Персональные данные: как составить локальные акты, чтобы у инспекторов не было вопросов

Роскомнадзор активно проверяет работодателей, применяя новые нормы ст. 13.11 КоАП РФ.

Параллельно ведомство дает разъяснения.  В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных. Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации. 

Какие условия должны быть указаны в ЛНА?

1. Локальный нормативный акт должен быть утвержден генеральным директором, директором, советом директоров или другими уполномоченными лицами, определенными уставом компании.

2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.

3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений. 

Например, ЛНА могут определять: 

• общие принципы обработки данных,
• порядок обработки данных на бумажных носителях,
• порядок обработки данных в информационных системах,
• порядок хранения персональных данных,
• порядок передачи данных,
• порядок обработки данных должностными лицами и проч.

4. В каждый ЛНА стоит включить раздел «Общие положения».  В нем указать значение ЛНА, основные термины и понятия:

• «персональные данные»,
• «оператор»,
• «обработка персональных данных»,
• «трансграничная передача персональных данных» и проч.

Также можно указать права и обязанности сторон: работодателя как оператора и сотрудников — субъектов персональных данных. 5. Сотрудников компании под роспись нужно ознакомить со всеми внутренними актами компании, которые устанавливают порядок обработки персональных данных (ст. 86 ТК РФ).

Что написать в ЛНА

Цели обработки персональных данных и содержание

Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч. 

Примеры целей: 

• использование персональных данных в информационных системах, с которыми работает компания,
• использование данных при составлении документов,
• передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
• сбор данных для принятия решения о приеме кандидата на работу и проч.

В ЛНА нужно указать всех субъектов обработки персональных данных (бывшие и настоящие сотрудники и их родственники, соискатели, клиенты, контрагенты и их представители и проч.), цели обработки персональных данных и их перечень. 

Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям. 
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email. 

Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья).  Доступ к персональным данным

В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным. 

Внутренний доступ.

Может быть полным и ограниченным. 

При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников. 

При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки). 

Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Назначить можно прямым приказом работодателя или прописать должность в ЛНА.

Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.). 

Ответственный сотрудник будет: 

• контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
• информировать сотрудников о новых нормах, локальных актах о персональных данных;
• принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.

Внешний доступ. Нужно прописать в ЛНА условия передачи персональных данных третьим лицам, в том числе за пределы РФ (трансграничная передача): это можно делать на основании договора, поручения на обработку данных и проч. 

В ЛНА нужно указать: 

• наименование и местонахождение третьих лиц,
• цели передачи данных и объемы,
• перечень действий по обработке,
• способы обработки,
• требования к защите данных.

Хранение персональных данных

Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.). 

Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз. 

Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.). 

Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений).  Обеспечение конфиденциальности данных

В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных. 

Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21): 

• определение угроз безопасности,
• обнаружение фактов несанкционированного доступа,
• применение мер по обеспечению безопасной обработки данных,
• защита технических средств, на которых хранятся данные,
• установка антивирусов и проч.

«Одноразовая» обработка персональных данных 

Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч. 

В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.

В ЛНА нужно закрепить:

• порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
• данные, которые охрана запрашивает у гостей и вносит в журнал,
• цели сбора и обработки данных гостей,
• сроки обработки данных,
• перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.

Наконец, компания должна обеспечить неограниченный доступ к документу, в котором определена политика работы с персональными данными (п. 2 ст. 18.1 Закона № 152-ФЗ «О персональных данных»). 

Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.).