Сколько ответственных лиц за работу с персданным может назначить компания

Подготовлена редакция документа с изменениями, не вступившими в силу

1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Чтобы оператору выполнить обязанности, которые возложены на него Законом № 152-ФЗ, нужно предпринять ряд мер, перечень которых оператор определяет сам. Среди них — назначение ответственного за организацию обработки персданных. Кто может быть ответственным и как его назначить, разбираемся в статье.

Какие операторы обязаны назначать ответственного

Назначать ответственного должны:

• юридические лица (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ);
• государственные и муниципальные органы (пп. «а» п. 1 Перечня, утв. Постановлением Правительства РФ от 21.03.2012 № 211).

Законодательство о персональных данных не возлагает на индивидуальных предпринимателей обязанность назначать ответственного. При этом необходимо помнить, что на работодателя-ИП распространяются положения гл. 14 ТК РФ о защите персданных его сотрудников. Поэтому так или иначе ИП необходимо организовать у себя их обработку, чтобы не нарушать законодательство. В этой ситуации ИП может назначить ответственным самого себя.

Кого можно назначить ответственным

В Законе № 152-ФЗ нет специальных требований, которые предъявляются к такому лицу. Системный анализ законодательства о персональных данных и сложившейся практики позволяет предположить, что ответственным можно назначить (п. 7.1 ч. 3 ст. 22 Закона № 152-ФЗ, Методические рекомендации, направленные письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059):

• сотрудника оператора, в том числе руководителя организации, если в штате нет подходящего для этой цели работника;
• иную организацию или ИП, специально привлеченных для этой цели.

Исключение — оператор, являющийся государственным или муниципальным органом, в котором ответственным может быть только (пп. «а» п. 1 Перечня, утв. Постановлением Правительства РФ от 21.03.2012 № 211):

• государственный или муниципальный служащий этого органа;
• сотрудник этого органа, с которым заключен трудовой договор и который замещает должность не из числа должностей ГГС РФ.

По вопросу о том, сколько ответственных лиц вправе назначить оператор, существует две позиции. Исходя из анализа п. 7.1 ч. 3 ст. 22 Закона № 152-ФЗ, ответственным может быть только одно лицо — физическое или юридическое. Но некоторые суды толкуют ч. 1 ст. 22.1 Закона № 152-ФЗ шире и считают, что оператор вправе назначить несколько ответственных лиц (постановление мирового судьи судебного участка № 5 Ленинского судебного района г. Мурманска от 01.06.2015 по делу № 5-283/2015).

Обязанности ответственного

Ответственный обязан совершать ряд действий (ст. 22.1 Закона № 152-ФЗ):

• контролировать, соблюдают ли оператор и его сотрудники законодательство о персональных данных, в том числе требования к их защите;
• информировать сотрудников оператора о требованиях к защите персональных данных и о положениях НПА и ЛНА, регулирующих их обработку;
• организовывать и (или) контролировать прием и обработку запросов субъектов и их представителей.

Как назначить ответственного

Чтобы назначить ответственного, оператор выбирает один из способов, в зависимости от того, какое лицо он привлекает для этой цели.

Способ 1. Ответственный — сотрудник оператора

В этом случае оператор может придерживаться следующего алгоритма действий:

1. Разработать и утвердить должностную инструкцию ответственного. В ней необходимо отразить его обязанности, предусмотренные в ч. 4 ст. 22.1 Закона № 152-ФЗ. С должностной инструкцией сотрудника нужно ознакомить.
2. Издать приказ о назначении ответственного лица.

Способ 2. Ответственный — организация или ИП, которых оператор привлекает специально

В этой ситуации правоотношения между оператором и ответственным оформляются на основании гражданско-правового договора — например, договора поручения. В договоре обязательно необходимо закрепить:

• обязанности лица, которое привлекает оператор, закрепленные в ч. 4 ст. 22.1 Закона № 152-ФЗ;
• обязанность оператора передать такому лицу сведения, указанные в ч. 3 ст. 22 Закона № 152-ФЗ;
• порядок выполнения указаний, которые дал руководитель оператора, и порядок представления ему сведений о выполнении обязанностей, которые оператор возложил на ответственного (ч. 2 ст. 22.1 Закона № 152-ФЗ).

Что будет, если не назначить ответственного

До 1 июля 2017 года за такое нарушение оператора привлекали к административной ответственности по ст. 13.11 КоАП РФ (решение Петрозаводского городского суда Республики Карелия от 26.07.2012 по делу № 12а-556/12-8).

Федеральный закон от 07.02.2017 № 13-ФЗ внес изменения в ст. 13.11 КоАП РФ, в которой теперь предусмотрена ответственность за ограниченный круг нарушений Закона № 152-ФЗ. Так, ответственность оператора за неназначение ответственного не установлена.

Это не значит, что оператор может не исполнять эту обязанность. На практике при проведении проверки Роскомнадзор или прокуратура могут установить, что оператор не назначил ответственного, и выдать ему предписание (представление). Если оператор не исполнит его добровольно, то его привлекут к административной ответственности по ст. 19.5 или ст. 17.7 КоАП РФ (апелляционное определение Московского городского суда от 04.06.2018 по делу № 33а-3957/2018, постановление Березовского районного суда ХМАО-Югры от 26.10.2018 по делу № 5-220/2018).

Также оператора могут принудить назначить ответственное лицо в судебном порядке (решение Шарлыкского районного суда Оренбургской области от 05.11.2019 по делу № 2а-520/2019).

Типичные нарушения операторов

Чаще всего операторы допускают нарушения Закона № 152-ФЗ, когда:

• Не уведомляют Роскомнадзор о назначении или смене ответственного, то есть нарушают требования ст. 22 Закона № 152-ФЗ.
• Некорректно выбирают ответственного или не закрепляют в его должностной инструкции обязанности, установленные ч. 4 ст. 22.1 Закона № 152-ФЗ. Так, например, в приказе о назначении ответственного нельзя указывать, что он отвечает лишь за сбор и хранение персональных данных, но не за организацию их обработки (постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

Читайте также:

• Кто обрабатывает персональные данные

Самое значимое правовое событие этой осени: с 1 сентября 2022 года персональные данные обрабатывают по новым правилам.

Закон 266-ФЗ
(Федеральный закон от 14.07.2022 № 266-ФЗ) внес изменения в федеральный закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ). Благодаря поправкам, не только обработка персональных данных с 1 сентября 2022 года происходит по новым требованиям. Также обозначены и правила, которые нужно соблюдать с 1 марта 2023 года. Они приняты в то же время, что и правки к закону о персональных данных с 1 сентября, при этом обязательны к исполнению только с 1 марта.

Таким образом, изменения в закон о персональных данных касаются всего порядка работы с ними: от особенностей согласия и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков. За нарушение этих требований грозят не только крупные административные штрафы, но и уголовная ответственность (ст. 13.11, 13.12 и 19.7 КоАП РФ, ст. 137 и 272 УК РФ).

Каковы же персональные данные – изменения 2022 и как выполнить требования, которые привнесли изменения по персональным данным в работу компаний, обсудим в статье.

Персональные данные: изменения 2022

Условно все изменения персональных данных с 1 сентября 2022 (кратко – ПД, персданные) можно отнести к нескольким группам. Рассмотрим основные из них. Начнем с требований, обязательных к исполнению с 1 сентября 2022 года (по 266-ФЗ).

Обязанности оператора (работодателя)

С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18.1 Закона № 152-ФЗ, которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:

• назначить ответственное лицо (структурное подразделение) за обработку ПД;

• издать и опубликовать политику по персданным;

• осуществлять внутренний контроль (аудит) ПД (способ контроля и подтверждение его проведения нужно прописать в отдельном ЛНА. Его предмет: соблюдение требований законодательства, политики, ЛНА организации по защите ПД);

Чек-лист, какие документы нужно проверить при аудите ПД, скачайте здесь.

• оценивать вред, который может быть нанесен их субъекту (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);

• выполнять другие требования статьи 18.1 Закона № 152-ФЗ.

Изменения в закон о персональных данных дополнили и сам перечень обязанностей оператора (работодателя). Например, установлено правило взаимодействия с государственной системой предотвращения атак на информационные ресурсы (ч. 12-14 ст. 19 Закона № 152-ФЗ). Также предусмотрена новая обязанность оператора (работодателя) при выявлении неправомерной или случайной передаче ПД: в течение 24 часов сообщить в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).

Уведомление в Роскомнадзор

В новой редакции Закона № 152-ФЗ утратили силу положения о возможности работать с персданными без уведомления Роскомнадзора (п. 1 – 6 ч. 2 ст. 22). Теперь даже при их обработке во исполнение закона нужно в Роскомнадзор подать уведомление, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348). Такое уведомление однократное. Его не нужно предоставлять по каждому работнику.

Уведомление направляют в управление ведомства в субъекте России по месту регистрации работодателя в налоговом органе (Письмо Роскомнадзора от 19.08.2022 № 08-75348, далее – Письмо № 08-75348). Сделать это можно через портал Роскомнадзора: в виде электронного уведомления, подписанного УКЭП, с помощью средств аутентификации ЕСИА, а также – на бумажном носителе. Также допустимо составить уведомление по старой форме (по Приказу Роскомнадзора от 30.05.2017 № 94). При появлении новой формы отправьте информационное письмо о внесении изменений в реестр (Письмо № 08-75348).

Ждать решения Роскомнадзора не нужно. Порядок уведомительный – обрабатывать ПД можно после получения сведений ведомством.

В Роскомнадзор подать уведомление об обработке персданных не потребуется, если (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ):

• оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);

• ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;

• ПД используют по закону о транспортной безопасности.

Содержание согласия на обработку ПД

Федеральный закон 266-ФЗ ввел дополнительные требования к содержанию согласия на обработку ПД. Теперь оно должно быть «предметным» и «однозначным». Новые требования относятся к таким условиям согласия (ч. 1 ст. 9 Закона № 152-ФЗ):

• цель обработки персональных данных;

• перечень ПД, на обработку которых дается согласие их субъекта;

• наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);

• перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;

• срок, в течение которого действует согласие субъекта ПД и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).

Важно! Когда субъект ПД – выгодоприобретатель или поручитель, допускается обработка ПД без согласия. Обработка персданных несовершеннолетних без согласия возможна в случаях, установленных законом (ч. 3.1 ст. 4, ст. 6 Закона № 152-ФЗ).

Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Уточните алгоритм работы с персональными данными и их виды.

Требования к политике в отношении обработки ПД

Новый закон о персональных данных 2022 разъяснил требования к политике в отношении обработки ПД. Теперь в этом документе для каждой цели обработки должны быть отдельно указаны (ст. ст. 18.1, 21 Закона № 152-ФЗ):

• категории и перечень ПД;

• категории субъектов ПД;

• способы и сроки их обработки и хранения;

• порядок уничтожения ПД.

Также внесено уточнение, что размещение политики в отношении обработки ПД возможно в том числе на страницах сайта, принадлежащего оператору в информационно-телекоммуникационной сети «Интернет».

Правила прекращения обработки ПД

Установлены новые правила при обращении субъекта ПД с требованием о прекращении их обработки.

Если такое обращение поступило, оператор по общему правилу обязан в срок 10 рабочих дней прекратить их обработку (обеспечить ее прекращение). Указанный срок может быть продлен, но не более чем на пять рабочих дней: при направлении оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 Закона 266-ФЗ).

Перечень нормативных правовых актов, которые обязательны при обработке ПД, скачайте по ссылке

Совет   Разработайте отдельные акты (ЛНА): по вопросам обработки ПД (под каждую цель), по процедурам выявления и предотвращения нарушений и политику в отношении обработки ПД. Проверьте, соответствуют ли ваши ЛНА требованиям Закона 266-ФЗ.

Выясните, почему опасно использовать типовые шаблоны при работе с персданными.

Уточните общие требования по составлению ЛНА об обработке ПД.

Требования закона о персональных данных: изменения с 1 марта 2023 года

С 1 марта 2023 года вступят в силу изменения по работе с ПД, которые коснутся вопросов уведомления Роскомнадзора, работы с инцидентами в области ПД, порядка уничтожения ПД и их трансграничной передачи.

Форма уведомления Роскомнадзора и сроки подачи

Закон 266-ФЗ предусматривает новые сроки:

• исключения данных из реестра операторов, если оператор отправит уведомлении о прекращении обработки ПД: само исключение – в течение 30 дней, подача заявления о прекращении – в течение 10 рабочих дней (пп. «б» п. 14 ст. 1 Закона 266-ФЗ);

• уведомления оператором в случае изменения сведений (не позднее 15 числа, следующего за месяцем, в котором возникли изменения (пп. «д» п. 14 ст. 1 Закона 266-ФЗ).

Всего будут применяться три формы уведомлений Роскомнадзора:

• уведомление до начала обработки ПД;

• уведомление о прекращении обработки ПД (в течение 10 рабочих дней с даты прекращения обработки персданных);

• уведомление об изменении данных по обработке (до 15 числа следующего месяца)

До 1 марта 2023 года будут установлены требования к подтверждению уничтожения ПД (Проект Приказа Роскомнадзора (подготовлен 19.08.2022), пп. «г» п. 13 ст. 1 Закона 266-ФЗ).

Порядок работы с инцидентами в области ПД

Изменения с сентября 2022 – персональные данные нужно усиленно защищать и сообщать об их утечке. Информация о компьютерных инцидентах по случайной передаче ПД (а также – их предоставлении, распространении, доступе) будут передавать в специальный федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности по защите прав субъектов ПД (пп. «г» п. 15 ст. 1 Закона 266-ФЗ).

Такой орган будет вести реестр учета инцидентов в области персданных и определять порядок и условия взаимодействия с операторами (работодателем) в рамках его ведения.

Ограничения при трансграничной передаче

Определен перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов ПД. К ним относят государства – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД. Помимо них, будут допускаться государства – не участники при условии соответствия их норм права и применяемых мер по обеспечению конфиденциальности и безопасности при обработке ПД указанной Конвенции (п. 7 ст. 1 Закона 266-ФЗ).

Важно! Страны, которые обеспечивают адекватную защиту прав субъектов ПД, уточните в «Конвенции о защите физических лиц при автоматизированной обработке персональных данных» (заключена в Страсбурге 28.01.1981) и в Приказе Роскомнадзора от 15.03.2013 № 274. Проводите проверку перед каждой передачей ПД.

При намерении передать ПД трансгранично будет нужно информировать Роскомнадзор в виде отдельного уведомления, которое первоначально должно быть подано до 1 марта 2023 года (п. 7 ст. 1 Закона 266-ФЗ).

Алгоритм действий работодателя при планируемой трансграничной передаче скачайте здесь

Право оператора на трансграничную передачу зависят от того, входит ли страна для передачи ПД в перечень Роскомнадзора. Если да, передача возможна сразу после отправки уведомления. Если нет – только по истечении 10 рабочих дней после отправки уведомления и неполучения запрета или ограничения на передачу (п. 7 ст. 1 Закона 266-ФЗ, будущие ч. 10 – 15 ст. 12 Закона № 152-ФЗ).

В последние годы личные данные граждан попадают в руки мошенников все чаще. Государство решило бороться с утечками: тщательнее следить за тем, как персональные данные обрабатываются и защищаются. Новые правила по работе с данными утверждены Федеральным законом от 14.07.2022 г. № 266-ФЗ. 

За нормами и их соблюдением будет следить ФСБ с помощью системы по профилактике кибератак на российские информационные ресурсы ГосСОПКА (п. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ). При утечках персданных лица и органы, которые занимаются обработкой данных, должны сообщать в ГосСОПКА о событии в течение 24 часов, а затем в течение 72 часов представлять отчет о причинах и связанных лицах.

Все, кто собирает и обрабатывает персональные данные граждан, относятся к операторам персональных данных. Это могут быть муниципальные и государственные органы, юридические и физические лица. Роскомнадзор на своем сайте ведет особый реестр операторов персданных: он открытый, кто угодно может в него заглянуть и найти любого участника реестра.

Закон «О персональных данных» действует в РФ с 2006 года, с момента принятия в него несколько раз вносили изменения и дополнения. Последние изменения внесены Федеральным законом от 14.07.2022 №266-ФЗ и вступили в силу с 1 сентября 2022. С этого момента работодателям нужно более строго работать с персданными, а многим еще и придется подать уведомление в Роскомнадзор для включения в реестр операторов.

С 1 сентября из закона исключили шесть ситуаций, когда операторы могли не сообщать Роскомнадзору о начале обработки данных(ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Теперь в реестре операторов должны числиться все компании и ИП, которые обрабатывают персданные таких лиц:

• сотрудники на трудовых договорах;
• подрядчики на договорах ГПХ;
• клиенты компании, которые сообщают свои личные данные для заключения договора или обработки заказа;
• посетители, которым выписывают разовый пропуск для прохода на территорию компании;
• другие лица, сообщающие компании свои имя, отчество и фамилию.

Есть случаи, когда даже при работе с перечисленными данными можно не уведомлять об этом Роскомнадзор, но их мало:

• если обрабатываемые персданные находятся в государственных защищенных информсистемах;
• если данные собирают и обрабатывают не с помощью компьютеров и программ, а вручную — например, в бумажной тетради;
• если данные обрабатывают с целью безопасной работы транспорта. 

Первое, что стоит сделать, — зайти на сайт Роскомнадзора в раздел «Реестр операторов» и поискать свою компанию по названию, ИНН или ОГРН. Если вы в реестре — все хорошо, можно пока ничего не отправлять в ведомство.

Если вы не нашли себя в реестре, нужно уведомить Роскомнадзор о начале работы с персданными. К слову о начале работы. Большинство из тех, кто будет подавать уведомление после 1 сентября 2022, уже давно обрабатывает персданные. В уведомлении нужно будет указать дату начала обработки данных. Роскомнадзор разъяснил, что этой датой нужно считать день регистрации компании или ИП (информация пресс-службы Роскомнадзора от 25.08.2022).

Сейчас для подачи уведомления о начале работы с персданными есть форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94, а в тексте этого документа прописан и порядок заполнения формы. Список сведений, которые вписывают в поля уведомления, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. 

Роскомнадзор планирует утвердить новую форму уведомления, через которое можно будет более полно передать сведения. В ведомстве сообщили, что до этого момента операторы могут заполнить текущую форму. А еще обозначили, что 1 сентября 2022 не является крайним сроком подачи уведомления и предельный срок для этого действия пока не определен (Информация Роскомнадзора от 01.09.2022).

Из этого можно сделать вывод, что операторов, которые не подали уведомление до 1 сентября 2022, штрафовать не будут. Но все же мы рекомендуем не откладывать эту задачу и уведомить территориальное отделение Роскомнадзора по текущей форме. Для этого есть три способа:

• отправить бумажную заполненную и заверенную форму заказным письмом;
• заполнить форму на сайте Роскомнадзора и заверить квалифицированной электронной подписью; 
• заполнить форму в подтвержденном аккаунте на Портале Госуслуг, который связан с организацией, и тоже заверить КЭП.

Уведомление отправляют только один раз. В нем не нужно перечислять лиц, у которых вы собираете персданные, так что не придется подавать дополнительные уведомления при найме новых сотрудников или работе с новыми клиентами.

Но если в работе оператора с персданными происходят существенные изменения, придется сообщить об этом Роскомнадзору:

• если изменится состав персданных, которые вы собираете: например, вы узнаете о семейном положении работников, — сообщите об этом информационным письмом о внесении изменений в сведения (форма утверждена приказом Роскомнадзора от 30.05.2017 № 94);
• если сменится работник, отвечающий за обработку персданных — его ФИО передайте по форме уведомления, которое будет актуальным на этот момент;
• если вы прекращаете собирать и обрабатывать персданные, обычно это связано с реорганизацией или ликвидацией предприятия — сообщите об этом в заявлении о прекращении обработки данных (форма утверждена приказом Роскомнадзора от 30.05.2017 № 94).

А еще оператор обязан отвечать на запросы Роскомнадзора и работников по поводу обработки персданных. Ответить на запрос или сообщить об изменениях в работе с персданными теперь нужно не в течение 30, а только в течение 10 рабочих дней (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

Собирать и обрабатывать персданные можно только для определенной цели, и перечень таких целей ограничен (ст. 86 ТК РФ):

• для выполнения законов: например, для оформления трудового договора или отправки персданных работника в отчете для контролирующих органов;
• для помощи сотрудникам в обучении, повышении квалификации и карьерном росте;
• для личной безопасности работников;
• для контроля за качеством и объемом выполняемой работы;
• для сбережения имущества компании.

Если сведения служат этим целям, работодатель может их запрашивать. В противном случае — нет, даже если сотрудник согласен их предоставить. А еще не запрашивайте сведения из особых категорий: о национальности, расовой принадлежности, политических пристрастиях, религиозном исповедании, философских предпочтениях, личной жизни и здоровье. Сведения о членстве сотрудников в профсоюзе или общественных организациях тоже не обрабатывайте.

Изменились нормы работы с биометрическими данными: теперь сотрудник может отказаться передать биометрию — скажем, фото на пропуск. Работодатель не вправе требовать такие данные и не должен отказывать оформлять пропуск и другие документы, в которых требуется фото.

Соберите у сотрудников согласия на обработку персданных, укажите в согласии цель сбора данных: она должна быть сформулирована ясно и просто, без разночтений. Убедитесь, что в текущих согласиях нет моментов, которые противоречат ст. 86 ТК РФ. Если передаете персданные для обработки, защиты и хранения другой организации, это тоже должно быть отражено в согласии как передача данных третьим лицам.

Если вы оформляете пропуска для посетителей компании, это тоже обработка персональных данных. Но если пропускной режим организует сама компания, то согласия на обработку не нужно, так разъяснил Роскомнадзор. Главное, чтобы у компании был оформлен документ о правилах посещения организации и чтобы посетителя с ним ознакомили.

В законе нет четкого перечня документов, которые диктовали бы порядок обработки персданных сотрудников, клиентов и посетителей. Но обязательный минимум таких документов для работодателя назван (ст. 86 ТК РФ, 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Расскажем о всех возможных документах для регламентации обработки персданных в компании.

Положение о персональных данных

Один из обязательных локальных актов организации — документ с правилами, по которым ведется обработка персданных. Это может быть положение о работе с персональными данными работников. 

В документе определите цели обработки данных, а для каждой цели назначьте:

• категории и перечень персданных;
• категории лиц, у которых собираете данные;
• методы и сроки обработки и хранения сведений;
• порядок уничтожения данных, когда они больше не нужны.

Убедитесь, что в положении нет пунктов, которые ущемляют права работников или вменяют им обязанности, которые в законе не прописаны. Скажем, вы не можете обязать сотрудника предоставить паспорт в течение 5 дней после смены фамилии.

Составьте положение, утвердите его приказом директора. Если в компании есть профсоюз, документ принимают с учетом его мнения (ст. 372 ТК РФ).

Политика обработки персональных данных

Если вы обрабатываете персданные на сайте организации, скажем, когда клиенты оформляют заказы, придется принять еще один документ — политику защиты и обработки персональных данных. Этот документ нужно будет разместить на сайте, так как организация обязана сообщить гражданам, что она делает для защиты их данных (п. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Роскомнадзор установил требования к такому документу (рекомендация от 27.07.2017). В политику обработки включают такие пункты:

• основные понятия документа;
• цели обработки данных;
• правовые основания обработки;
• категории данных и категории субъектов (лиц);
• способы, сроки и условия обработки;
• права и обязанности субъектов персданных и пр.

Положение о защите данных

Для защиты данных нужна надежная система, чтобы не допустить их разглашения. Нужно описать меры защиты: что вы делаете, чтобы предотвратить, обнаружить и устранить нарушения закона о персданных. Это можно сделать в отдельном локальном акте или включить правила в любое другое положение компании.

Пропишите, какие антивирусные программы вы устанавливаете, назначьте ответственных за защиту данных. Утвердите положение приказом директора и ознакомьте с ним работников под роспись. Если в компании есть профсоюз — он участвует в обсуждении положения.

Приказ о назначении ответственного

В каждой компании должен быть сотрудник, который отвечает за обработку персданных. Он может быть только один. Нельзя назначить ответственным за данные работников одного специалиста, а за данные клиентов другого. Это запрещает Роскомнадзор и штрафует за нарушения. К тому же нужно передать ведомству ФИО ответственного лица для реестра операторов, и внести двух специалистов в одно поле не получится.

Ответственного сотрудника назначает приказом руководитель — обычно из числа работников кадровой службы. В приказе прописывают обязанности ответственного лица:

• вести внутренний контроль того, как компания и работники соблюдают закон о персданных и выполняют требования по их защите;
• знакомить работников с положениями закона о персданных, внутренних документов компании по обработке данных и их защите;
• обеспечить прием и обработку запросов от субъектов персданных — работников, клиентов, посетителей — контролировать прием и обработку таких запросов.

После издания приказа ответственный сотрудник расписывается в нем.

Обязательство о неразглашении персданных

Чтобы защищать данные сотрудников или клиентов, нужно установить обязательство об их неразглашении. Такие обязательства нужно оформить с работниками, которые имеют доступ к данным. Можно закрепить условие о неразглашении персданных в допсоглашении к трудовому договору.

Важный нюанс: ответственность за разглашение данных для сотрудника наступает, если сведения он получил при исполнении трудовых обязанностей, а не в другой ситуации (п. 7 ст. 86 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2).

Регламент допуска

Закрепите список работников, которые обрабатывают персданные или имеют к ним доступ. Обычно это бухгалтер, кадровик, секретарь компании. Каждому сотруднику должны быть доступны только те данные, которые нужны для выполнения его трудовой функции (ст. 88 ТК).

В законе не прописан порядок допуска к персданным, так что придется установить его самостоятельно и закрепить в локальном акте компании, например в Регламенте допуска работников к обработке персональных данных. Кроме самого регламента издайте приказ, в котором пропишите ФИО и должности сотрудников вместе с закрепленными за ними данными для обработки (п. 13 положения, утв. постановлением Правительства от 15.09.2008 № 687).

Документы внутреннего контроля

Чтобы более полно защитить компанию, оформите документы внутреннего контроля за обработкой персданных: это правила внутреннего контроля и аудита, протоколы, материалы для проверочных мероприятий. Такие документы могут запросить инспекторы при проверке.

Что изменилось в работе с персональными данными с 1 сентября 2022?

С 1 сентября 2022 закон «О персональных данных» стал строже: из него исключили шесть случаев, когда работодатель не должен был уведомлять Роскомнадзор о начале обработки персданных. Теперь большинству работодателей нужно это делать.

Какое уведомление нужно отправить в Роскомнадзор в связи с персональными данными с 1 сентября 2022?

Сейчас для подачи уведомления о начале работы с персданными есть форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94. Скоро ведомство утвердит новую форму, с помощью которой можно будет передать более детальную информацию. 

Будет ли штраф за опоздание с отправкой уведомления в реестр Роскомнадзора?

Роскомнадзор сообщил, что предельная дата для отправки уведомления не определен, и 1 сентября 2022 — это не крайний срок. Вероятно, штрафовать за отправку уведомлений в более поздние сроки не будут. Но лучше уведомить Роскомнадзор в ближайшее время по текущей форме.

Какие изменения появились в законе 152-ФЗ «О персональных данных»?

С 1 сентября закон 152-ФЗ стал строже, чтобы защитить от утечки данные граждан. Теперь почти все работодатели должны сообщать Роскомнадзору о начале обработки персданных в организации и сотрудничать с системой ФСБ по предотвращению кибератак на российские информресурсы ГосСОПКА. 

Что такое реестр операторов персональных данных Роскомнадзора?

Реестр операторов персданных — это список всех работодателей, других лиц и органов, которые собирают и обрабатывают персональные данные граждан. Чтобы попасть в этот список, компания или ИП должны отправить в ведомство уведомление о начале сбора персданных. Начало этой деятельности — день регистрации организации или ИП.

Когда отправить в Роскомнадзор уведомление об обработке персональных данных?

Роскомнадзор сообщил на своем сайте, что 1 сентября 2022 не является крайним сроком для отправки уведомления, а предельный срок для его подачи не определен. Но рекомендуется уведомить Роскомнадзор в ближайшее время.