Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Кадровая служба
  3. Правовое обеспечение деятельности

Что Роскомнадзор проверит в первую очередь и за что накажет

0
Журнал «Кадровая служба и управление персоналом предприятия» № 3 / 2025
Ольга Свириденко
юрист по трудовому праву компании «Мир трудовых отношений»
Ответственность за обработку персональных данных с нарушениями продолжает ужесточаться. С 30.05.2025 за повторные нарушения по некоторым статьям начнут взыскивать оборотные штрафы. Автор анализирует три основных требования к работодателям, которые необходимо выполнить в первую очередь при обработке персданных работников и клиентов (уведомление Роскомнадзора, назначение ответственного лица, утверждение политики обработки персональных данных), а также последствия их несоблюдения. Объясняет, как правильно выполнить такие требования (с образцами документов и конкретных формулировок), на основе собственного опыта и разъяснений Роскомнадзора. Показывает судебную практику, которая «подсвечивает» узкие места.

Скоро начнут действовать оборотные штрафы за нарушения в сфере работы с персданными. Это новая санкция для российского законодательства, которая подтверждает, что власти уделяют защите персональных данных все больше внимания. Да и без оборотных штрафов есть чего опасаться. Статья поможет выявить ключевые риски и подстелить соломку там, где это возможно.

1. Уведомляем Роскомнадзор

Связанный материал
Работа с персональными данными: ответы на вопросы
№ 07 / 2024

До начала обработки персональных данных работодатель обязан уведомить Роскомнадзор (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»1). В ч. 2 ст. 22 Закона № 152-ФЗ предусмотрены исключения, когда такое уведомление не требуется. Это происходит в случае:

  • если данные обрабатываются в целях защиты безопасности государства и общественного порядка;
  • используются для обеспечения транспортной безопасности;
  • или если оператор обрабатывает данные исключительно на бумаге, без средств автоматизации.

Получается, если в компании есть хотя бы 1 работник (генеральный директор), 1 контрагент или 1 клиент, то обязанность по уведомлению Роскомнадзора существует.

Сведения об операторах, обрабатывающих персональные данные, вносятся Роскомнадзором в соответствующий реестр2.

Ответственность за неуведомление

Связанный материал
Работа с персональными данными клиентов
№ 03 / 2015
Связанный материал
ТОП-5 ошибок в сфере работы с персональными данными
№ 08 / 2021

Что будет, если работодатель проигнорирует требования закона о представлении уведомления?

На текущий момент предусмотрена административная санкция в ст. 19.7 КоАП РФ – предупреждение или незначительный штраф. Но уже с 30.05.2025 ужесточается ответственность: вводятся специальные нормы, касающиеся неуведомления или несвоевременного уведомления Роскомнадзора о намерении осуществить обработку персональных данных и их утечках.

Таблица 1. Меры административной ответственности за непредставление информации в Роскомнадзор

Сроки введения

Норма КоАП РФ

Суть нарушения

Санкция

В настоящее время и после 30.05.2025

ст. 19.7

Непредставление или несвоевременное представление, а равно представление в неполном объеме или в искаженном виде в Роскомнадзор сведений (информации), представление которых предусмотрено законом (например, по запросу РКН)

предупреждение либо штраф:
– для должностных лиц и ИП – от 300 до 500 руб. (или дисквалификация до 3-х лет);
– малых и микропредприятий – от 1500 до 2500 руб.;
– остальных юридических лиц – от 3000 до 5000 руб.

С 30.05.2025

ч. 10 ст. 13.11

Неуведомление или несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных

штраф:
– для должностных лиц (государственных и муниципальных органов) – от 30 000 до 50 000 руб.;
– малых и микропредприятий – от 50 000 до 150 000 руб.;
– иных юрлиц (коммерческих организаций) и ИП – от 100 000 до 300 000 руб.

ч. 11 ст. 13.11

Неуведомление или несвоевременное уведомление Роскомнадзора о фактах неправомерной или случайной передачи (представления, распространения, доступа) персональных данных

штраф:
– для должностных лиц (государственных и муниципальных органов) – от 400 000 до 800 000 руб.;
– малых и микропредприятий – от 500 000 до 1 500 000 руб.;
– иных юрлиц (коммерческих организаций) и ИП – от 1 000 000 до 3 000 000 руб.

Как видите, поводом для привлечения к ответственности может послужить либо непредставление сведений вовсе или представление, но с опозданием. Негативные последствия могут наступить в том числе и за представление сведений в неполном объеме или в искаженном виде.

Судебная практика

Постановлением мирового судьи работодатель был привлечен к административной ответственности по ст. 19.7 КоАП РФ в виде предупреждения. Основанием послужило то, что он не представил на запрос Роскомнадзора уведомление об обработке персональных данных либо информационное письмо с указанием законных оснований, в соответствии с которыми вправе осуществлять их обработку без уведомления Роскомнадзора.

Руководитель компании пытался оспорить привлечение к ответственности. Суд ему отказал, отметив, что:

  • использование личных данных работников (фамилия, имя, отчество, адрес, паспортные данные и др.), сбор анкет (резюме) кандидатов на работу, направление третьим лицам (организации) списков сотрудников при оформлении им медицинских полисов, перечисление денежных средств на зарплатные счета, представление в военный комиссариат списков военнообязанных сотрудников, сбор и использование персональных данных физических лиц, состоящих в гражданско-правовых отношениях, и т. п. в соответствии с п. 3 ст. 3 Закона № 152-ФЗ является обработкой персональных данных;
  • следовательно, у работодателя как оператора персональных данных в силу закона возникла обязанность по представлению в Роскомнадзор уведомления об обработке персональных данных (постановление Первого кассационного суда общей юрисдикции от 14.03.2022 по делу № 16-1309/2022).

Как уведомить Роскомнадзор

Связанный материал
Как работодателю уведомить Роскомнадзор об обработке персональных данных
№ 10 / 2022

Уведомление о намерении осуществлять обработку персональных данных достаточно подать единожды за весь период работы оператора. Сведения направляются в территориальный орган Роскомнадзора по месту регистрации работодателя. Форма уведомления утверждена в приложении 1 к приказу Роскомнадзора от 28.10.2022 № 1803. Ее можно:

  • заполнить, распечатать, подписать у уполномоченного лица и подать в бумажном виде
  • либо направить в электронной форме, подписав усиленной квалифицированной электронной подписью или с помощью авторизации через портал госуслуг. Если уведомление подано в электронном виде, то есть возможность отслеживать его статус4. При этом номер уведомления и ключ появятся автоматически после заполнения формы на информационном ресурсе ведомства (они потребуются для входа).

Для каждой определенной категории персональных данных в уведомлении указываются:

  • одна конкретная цель;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание;
  • перечень действий с персональными данными;
  • способы обработки персональных данных,
  • а также меры по обеспечению защиты персональных данных (ч. 3.1 ст. 22 Закона № 152-ФЗ).

Если в процессе ведения хозяйственной деятельности меняются сведения, указанные в уведомлении (например, адрес работодателя, цель обработки и т. д.), то не позднее 15 числа месяца, следующего после месяца, в котором произошли изменения, необходимо будет передать в Роскомнадзор актуальные сведения (ч. 7 ст. 22 Закона № 152-ФЗ). Форма утверждена Приказом Роскомнадзора № 180 (приложение 2).

А в случае прекращения обработки персональных данных оператор обязан уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки. Роскомнадзор исключает сведения о работодателе из реестра операторов в течение 30 дней с даты поступления соответствующего уведомления.

На сайте Роскомнадзора в разделе «Реестр операторов» (подраздел «Документы») приводятся примеры заполнения указанных уведомлений:

  • об обработке (о намерении осуществлять обработку) персональных данных;
  • изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
  • внесении в реестр операторов сведений о прекращении оператором обработки персональных данных.

2. Назначаем ответственное лицо

Связанный материал
Документы по персональным данным, которые проверит Роскомнадзор
№ 04 / 2024

Образец приказа о назначении ответственного за организацию обработки персональных данных лица и формулировку для должностной инструкции и/или трудового договора ответственного см. также в статье «Документы по персональным данным, которые проверит Роскомнадзор» в № 4’ 2024

Лицам, ответственным за организацию обработки персональных данных, посвящена ст. 22.1 Закона № 152-ФЗ. Непосредственно в ч. 4 ст. 22.1 Закона № 152-ФЗ закреплены обязанности ответственного лица:

  • осуществлять внутренний контроль за соблюдением работодателем и всеми работниками законодательства РФ о персональных данных;
  • доводить до сведения работников положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требования к защите персональных данных;
  • организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.

Ответственное за работу с персональными данными лицо назначается приказом работодателя (образец см. в Примере 1). Более того, данная обязанность отражается в трудовом договоре работника или прописывается в его должностной инструкции (см. Пример 2). При назначении лица, ответственного за организацию обработки персональных данных, следует помнить, что он будет нести ответственность за сохранность информации не только на бумажных носителях, но и за сведения в электронном виде.

Обработка персональных данных в информационных системах имеет определенную специфику и требует соответствующих знаний. Поэтому полагаем, что целесообразно назначить двух ответственных лиц. Например:

  • специалист отдела кадров будет отвечать за организацию работы и сохранность персональных данных на бумажных носителях,
  • а обязанности по обеспечению информационной безопасности персданных в электронном виде возложить на системного администратора.

Причем в некоторых случаях компания обязана назначить отдельного специалиста ответственным за обеспечение безопасности персональных данных при их обработке в информационной системе или даже целый отдел (см. Требования к защите персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 01.11.2012 № 1119).

Связанный материал
Должен ли в компании быть специалист по информационной безопасности?
№ 03 / 2024

Обязанность назначить ответственного за обеспечение безопасности персданных в информационной системе, специалиста по информационной безопасности зависит от того, какой уровень угрозы может исходить от программ и электронных баз данных. Чтобы его определить, придется изучить указанные выше Требования. Выделяются три типа угроз:

  • 1-й тип, когда к неправомерному использованию данных могут привести возможности предустановленного программного обеспечения;
  • 2-й тип угрозы появляется из-за скрытых возможностей программ, которые устанавливают на компьютеры дополнительно, скажем, для автоматизации кадрового учета;
  • при 3-м типе угрозы от программного обеспечения отсутствуют.

Пример 1. Образец приказа о назначении ответственных за обеспечение безопасности информации и организацию обработки персональных данных лиц
Связанный материал
Должностная инструкция: практические ситуации
№ 07 / 2024

Пример 2. Формулировки о правах и обязанностях ответственного за обработку персональных данных лица (для трудового договора и/или должностной инструкции)

…8.2. Работник вправе:

8.2.1. Знакомиться с проектами документов, касающихся обработки и защиты персональных данных.

8.2.2. Представлять на рассмотрение генерального директора Организации предложения по вопросам обработки и защиты персональных данных.

8.2.3. Иметь доступ к информации, касающейся обработки и защиты персональных данных в Организации.

8.2.1. Требовать от работников Организации, имеющих доступ к персональным данным работников в рамках исполнения своих трудовых функций, знания и выполнения положений законодательства Российской Федерации о персональных данных, локальных нормативных актов и иных организационно-распорядительных документов Работодателя по вопросам обработки и защиты персональных данных.

8.2.2. Участвовать в анализе ситуаций, касающихся нарушений требований к обработке и защите персональных данныхи фактов несанкционированного доступа к персональным данным.

8.3. Работник обязан:

8.3.1. Разрабатывать, обеспечивать принятие и актуализацию Работодателем документов, определяющих его политику в отношении обработки персональных данных, иных локальных нормативных актов и других организационно-распорядительных документов Работодателя по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных нормативных актов и других организационно-распорядительных документов Работодателя, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

8.3.2. Обеспечить применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.3.4. Осуществлять внутренний контроль (аудит) за соблюдением Работодателем и работниками Организации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных и принимать меры в случае выявления нарушений.

8.3.5. Обеспечить проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, соотношение указанного вреда и принимаемых Работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных.

8.3.6. В случае нарушения требований к защите персональных данных незамедлительно принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

8.3.7. Блокировать неправомерно обрабатываемые персональные данные, обеспечить прекращение обработки персональных данных в соответствии с законодательством Российской Федерации.

8.3.8. Взаимодействовать с уполномоченным органом по защите прав субъектов персональных данных в случаях, в форме и в сроках, установленных законодательством Российской Федерации.

8.3.9. Уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных.

8.3.10. Доводить до сведения работников Организации положения нормативных правовых актов Российской Федерации о персональных данных, локальных нормативных актов и иных организационно-распорядительных документов Работодателя по вопросам обработки персональных данных, требований к защите персональных данных.

8.3.11. Обеспечить прием и обработку обращений и запросов субъектов персональных данных или их представителей, осуществлять контроль за приемом и обработкой таких обращений и запросов.

Связанный материал
Чем грозит разглашение информации о работнике
№ 12 / 2018

Отсутствие ответственного за организацию обработки персональных данных в нарушение установленных требований рассматривается контролирующим органом как отсутствие мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Законом № 152-ФЗ.

Судебная практика

В ходе проверки было установлено, что работодатель не исполнял требования Закона № 152-ФЗ, в частности:

  • не были разработаны и утверждены локальные нормативные акты, регламентирующие деятельность в сфере персональных данных,
  • и не было назначено ответственное должностное лицо за организацию обработки персональных данных.

Обязывая работодателя утвердить необходимые документы и назначить ответственное лицо (в течение 2-х месяцев после вступления в законную силу решения суда), суд отметил, что невыполнение указанных мероприятий в сфере обеспечения работы с персональными данными создает риск их неправомерного использования, нарушения конфиденциальности и причинения вреда субъектам персональных данных (решение Шарлыкского районного суда Оренбургской области от 05.11.2019 по делу № 2а-534/2019).

Если лицо, ответственное за организацию обработки персональных данных, не назначено, то в случае обнаружения нарушений требований Закона № 152-ФЗ суд признает виновным непосредственного руководителя организации (см., например, постановление мирового судьи судебного участка № 57 в Ленинском районе г. Красноярска от 14.03.2023 по делу № 05-0253/57/2023).

Отметим также, что отсутствие назначенного лица, ответственного за организацию работы с персональными данными, создает сложности и с уведомлением Роскомнадзора о намерении обработки персональных данных.

3. Утверждение политики обработки персональных данных

Работодатель обязан разработать и утвердить локальный нормативный акт об обработке, защите, хранении и использовании персональных данных своих работников, например Положение о персональных данных и их защите (Политику). В соответствии со ст. 18.1 Закона № 152-ФЗ утверждение политики также является мерой, направленной на обеспечение выполнения работодателем обязанностей, предусмотренных законодательством о защите персональных данных.

Кроме того, работодатель обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.

Операторы, которые осуществляет сбор персональных данных с использованием Интернета, обязаны размещать на своем сайте документы о политике обработки и защиты персональных данных организации с предоставлением возможности неограниченного доступа к ним. Причем ссылку на политику необходимо разместить на всех страницах сайта, если там собираются персональные данные (например, при наличии формы обратной связи).

Иные операторы вправе самостоятельно определить конкретный способ обеспечения неограниченного доступа к указанным сведениям, например, путем размещения на информационном стенде или на сайте организации (ч. 2 ст. 18.1 Законы № 152-ФЗ).

Судебная практика

Детская школа искусств осуществляла сбор персональных данных путем заполнения формы обратной связи на своем сайте (в интернет-приемной), однако документы, определяющие политику в отношении обработки персональных данных, на указанном сайте не были размещены. Суд пришел к выводу, что директор школы, являясь оператором, осуществляющим обработку персональных данных, не выполнила предусмотренную законодательством РФ в области персональных данных обязанность по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. В итоге директор была привлечена к ответственности по ч. 3 ст. 13.11 КоАП РФ в виде предупреждения (постановление Хасынского районного суда Магаданской области от 22.03.2024 по делу № 5-28/2024).

Чтобы избежать претензий к содержанию документа, определяющего политику в отношении персональных данных, оформите его согласно Рекомендациям Роскомнадзора5:

Таблица 2. Что должно быть в ЛНА об обработке персональных данных

Наименование раздела

Содержание раздела

Общие положения (п. 3.1 Рекомендаций)

– назначение Положения;
– основные понятия (для раскрытия понятий можно воспользоваться их определениями, приведенными в ст. 3 Закона № 152-ФЗ);
– основные права и обязанности работодателя и работников
Правовые основания обработки персональных данных (п. 3.3 Рекомендаций)

Например:
– ТК РФ;
– Закон № 152-ФЗ;
– учредительные документы;
– трудовые договоры или иные соглашения между организацией и работником (например, коллективный договор) либо иным субъектом персональных данных;
– согласие субъекта персональных данных на обработку персональных данных

Цели сбора персональных данных (п. 3.2 Рекомендаций)

Например:
– подбор и управление персоналом: поиск соискателей, оценка деловых качеств соискателей, заключение трудового договора, выполнение трудовой функции и исполнение должностных (служебных) обязанностей;
– вознаграждение персонала: расчет и выплата заработной платы, включая доплаты, премии, компенсация расходов, вознаграждение за служебные результаты интеллектуальной деятельности и осуществление прочих выплат, а также предоставление налоговых вычетов, удержания из заработной платы, организация предоставления банковских карт для личного и/или служебного использования;
– организация служебных поездок: содействие в оформлении документов для командировок, предоставление в пользование служебных транспортных средств, а также оказание эффективной технической помощи в ходе служебной эксплуатации транспортных средств;
– обеспечение безопасности: обеспечение сохранности имущества и защиты физических лиц от противоправных деяний (посягательств), обеспечение внутриобъектного и пропускного режимов и иные законные цели

Категории субъектов персональных данных и объем персональных данных (п. 3.4 Рекомендаций)

Например:
– работники организации (в том числе бывшие), их родственники, кандидаты на замещение вакансий, стажеры и практиканты;
– клиенты и контрагенты, являющиеся физическими лицами;
– представители и работники клиентов и контрагентов, являющихся юридическими лицами.
Для каждой категории субъектов персональных данных следует указать категории персональных данных и цель их обработки

Порядок и условия обработки персональных данных (ст. 86 ТК РФ, ст. 6 Закона № 152-ФЗ, п. 3.5 Рекомендаций)

– перечень действий, совершаемых работодателем с персональными данными работников, а также используемые им способы и сроки обработки персональных данных;
– способы обработки персональных данных: автоматизированный (с использованием средств вычислительной техники) и неавтоматизированный (только вручную)

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным (п. 3.6 Рекомендаций)

Условия, при которых персональные данные подлежат уничтожению, Роскомнадзор рекомендует сформулировать так же, как это сделано в Законе № 152-ФЗ. Например: «Когда цели обработки персональных данных достигнуты или субъект персональных данных отозвал свое согласие, персональные данные должны быть уничтожены, если:
– иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
– оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;
– иное не предусмотрено иным соглашением между оператором и субъектом персональных данных»

Хранение и использование персональных данных работников (ст. 87 ТК РФ)

Например:
– персональные данные работников, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных работников в электронном виде вне применяемых работодателем информационных систем и специально обозначенных работодателем баз данных (внесистемное хранение персональных данных) не допускается;
– обеспечивается раздельное хранение бумажных носителей персональных данных работников и бумажных носителей персональных данных иных лиц (то есть хранение способом, при котором работник, получающий доступ к персональным данным работников, не вынужден одновременно получать доступ к персональным данным иных лиц).

Меры защиты персональных данных работников (ст. 86 ТК РФ, п. 3.5 Рекомендаций)

Например:
– разработаны локальные нормативные акты и иные организационно-распорядительные документы по вопросам обработки персональных данных;
– лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства РФ о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными нормативными актами по вопросам обработки и защиты персональных данных;
– назначен ответственный за организацию обработки персональных данных;
– на стенде (и/или сайте) размещены документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных;
– разработаны модели угроз безопасности персональным данным в информационных системах

Ответственность (ст. 90 ТК РФ, ст. 24 Закона № 152-ФЗ)

Например:
– работники и иные лица, виновные в нарушении настоящей Политики, а также законодательства РФ в области персональных данных, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами;
– разглашение работником персональных данных другого работника, ставших известными первому в связи с исполнением им трудовых обязанностей, может повлечь привлечение работника, разгласившего такие данные, к дисциплинарной ответственности, вплоть до увольнения

Связанный материал
Разглашение персональных данных: за что можно уволить работника
№ 03 / 2022

В заключение приведем тезисы Роскомнадзора о том, как защитить персональные данные при их обработке6. По мнению ведомства, необходимо:

  • минимизировать список персональных данных для сбора и обработки. Лучше использовать только те сведения, которые реально нужны;
  • хранить личные сведения клиентов, работников, соискателей и т. д. раздельно;
  • не накапливать личную информацию «на всякий случай» и не формировать профили клиентов, если это не жизненно важно оператору;
  • хранить идентификаторы человека (Ф.И.О., электронную почту, телефон, адрес) и данные о взаимодействии с ним (информацию об оказании услуг и продаже товаров, переписку, договоры и пр.) в базах данных, которые напрямую не связаны друг с другом;
  • использовать технические и программные средства для обеспечения необходимого уровня безопасности данных;
  • назначить ответственного за защиту персональных данных, наделив его необходимыми полномочиями.

Сноски 6

  1. Далее – Закон № 152-ФЗ. Вернуться назад
  2. По состоянию на 27.12.2024 в Реестре операторов, осуществляющих обработку персональных данных, содержались сведения о 925 327 операторах персональных данных (pd.rkn.gov.ru/operatorsregistry/operators-list/). Вернуться назад
  3. Далее – Приказ Роскомнадзора № 180. Вернуться назад
  4. pd.rkn.gov.ru/operators-registry/notification_check/ Вернуться назад
  5. Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», можно скачать на официальном сайте Роскомнадзора в разделе «Документы» (rkn.gov.ru/docs/Rekomendacii31072017.docx) (далее – Рекомендации). Вернуться назад
  6. Рекомендации Роскомнадзора операторам персональных данных от 08.08.2023 (rkn.gov.ru/press/news/news74733.htm). Вернуться назад
Оценить статью
0 Коментариев
s
В избранное
Версия для печати
Отправить по почте

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

На что работодателям обратить внимание в 2025 году?

Кадровая служба
№ 01 / 2025
Актуальное интервью

Что ожидают эксперты от 2025 года? Какие изменения повлияют на работодателей? Каким вопросам стоит уделить пристальное внимание уже сейчас? Журнал «Кадровая служба и управление персоналом предприятия» опросил экспертов и собрал самые интересные мнения. Спойлер: цифровизация внедряется во все сферы государственной жизни, а значит, контроль становится более избирательным, четким и тщательным. Наиболее рисковые сферы – воинский учет, персональные данные, миграционное законодательство и взаимоотношения с самозанятыми. Узнаете, сохранилась ли законотворческая деятельность и судебная практика с уклоном в сторону защиты интересов работников, какие проверяющие вероятнее всего придут с визитом в этом году, какие поправки стоит ввести в ЛНА в связи с последними изменениями в ТК РФ, а также почему удержание персонала становится для работодателей стратегической задачей.

Как закон о защите персданных распространяется на архивные документы

Кадровая служба
№ 09 / 2024
Делопроизводство в кадровой службе

Документы с персональными данными находятся под защитой закона о персданных. А что происходит с документами, когда они становятся архивными? Распространяется ли на них указанный закон и если да, то в какой части? Когда документ становится архивным? Как защищаются персональные данные, содержащиеся в таком документе? А как защищаются персданные при ответе архива на запросы граждан, в том числе и за границу? Автор анализирует нормативную базу и отвечает на указанные вопросы.

Наталья Храмцовская
к.и.н., ведущий эксперт по управлению документацией компании «ЭОС», эксперт ИСО

Как составить уведомление об увольнении в связи с неудовлетворительными результатами испытания?

Кадровая служба
№ 11 / 2024

Как правильно составить уведомление работнику об увольнении в связи с неудовлетворительными результатами испытания? Насколько это правомерно? Какие для этого требуются документы?

Работа с персональными данными: ответы на вопросы

Кадровая служба
№ 07 / 2024
Правовое обеспечение деятельности

В конце мая журнал «Кадровая служба и управление персоналом предприятия» и сайт delo-press.ru провели онлайн-семинар «Работа с персональными данными без ошибок». По итогам семинара мы собрали ответы спикера – ​эксперта по трудовым отношениям Юлии Жижериной – ​на вопросы слушателей семинара, дополнив их ссылками на нормативную базу и расширенную аргументацию. В частности, публикуем разбор следующих ситуаций: что делать, если работник отзывает свое согласие на обработку персданных; сколько целей обработки персданных можно указать в одном согласии; надо ли получать согласие работника на ведение видеозаписи, если камеры установлены только в коридорах; можно ли не издавать приказ о месте хранения и обработки персданных, а прописать это в ЛНА; кого указывать в приказе о перечне лиц, имеющих доступ к персданным; нужно ли согласие работника при добавлении его в общий чат мессенджера и пр.

Все об уведомлениях работников

Кадровая служба
№ 09 / 2020
Правовое обеспечение деятельности

По ТК РФ работодателю в конкретных случаях необходимо уведомлять работников в определенный срок. Свели в таблицу перечень случаев, о которых ТК РФ требует работодателя предупреждать работника в письменном виде под подпись (с указанием сроков, нарушение которых может дорого обойтись организации). Объяснили, как оформлять уведомления на бумаге (11 примеров): дали состав обязательных реквизитов, образцы готовых документов, варианты оформления отметки о получении документа работником и отметки с его ответом на предложение работодателя. Показали журнал регистрации уведомлений. Разобрались со сложным вопросом документирования факта и даты выполнения работодателем своей обязанности, если работник отказывается расписываться в получении уведомления на экземпляре работодателя.

Светлана Глотова
к.и.н., доцент кафедры документоведения, аудиовизуальных и научно-технических архивов РГГУ

Можно ли обязать держать зарплату в тайне?

Кадровая служба
№ 08 / 2020
Правовое обеспечение деятельности

Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

Елена Грозовская
адвокат Адвокатской палаты Саратовской области

Какие данные являются персональными: позиция суда

Кадровая служба
№ 05 / 2021
Правовое обеспечение деятельности

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Александр Бычков
директор юридического департамента ООО «Пимпэй Касса»

Чем грозит разглашение информации о работнике

Кадровая служба
№ 12 / 2018
Правовое обеспечение деятельности

Каждый работодатель сталкивается с получением, обработкой, хранением, использованием и передачей персональных данных сотрудников. В компаниях разрабатываются локальные акты, с которыми обязательно знакомят всех работников под подпись, назначаются ответственные лица. Но что делать, если произошла утечка информации, содержащейся, например, в заявлении сотрудника? В статье рассмотрим порядок действий организации в случае разглашения каких-либо сведений о работнике, которые были адресованы только руководителю или иному уполномоченному лицу, а не всему коллективу. Ответим на вопрос, является ли информация из объяснительной записки сотрудника его персональными данными.

Лилия Пастушкова
заместитель директора по правовым вопросам ООО «Русский лом»