Защита персональных данных

Персональные данные: как составить локальные акты, чтобы у инспекторов не было вопросов

Роскомнадзор активно проверяет работодателей, применяя новые нормы ст. 13.11 КоАП РФ.
17 тыс. 3 тыс.
Персональные данные: как составить локальные акты, чтобы у инспекторов не было вопросов

Роскомнадзор активно проверяет работодателей, применяя новые нормы ст. 13.11 КоАП РФ.

Параллельно ведомство дает разъяснения.  В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных. Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации. 

Какие условия должны быть указаны в ЛНА?

1. Локальный нормативный акт должен быть утвержден генеральным директором, директором, советом директоров или другими уполномоченными лицами, определенными уставом компании.

2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.

3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений. 

Например, ЛНА могут определять: 

  • общие принципы обработки данных,
  • порядок обработки данных на бумажных носителях,
  • порядок обработки данных в информационных системах,
  • порядок хранения персональных данных,
  • порядок передачи данных,
  • порядок обработки данных должностными лицами и проч.

4. В каждый ЛНА стоит включить раздел «Общие положения».  В нем указать значение ЛНА, основные термины и понятия:

  • «персональные данные»,
  • «оператор»,
  • «обработка персональных данных»,
  • «трансграничная передача персональных данных» и проч.

Также можно указать права и обязанности сторон: работодателя как оператора и сотрудников — субъектов персональных данных. 5. Сотрудников компании под роспись нужно ознакомить со всеми внутренними актами компании, которые устанавливают порядок обработки персональных данных (ст. 86 ТК РФ).

Что написать в ЛНА

Цели обработки персональных данных и содержание

Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч. 

Примеры целей: 

  • использование персональных данных в информационных системах, с которыми работает компания,
  • использование данных при составлении документов,
  • передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
  • сбор данных для принятия решения о приеме кандидата на работу и проч.

В ЛНА нужно указать всех субъектов обработки персональных данных (бывшие и настоящие сотрудники и их родственники, соискатели, клиенты, контрагенты и их представители и проч.), цели обработки персональных данных и их перечень. 

Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям. 
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email. 

Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья).  Доступ к персональным данным

В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным. 

Внутренний доступ.

Может быть полным и ограниченным. 

При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников. 

При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки). 

Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Назначить можно прямым приказом работодателя или прописать должность в ЛНА.

Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.). 

Ответственный сотрудник будет: 

  • контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
  • информировать сотрудников о новых нормах, локальных актах о персональных данных;
  • принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.

Внешний доступ. Нужно прописать в ЛНА условия передачи персональных данных третьим лицам, в том числе за пределы РФ (трансграничная передача): это можно делать на основании договора, поручения на обработку данных и проч. 

В ЛНА нужно указать: 

  • наименование и местонахождение третьих лиц,
  • цели передачи данных и объемы,
  • перечень действий по обработке,
  • способы обработки,
  • требования к защите данных.

Хранение персональных данных

Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.). 

Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз. 

Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.). 

Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений).  Обеспечение конфиденциальности данных

В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных. 

Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21): 

  • определение угроз безопасности,
  • обнаружение фактов несанкционированного доступа,
  • применение мер по обеспечению безопасной обработки данных,
  • защита технических средств, на которых хранятся данные,
  • установка антивирусов и проч.

«Одноразовая» обработка персональных данных 

Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч. 

В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.

В ЛНА нужно закрепить:

  • порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
  • данные, которые охрана запрашивает у гостей и вносит в журнал,
  • цели сбора и обработки данных гостей,
  • сроки обработки данных,
  • перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.

Наконец, компания должна обеспечить неограниченный доступ к документу, в котором определена политика работы с персональными данными (п. 2 ст. 18.1 Закона № 152-ФЗ «О персональных данных»). 

Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.).  

Комментарии

4
  • Анна Лядова

    Как громко сказано "б тать о Персональных данных- а всего лишь навсего еще одна лазейка для взимания непомерных штрафов. А у нас ведь еще выдумали закон о раскрытии информации.

    Да все, кому нужно знать о чьих-то данных - знают. Еще больше знают, чем человек может себе представить. А так это все бурная деятельность правительства.


  • Листопад5
    я вот тоже не понимаю, как эти бумажки защищают мои персональные данные. Возьмем вымышленную ситуацию. Сотрудник отдела кадров передала копии моих документов кому-то. В организации все документы о перс данных оформлены надлежащим образом. Но препятствий, что бы мои данные ушли на сторону нет.
  • natalisa51

    Листопад5, Вы писали:

    я вот тоже не понимаю, как эти бумажки защищают мои персональные данные. Возьмем вымышленную ситуацию. Сотрудник отдела кадров передала копии моих документов кому-то. В организации все документы о перс данных оформлены надлежащим образом. Но препятствий, что бы мои данные ушли на сторону нет.

    Вы, когда эти бумажки подписываете, читайте, что там пишут. Суть в том, что если вы подписали бумажку правильно составленную,то предприятие может ваши данные использовать,чтобы подать на вас в суд, если у предприятия будут к вам претензии. Эти бумажки не нас защищают, а работодателей и кредиторов,чтобы нас можно было разыскивать и подавать на нас в суд. Был очень интересный процесс на должника. банк подал в суд. Должник оказался грамотным и вовремя написал заявление в банк,что он не разрешает использовать мои персональные данные. И на предварительном заседании суду подал это заявление. суд иск заявление оставил без удовлетворения. Теперь банку надо через суд восстанавливать право использования персональных данных на должника,а потом подавать иск.

Транспортный налог на дорогие авто считают с коэффициентом 3

До 25 апреля 2024 года организации, у которые есть автомобили, должны сдать уведомление по ЕНП на транспортный налог.

Курсы повышения
квалификации

20
Официальное удостоверение с занесением в госреестр Рособрнадзора

🚀 Космическая распродажа на «Клерке»! Самые свежие онлайн-курсы за 3690 рублей

Ловите супер-цены, пока они не улетели! Новые курсы по учету на маркетплейсах, финансовому анализу, зарплате, ВЭД и УСН за 3690 рублей. Стартуйте в профессии бухгалтера с курсом «Профессия бухгалтер с нуля: учет, налоги, 1С» также за 3690 рублей!

Пользоваться цифровым профилем стали в 2 раза чаще: зачем

Развивается применение финансовых технологий, и устойчиво растет востребованность людьми услуг Цифрового профиля.

220
Лучшие спикеры, новый каждый день

Условия предоставления рассрочек сделают понятными и прозрачными

Правовое регулирование предоставления рассрочек недостаточно прозрачное, поэтому ЦБ хочет его уточнить и приблизить к нормам о кредитах и займах.

ФНС раскрыла отрасли с наибольшим ростом доначислений налогов

Какие компании и типы операций оказались в фокусе внимания налоговой. Обзор для руководителя и бухгалтера.

Рубль, биткоин и ОФЗ падают. Недвижка снова дорожает. IPO, новые дивиденды, новые облигации и другие новости. Воскресный инвестдайджест

Рубль вышел из тени и сразу же упал. Падают и крипта с ОФЗ, только недвижка всегда растёт, ну и золото тоже. Всё больше дивидендов объявляется, выходят новые выпуски облигаций, а я пополнил портфель новыми активами и рассказал о самом интересном, что произошло за неделю.

Рубль, биткоин и ОФЗ падают. Недвижка снова дорожает. IPO, новые дивиденды, новые облигации и другие новости. Воскресный инвестдайджест
68
Опытом делятся эксперты-практики, без воды

5 вредных советов: как создать пароль пользователя 

Одна из основных составляющих защиты информации — пароли. Свод правил о том, как установить и использовать пароли, называется парольной политикой. Разбираем, какие советы в ней могут навредить, а не способствовать безопасности данных компании.

5 вредных советов: как создать пароль пользователя 
29
817

Что такое дробление бизнеса и является ли оно законным способом налоговой оптимизации. Формы, критерии и признаки незаконного дробления

Признаки и критерии незаконного дробления, выработанные ФНС и судебной практикой. Главные вопросы, на которые должен ответить налогоплательщик, чтобы доказать  отсутствие схемы.

Интернет-банкинг

Через СБП можно будет оплатить новые виды услуг и выбирать банк

В 2024 году будут расширены возможности оплаты услуг в бюджетную систему через систему быстрых платежей.

1
411
Маркетплейсы

В работе с маркетплейсами появились важные новшества

Собрали для вас подборку важных событий по маркетплейсам в одной новости.

Аутсорсинг

Кадровый аутсорсинг: в чем выгода

Штрафы за неправильное ведение кадрового делопроизводства достигают в некоторых случаях 200–500 тыс. руб., а проверки ГИТ в последнее время происходят все чаще. 

Кадровый аутсорсинг: в чем выгода
Кредитование

По потребительским кредитам введут важный запрет

Госдума готовит ко второму чтению депутатский законопроект об ограничении плавающих процентных ставок в кредитовании. ЦБ уже поддержал его как приоритетный.

Миникурсы, текстовые и видеоинструкции для бухгалтеров
НДС

Новый онлайн-курс «НДС: расчет, декларация, 1С» — станьте экспертом по НДС за месяц

На носу сдача декларации по НДС за 1 квартал 2024 года. Заполнить и отправить отчет нужно по новым правилам. Кроме того, изменился состав необлагаемых операций, принципы формирование налоговой базы и т. д. Разберитесь во всех нюансах НДС на новом курсе «Клерка».

Банки

Станет невыгодно нарушать права потребителей финансовых услуг

Центробанк борется с недобросовестными схемами продаж финансовых продуктов и мисселингом, видит определенный результат, в том числе по снижению числа жалоб, но этого мало.

3
416
Инвестиции

Где дивиденды, Газпром нефть? История, доходность, дивидендная политика и перспективы Газпром нефти

Первое правило дивидендного клуба: если нефть не приносит дивидендов, то это не нефть. Снова смотрим дивидендные акции РФ, которые похожи на билет в счастливую жизнь на личном острове. Продолжаю рубрику дивидендных разборов акций РФ обзором Газпром нефти — очередного дивидендного тяжеловеса нашего рынка.

Где дивиденды, Газпром нефть? История, доходность, дивидендная политика и перспективы Газпром нефти
Акцизы

Доходы от акцизов на табак и алкоголь пойдут на развитие спорта

Такую законодательную инициативу обсудили сегодня на заседании комитета Госдумы по физической культуре и спорту. Она разрабатывается в рамках поручений президента и готовится к внесению.

КоАП РФ

Введут штрафы за самовольное использование централизованных систем водоснабжения

Госдума рассмотрела в первом чтении законопроект о введении ответственности за самовольное пользование централизованными системами водоснабжения и водоотведения.

10 тем, волнующих малый бизнес в России. От наименее до наиболее значимых

Вторая часть результатов нашего исследования о темах, которые волнуют представителей малого бизнеса в 2024 году. В этой статье мы рассмотрим оставшиеся пять наиболее актуальных и значимых тем.

Не забудьте до 15 апреля сдать в СФР подтверждение вида деятельности

Подтвердить основной вид экономической деятельности за 2023 год надо в срок не позднее 15 апреля 2024 года включительно.

Интересные материалы

Миграционный учет

Власти придумали, как закрыть лазейки нелегальным мигрантам

Госдума приняла в первом чтении законопроект о борьбе с лазейками для нелегальной миграции.