрабатывающих персональные данные
№ 06 / 2019

О том, как проверяют работодателей, обрабатывающих персональные данные, читайте в № 6’ 2019

Далее подробно рассмотрим те из них, о содержании которых у проверяющих возникают вопросы чаще всего.

Приказ о назначении ответственного за организацию работы с персональными данными

Надзорный орган по традиции затребует приказ о назначении ответственного за организацию обработки персональных данных. Ведь работодатель обязан его назначить (ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», далее – ​Закон № 152‑ФЗ). Форма документа нормативно не установлена, поэтому ее можно разработать самостоятельно (Пример 1).

Связанный материал
Необходимо ли ежегодно переиздавать приказы о назначении ответственных?
№ 07 / 2021

Читайте ответ на вопрос, необходимо ли ежегодно переиздавать приказы о назначении ответственных, в № 7’ 2021

Пример 1. Приказ о назначении ответственного за организацию обработки персональных данных лица
Связанный материал
Должен ли в компании быть специалист по информационной безопасности?
№ 03 / 2024

О назначении ответственного за защиту персданных в информационных системах читайте статью «Должен ли в компании быть специалист по информационной безопасности?» в № 3’ 2024
Связанный материал
Что может сказать почерк об ответственности работника
№ 07 / 2021

См. также статью «Что может сказать почерк об ответственности работника» в № 7’ 2021

Причем недостаточно только назначить ответственное за организацию обработки персданных лицо, соответствующие обязанности должны быть прописаны в его должностной инструкции (инструкции по профессии) и/или трудовом договоре. Поэтому необходимо проверить, отражены ли там обязанности, касающиеся работы с персональными данными. Ведь проверяющие непременно запросят эти документы (образец формулировки см. в Примере 2).

Пример 2. Формулировка для должностной инструкции и/или трудового договора ответственного за организацию обработки персональных данных

5. Работник обязан:

…5.8. Организовать разработку, принятие и актуализацию Работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

5.9. Организовать применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.10. Осуществлять внутренний контроль (аудит) за соблюдением Работодателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных и принимать меры в случае выявления нарушений.

5.11. Организовать проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых Работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных.

5.12. Доводить до сведения работников Работодателя положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

5.13. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.

Связанный материал
Разглашение персональных данных: за что можно уволить работника
№ 03 / 2022

См. статью «Разглашение персональных данных: за что можно уволить работника» в № 3’ 2022

Связанный материал
Контролируем рабочую переписку сотрудников по электронной почте
№ 04 / 2019

Читайте также статью «Контролируем рабочую переписку сотрудников по электронной почте» в № 4’ 2019. В ней мы рассказали, какие изменения внести в документы, чтобы работодатель смог обеспечить конфиденциальность информации, а также как ему действовать при обнаружении разглашения охраняемой законом тайны

ЛНА об обработке и защите персональных данных

При любой проверке должностное лицо надзорного органа обязательно запросит локальные нормативные акты касательно обработки и защиты персональных данных (ст. 87 ТК РФ). Прежде всего – ​ЛНА, определяющий политику оператора в отношении обработки персональных данных (ст. 18.1 Закона № 152‑ФЗ). Законом прямо не урегулировано, как должен называться локальный нормативный акт об обработке персональных данных, – ​Политика или Положение. На практике встречаются оба варианта, при которых, например, Положение включается в состав Политики, или наоборот. Часто практикуют также одновременное оформление и Политики, и Положения: например Положение рассчитано на сотрудников компании, а Политика – ​на клиентов, посетителей сайта, соискателей и пр. В любом случае такой документ в отношении персональных данных должен быть (письмо Роскомнадзора от 19.10.2021 № 08-71063).

Связанный материал
ТОП-5 ошибок в сфере работы с персональными данными
№ 08 / 2021

См. статью «Топ-5 ошибок в сфере работы с персональными данными» в № 8’ 2021

При составлении документа, определяющего политику оператора в отношении обработки персональных данных, следует руководствоваться Рекомендациями Роскомнадзора, которые размещены на официальном сайте (www.rkn.gov.ru/personal-data/p908/) 1.

Связанный материал
О номере телефона – персданные или нет?
№ 01 / 2022

Относится ли номер телефона к персональным данным, читайте в № 1’ 2022

Обратите...

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 500 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Рекомендовано для вас

Работа с персональными данными: ответы на вопросы

Кадровая служба
№ 07 / 2024
Правовое обеспечение деятельности

В конце мая журнал «Кадровая служба и управление персоналом предприятия» и сайт delo-press.ru провели онлайн-семинар «Работа с персональными данными без ошибок». По итогам семинара мы собрали ответы спикера – ​эксперта по трудовым отношениям Юлии Жижериной – ​на вопросы слушателей семинара, дополнив их ссылками на нормативную базу и расширенную аргументацию. В частности, публикуем разбор следующих ситуаций: что делать, если работник отзывает свое согласие на обработку персданных; сколько целей обработки персданных можно указать в одном согласии; надо ли получать согласие работника на ведение видеозаписи, если камеры установлены только в коридорах; можно ли не издавать приказ о месте хранения и обработки персданных, а прописать это в ЛНА; кого указывать в приказе о перечне лиц, имеющих доступ к персданным; нужно ли согласие работника при добавлении его в общий чат мессенджера и пр.

За что работодателю может «прилететь» штраф?

Кадровая служба
№ 05 / 2024
Практические рекомендации

Как показывает практика, работодатели серьезно не относятся к соблюдению некоторых требований законодательства и это приводит их к штрафам при проверке. Выделим 5 типичных ошибок, которые допускают работодатели (часто из-за не слишком серьезного к ним отношения). В частности, поговорим об ошибках, которые затрагивают вопросы обучения по охране труда, привлечения к труду в нерабочее время, оформления трудового договора, привлечения к дисциплинарной ответственности и удержаний из зарплаты.

Сергей Слесарев
частнопрактикующий юрист, эксперт Экспертного центра «Общественная Дума»

Контрольные мероприятия ГИТ: к чему должен быть готов кадровик

Кадровая служба
№ 07 / 2024
Правовое обеспечение деятельности

Как проходят плановые, внеплановые проверки и профилактические мероприятия, проводимые трудовой инспекцией, с учетом моратория в 2024 году. Что такое риск-ориентированный подход, как узнать свою категорию риска. В каком случае может прийти внеплановая проверка. Когда плановая проверка может быть заменена профилактическим мероприятием. Сколько длятся контрольные мероприятия ГИТ. Какие ошибки чаще всего находят инспекторы на проверках.

Анастасия Маслова
юрист юридической компании LEVINE Bridge

Нужно ли новое согласие на обработку персданных при смене фамилии?

Кадровая служба
№ 05 / 2024

Сотрудница вышла замуж и сменила фамилию. Требуется ли получение от нее нового согласия на обработку персональных данных?

Элина Байдина
эксперт службы Правового консалтинга ГАРАНТ

Какие данные являются персональными: позиция суда

Кадровая служба
№ 05 / 2021
Правовое обеспечение деятельности

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Александр Бычков
директор юридического департамента ООО «Пимпэй Касса»

Административная ответственность за нарушение трудового законодательства: как защититься

Кадровая служба
№ 03 / 2020
Правовое обеспечение деятельности

Работодатели и их должностные лица нередко подвергаются ответственности за нарушение трудового законодательства (ст. 5.27 и 5.27.1 КоАП РФ). Рассмотрим ситуации привлечения к ответственности, поговорим, от чего зависит размер штрафа, налагаемого на работодателя и его должностных лиц, возможно ли его снизить или вообще избежать, кем он применяется, а также, исходя из анализа судебной практики и личного опыта эксперта, расскажем о тех моментах, на которые стоит обратить внимание при защите интересов организации.

Елена Грозовская
адвокат Адвокатской палаты Саратовской области

Можно ли обязать держать зарплату в тайне?

Кадровая служба
№ 08 / 2020
Правовое обеспечение деятельности

Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

Елена Грозовская
адвокат Адвокатской палаты Саратовской области

Считаем срок давности привлечения к административной ответственности

Кадровая служба
№ 01 / 2020
Правовое обеспечение деятельности

Работодатель и его должностные лица не могут быть привлечены к ответственности за правонарушение по истечении определенного времени после его совершения. Такой период времени называется сроком давности. За его пределами инспекция труда не может вынести постановление по делу об административном правонарушении, а если постановление принято, то его можно будет оспорить.

Алексей Каблучков
юрисконсульт ООО «Торговый Дом Авто Ресурс», канд. юрид. наук