Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Кадровая служба
  3. Практические рекомендации

Документы по персональным данным, которые проверит Роскомнадзор

0
Журнал «Кадровая служба и управление персоналом предприятия» № 4 / 2024
Юлия Жижерина
юрист по трудовому праву
Татьяна Снежкина
юрист по трудовому праву
Любым организациям и ИП так или иначе приходится обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.

Важно понимать, что защита персональных данных является одним из основных принципов деятельности любой компании. Она требует ответственного подхода и систематической работы, ведь нарушения могут повлечь серьезные последствия для бизнеса, поэтому компаниям необходимо уделить должное внимание вопросам обработки персональных данных и подготовке к проверкам. Один из самых актуальных – ​оформление документов, которые проверяющие могут запросить при проверке. В статье остановимся на наиболее важных из них, которые чаще всего проверяющие требуют от работодателей.

Связанный материал
Организуем работу с персональными данными сотрудников
№ 02 / 2015

См. статью «Организуем работу с персональными данными сотрудников» в № 2’ 2015

В первую очередь в рамках проведения проверки Роскомнадзор заинтересуют общие сведения о компании, поэтому проверяющие затребуют:

  • копию устава;
  • договоры об аренде офисных помещений (рабочих мест);
  • штатное расписание;
  • локальный нормативный акт (ЛНА), устанавливающий политику в отношении обработки персональных данных, правила обработки и защиты персданных;
  • перечень лиц, имеющих доступ и непосредственно допущенных к обработке персданных;
  • согласия субъектов персданных на их обработку работодателем;
  • приказ о назначении должностного лица (уполномоченного представителя), которое обязано представлять интересы юридического лица при проведении проверки, а также о назначении ответственного за организацию обработки персданных;
  • уведомления Роскомнадзора об обработке персональных данных
  • и иные документы общего характера.

Связанный материал
Как работодателю уведомить Роскомнадзор об обработке персональных данных
№ 10 / 2022

См. статью «Как работодателю уведомить Роскомнадзор об обработке персональных данных» в № 10’ 2022
Связанный материал
Как по-новому проверяют работодателей, обрабатывающих персональные данные
№ 06 / 2019

О том, как проверяют работодателей, обрабатывающих персональные данные, читайте в № 6’ 2019

Далее подробно рассмотрим те из них, о содержании которых у проверяющих возникают вопросы чаще всего.

Приказ о назначении ответственного за организацию работы с персональными данными

Надзорный орган по традиции затребует приказ о назначении ответственного за организацию обработки персональных данных. Ведь работодатель обязан его назначить (ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», далее – ​Закон № 152‑ФЗ). Форма документа нормативно не установлена, поэтому ее можно разработать самостоятельно (Пример 1).

Связанный материал
Необходимо ли ежегодно переиздавать приказы о назначении ответственных?
№ 07 / 2021

Читайте ответ на вопрос, необходимо ли ежегодно переиздавать приказы о назначении ответственных, в № 7’ 2021

Пример 1. Приказ о назначении ответственного за организацию обработки персональных данных лица
Связанный материал
Должен ли в компании быть специалист по информационной безопасности?
№ 03 / 2024

О назначении ответственного за защиту персданных в информационных системах читайте статью «Должен ли в компании быть специалист по информационной безопасности?» в № 3’ 2024
Связанный материал
Что может сказать почерк об ответственности работника
№ 07 / 2021

См. также статью «Что может сказать почерк об ответственности работника» в № 7’ 2021

Причем недостаточно только назначить ответственное за организацию обработки персданных лицо, соответствующие обязанности должны быть прописаны в его должностной инструкции (инструкции по профессии) и/или трудовом договоре. Поэтому необходимо проверить, отражены ли там обязанности, касающиеся работы с персональными данными. Ведь проверяющие непременно запросят эти документы (образец формулировки см. в Примере 2).

Пример 2. Формулировка для должностной инструкции и/или трудового договора ответственного за организацию обработки персональных данных

5. Работник обязан:

…5.8. Организовать разработку, принятие и актуализацию Работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

5.9. Организовать применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.10. Осуществлять внутренний контроль (аудит) за соблюдением Работодателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных и принимать меры в случае выявления нарушений.

5.11. Организовать проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых Работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных.

5.12. Доводить до сведения работников Работодателя положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

5.13. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.

Связанный материал
Разглашение персональных данных: за что можно уволить работника
№ 03 / 2022

См. статью «Разглашение персональных данных: за что можно уволить работника» в № 3’ 2022

Связанный материал
Контролируем рабочую переписку сотрудников по электронной почте
№ 04 / 2019

Читайте также статью «Контролируем рабочую переписку сотрудников по электронной почте» в № 4’ 2019. В ней мы рассказали, какие изменения внести в документы, чтобы работодатель смог обеспечить конфиденциальность информации, а также как ему действовать при обнаружении разглашения охраняемой законом тайны

ЛНА об обработке и защите персональных данных

При любой проверке должностное лицо надзорного органа обязательно запросит локальные нормативные акты касательно обработки и защиты персональных данных (ст. 87 ТК РФ). Прежде всего – ​ЛНА, определяющий политику оператора в отношении обработки персональных данных (ст. 18.1 Закона № 152‑ФЗ). Законом прямо не урегулировано, как должен называться локальный нормативный акт об обработке персональных данных, – ​Политика или Положение. На практике встречаются оба варианта, при которых, например, Положение включается в состав Политики, или наоборот. Часто практикуют также одновременное оформление и Политики, и Положения: например Положение рассчитано на сотрудников компании, а Политика – ​на клиентов, посетителей сайта, соискателей и пр. В любом случае такой документ в отношении персональных данных должен быть (письмо Роскомнадзора от 19.10.2021 № 08-71063).

Связанный материал
ТОП-5 ошибок в сфере работы с персональными данными
№ 08 / 2021

См. статью «Топ-5 ошибок в сфере работы с персональными данными» в № 8’ 2021

При составлении документа, определяющего политику оператора в отношении обработки...

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 500 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Рекомендовано для вас

Правила уничтожения персональных данных

Кадровая служба
№ 04 / 2024
Практические рекомендации

В каких ситуациях и в какие сроки необходимо уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).

Марина Дячук
частнопрактикующий юрист

Полиграф в кадровой работе

Кадровая служба
Технологии эффективности

Из статьи узнаете: что представляет собой исследование на полиграфе; как регламентируется его использование в российском законодательстве; в чем может быть польза от его применения работодателем, какие риски следует принимать во внимание; как сейчас складывается практика использования полиграфа в трудовых и связанных с ними отношениях. В вашем распоряжении – ​образцы формулировок в локальные нормативные акты и трудовые договоры, согласий на прохождение работниками и соискателями психофизиологического исследования с применением полиграфа и на обработку общих и специальных категорий персональных данных.

Сергей Россол
корпоративный консультант МКА «Калинин, Трач и партнеры»

Должен ли в компании быть специалист по информационной безопасности?

Кадровая служба
№ 03 / 2024
Правовое обеспечение деятельности

Закон о персональных данных требует от работодателей назначить ответственного за организацию обработки персданных. Это может быть сам генеральный директор, а также HR или другое уполномоченное лицо. Но многие не в курсе, что часто одним ответственным не обойтись. Все дело в постановлении Правительства РФ от 01.11.2012 № 1119, которым утверждены требования к защите персональных данных при их обработке в информационных системах персональных данных. Согласно документу обеспечивать такую защиту в определенных случаях должен либо специально уполномоченный работник, либо отдельное структурное подразделение. Автор объясняет, когда в организации такой ответственный сотрудник может быть один, а в какой ситуации понадобится целый отдел; каким критериям он должен соответствовать; можно ли привлечь специалиста(ов) по аутсорсингу; какая ответственность грозит, если вовсе не назначить ответственное лицо. Приводит наглядную таблицу с описанием условий установления уровней защищенности персональных данных при их обработке в информационной системе, которую удобно использовать на практике, чтобы сориентироваться в своих обязанностях в данной сфере. Дает алгоритмы действий работодателя в зависимости от конкретных ситуаций и образец приказа об утверждении перечня работников, имеющих доступ к персональным данным в информационной системе, а также рекомендации, как обеспечить самый простой на сегодняшний день способ защиты. Это необходимый минимум, который должен быть у всех!

Елена Кожемякина
управляющий партнер юридической компании BLS

Отвечаем на запросы о предоставлении персональных данных

Кадровая служба
№ 02 / 2024
Практические рекомендации

В организацию время от времени приходят запросы от сторонних лиц. Это могут быть как государственные (муниципальные) органы и организации, так и коммерческие компании. В каком случае у работодателя есть обязанность ответить на запрос о представлении персональных данных, а когда он должен (или может) отказать? Какие сроки установлены для ответа на запросы суда, прокуратуры, ОВД, судебных приставов и пр.? Показываем, как организовать процесс ответов на внешние запросы (с образцами оформления ответов на различные запросы, в т.ч. об отказе предоставить сведения, а также примерами исчисления сроков исполнения запросов).

Оксана Аскарова
заместитель начальника управления делами и организационной работы – начальник общего отдела Отделения Фонда пенсионного и социального страхования Российской Федерации по Тверской области

Какие данные являются персональными: позиция суда

Кадровая служба
№ 05 / 2021
Правовое обеспечение деятельности

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Александр Бычков
директор юридического департамента ООО «Пимпэй Касса»

Считаем срок давности привлечения к административной ответственности

Кадровая служба
№ 01 / 2020
Правовое обеспечение деятельности

Работодатель и его должностные лица не могут быть привлечены к ответственности за правонарушение по истечении определенного времени после его совершения. Такой период времени называется сроком давности. За его пределами инспекция труда не может вынести постановление по делу об административном правонарушении, а если постановление принято, то его можно будет оспорить.

Алексей Каблучков
юрисконсульт ООО «Торговый Дом Авто Ресурс», канд. юрид. наук

Можно ли обязать держать зарплату в тайне?

Кадровая служба
№ 08 / 2020
Правовое обеспечение деятельности

Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

Елена Грозовская
адвокат Адвокатской палаты Саратовской области

Административная ответственность за нарушение трудового законодательства: как защититься

Кадровая служба
№ 03 / 2020
Правовое обеспечение деятельности

Работодатели и их должностные лица нередко подвергаются ответственности за нарушение трудового законодательства (ст. 5.27 и 5.27.1 КоАП РФ). Рассмотрим ситуации привлечения к ответственности, поговорим, от чего зависит размер штрафа, налагаемого на работодателя и его должностных лиц, возможно ли его снизить или вообще избежать, кем он применяется, а также, исходя из анализа судебной практики и личного опыта эксперта, расскажем о тех моментах, на которые стоит обратить внимание при защите интересов организации.

Елена Грозовская
адвокат Адвокатской палаты Саратовской области