Документы по персональным данным, которые проверит Роскомнадзор

Любым организациям и ИП так или иначе приходится обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.

Важно понимать, что защита персональных данных является одним из основных принципов деятельности любой компании. Она требует ответственного подхода и систематической работы, ведь нарушения могут повлечь серьезные последствия для бизнеса, поэтому компаниям необходимо уделить должное внимание вопросам обработки персональных данных и подготовке к проверкам. Один из самых актуальных – ​оформление документов, которые проверяющие могут запросить при проверке. В статье остановимся на наиболее важных из них, которые чаще всего проверяющие требуют от работодателей.

В первую очередь в рамках проведения проверки Роскомнадзор заинтересуют общие сведения о компании, поэтому проверяющие затребуют:

  • копию устава;
  • договоры об аренде офисных помещений (рабочих мест);
  • штатное расписание;
  • локальный нормативный акт (ЛНА), устанавливающий политику в отношении обработки персональных данных, правила обработки и защиты персданных;
  • перечень лиц, имеющих доступ и непосредственно допущенных к обработке персданных;
  • согласия субъектов персданных на их обработку работодателем;
  • приказ о назначении должностного лица (уполномоченного представителя), которое обязано представлять интересы юридического лица при проведении проверки, а также о назначении ответственного за организацию обработки персданных;
  • уведомления Роскомнадзора об обработке персональных данных
  • и иные документы общего характера.

Далее подробно рассмотрим те из них, о содержании которых у проверяющих возникают вопросы чаще всего.

Приказ о назначении ответственного за организацию работы с персональными данными

Надзорный орган по традиции затребует приказ о назначении ответственного за организацию обработки персональных данных. Ведь работодатель обязан его назначить (ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», далее – ​Закон № 152‑ФЗ). Форма документа нормативно не установлена, поэтому ее можно разработать самостоятельно (Пример 1).

Причем недостаточно только назначить ответственное за организацию обработки персданных лицо, соответствующие обязанности должны быть прописаны в его должностной инструкции (инструкции по профессии) и/или трудовом договоре. Поэтому необходимо проверить, отражены ли там обязанности, касающиеся работы с персональными данными. Ведь проверяющие непременно запросят эти документы (образец формулировки см. в Примере 2).

Пример 2. Формулировка для должностной инструкции и/или трудового договора ответственного за организацию обработки персональных данных

5. Работник обязан:

…5.8. Организовать разработку, принятие и актуализацию Работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

5.9. Организовать применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.10. Осуществлять внутренний контроль (аудит) за соблюдением Работодателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных и принимать меры в случае выявления нарушений.

5.11. Организовать проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых Работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных.

5.12. Доводить до сведения работников Работодателя положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

5.13. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.

ЛНА об обработке и защите персональных данных

При любой проверке должностное лицо надзорного органа обязательно запросит локальные нормативные акты касательно обработки и защиты персональных данных (ст. 87 ТК РФ). Прежде всего – ​ЛНА, определяющий политику оператора в отношении обработки персональных данных (ст. 18.1 Закона № 152‑ФЗ). Законом прямо не урегулировано, как должен называться локальный нормативный акт об обработке персональных данных, – ​Политика или Положение. На практике встречаются оба варианта, при которых, например, Положение включается в состав Политики, или наоборот. Часто практикуют также одновременное оформление и Политики, и Положения: например Положение рассчитано на сотрудников компании, а Политика – ​на клиентов, посетителей сайта, соискателей и пр. В любом случае такой документ в отношении персональных данных должен быть (письмо Роскомнадзора от 19.10.2021 № 08-71063).

При составлении документа, определяющего политику оператора в отношении обработки персональных данных, следует руководствоваться Рекомендациями Роскомнадзора, которые размещены на официальном сайте (www.rkn.gov.ru/personal-data/p908/) 1.

Обратите внимание:...

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 840 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Опоздание на работу: как зафиксировать, наказать и не проиграть в суде

Что считать опозданием и почему в связи с этим важно понимать отличие между понятиями «место работы» и «рабочее место». Как сразу зафиксировать опоздание, чтобы потом иметь возможность привлечь работника к дисциплинарной ответственности и/или не оплатить неотработанное время. Какие конкретно документы понадобятся, чтобы подтвердить факт опоздания (акты, докладные (служебные) записки, данные СКУД). Как заполнить табель учета рабочего времени, чтобы при необходимости подтвердить свою правоту в суде и в диалоге с проверяющими. Когда считается, что у работника есть уважительная причина (например, будет ли таковой поломка автобуса или снегопад), а когда опоздание становится дисциплинарным проступком. Как законно наказать рублем, используя правильные формулировки о премировании в локальных нормативных актах и/или трудовом договоре, и почему просто штрафовать нельзя. Судебная практика свидетельствует о том, что в ряде ситуаций суды отменяют взыскания даже за доказанные опоздания. Зная об этом, даем пошаговый алгоритм грамотного применения взыскания – от фиксации опоздания до издания приказа о привлечении к дисциплинарной ответственности и ознакомления с ним, – чтобы вы могли избежать ошибок и чувствовать себя уверенно даже в суде.

Нарушения в работе с персональными данными: как снизить риски

Рассматриваем нарушения при работе с персональными данными (ПД) и размеры штрафов за них по ст. 13.11 КоАП РФ. Говорим о нарушениях, связанных с целями обработки ПД, оформляемыми согласиями, а также обязанностями по публикации Политики обработки ПД, представлению человеку информации, касающейся его ПД, обезличиванию, уточнению или уничтожению ПД, уведомлению Роскомнадзора. Подсказываем, какие штрафы понесет должностное лицо, а какие работодатель за выявленные проверяющими нарушения, как их избежать. Приводим образцы оформления согласий работника на обработку и распространение ПД.

Как уничтожать персданные без штрафов и лишней работы

С марта 2023 года Роскомнадзор требует документировать уничтожение персональных данных отдельным актом с указанием Ф.И.О. субъектов и категорий персданных. Для кадровиков это стало настоящей головной болью: неужели на тысячи кадровых документов теперь нужно составлять два акта – Росархива и Роскомнадзора? Ошибка грозит огромными штрафами, а «задвоение» документооборота парализует работу. Даем алгоритм выбора нужного акта в зависимости от статуса документа и факта достижения цели обработки персданных. Анализируем типичные кадровые ситуации: от согласий на размещение на Доске почета и отозванных согласий до медицинских справок, резюме соискателей и документов по личному составу с длительными сроками хранения. Фокусируемся на защите от претензий проверяющих. Узнаете, почему на архивные документы закон о персданных не распространяется; как доказать, что физическое уничтожение носителя равносильно уничтожению самих данных. Получите железную аргументацию, чтобы законно отказаться от составления лишних актов и сэкономить сотни рабочих часов.

Анализ практики ГИТ: меры реагирования по результатам КНМ

Продолжаем анализировать практику ГИТ, обобщенную Рострудом. На этот раз исследуем, какие документы оформляют трудовые инспекции по результатам контрольных (надзорных) мероприятий (КНМ) при выявлении нарушений обязательных требований трудового законодательства: предостережение о недопустимости нарушения обязательных требований; предписания об устранении выявленных нарушений, отстранении от работы, запрете использования СИЗ и СКЗ, привлечении к дисциплинарной ответственности; решение о принудительном исполнении обязанности по выплате зарплаты. Посмотрите интересную статистику по вынесению проверяющими предостережений, предписаний и решений с конкретными примерами из Обзора Роструда, чтобы выявить свои узкие места и «примерить на себя» результаты проверок, в том числе применяемые на практике размеры штрафов для работодателей и должностных лиц. А если дело дойдет до контрольных (надзорных) мероприятий, используйте наши рекомендации, когда и по каким основаниям лучше оспаривать оформляемые ГИТ документы.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Административная ответственность за нарушение трудового законодательства: как защититься

Работодатели и их должностные лица нередко подвергаются ответственности за нарушение трудового законодательства (ст. 5.27 и 5.27.1 КоАП РФ). Рассмотрим ситуации привлечения к ответственности, поговорим, от чего зависит размер штрафа, налагаемого на работодателя и его должностных лиц, возможно ли его снизить или вообще избежать, кем он применяется, а также, исходя из анализа судебной практики и личного опыта эксперта, расскажем о тех моментах, на которые стоит обратить внимание при защите интересов организации.

Можно ли обязать держать зарплату в тайне?

Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

За что работодателю может «прилететь» штраф?

Как показывает практика, работодатели серьезно не относятся к соблюдению некоторых требований законодательства и это приводит их к штрафам при проверке. Выделим 5 типичных ошибок, которые допускают работодатели (часто из-за не слишком серьезного к ним отношения). В частности, поговорим об ошибках, которые затрагивают вопросы обучения по охране труда, привлечения к труду в нерабочее время, оформления трудового договора, привлечения к дисциплинарной ответственности и удержаний из зарплаты.