Политика обработки персональных данных и обязанность по ее опубликованию.

Приветствуем вас, Наталия!

К персональным данным (ПД) относятся сведения о сотрудниках и клиентах, причем любая информация, позволяющая идентифицировать человека, это могут быть ФИО, телефоны, e-mails, а также сведения об их месте жительства, даты рождения и заболеваниях и т.д. Фотографии сотрудников – это биометрические ПД, на них нужно брать отдельные специальное согласие сотрудника, собрать их можно только в особых случаях и нужно иметь цель обработки ПД.

С 01.09.2022 вступили силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 06.02.2023) «О персональных данных» и если раньше операторы не должны были регистрироваться в Роскомнадзоре, то сейчас обязательно «до начла обработки» ПД. Это уже сделали практически все работодатели, это можно сделать на сайте, там вы увидите разные варианты отсылки уведомления:

https://pd.rkn.gov.ru/operators-registry/notification/form/

У вас на предприятии должны быть и утверждены разные формы согласия на обработку ПД (для сотрудников, для клиентов, поставщиков, для включения в договоры, если нужно и т.д.), если вы собираетесь обрабатывать ПД через сайт, не важно, что там будут только e-mail и имя, но пользователь может прислать полное имя – вы от этого не застрахованы, тогда это уже будет обработка ПД через сайт. К таким операторам повышенные требования (к архивированию, оборудованию, организации и т.д.). Если вам просто на электронную почту будут слать заказы, то это уже нельзя будет считаться обработки ПД с повышенными рисками разглашения ПД.

Также у вас должны быть на предприятии:

- Политика в области обработки ПД. Вы обязаны опубликовать или иным образом обеспечить неограниченный доступ к вашей политике обработки персональных данных, к сведениям о реализуемых требованиях к защите таких данных. Документ можно разместить на вашем официальном сайте или на информационном стенде в офисе, если сайта у вас нет. Если же вы осуществляете сбор персональных данных с использованием информационно-телекоммуникационных сетей, то обязаны (ч. 2 ст. 18.1 Закона о персональных данных, Письмо Роскомнадзора от 19.10.2021 № 08-71063):

- опубликовать политику обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных в соответствующей сети, в том числе на страницах принадлежащего вам сайта, с помощью которых собираются данные;

·- обеспечить возможность доступа к этому документу с использованием средств такой сети.

По запросу Роскомнадзора вы должны представить документы, определяющие политику обработки персональных данных, и подтвердить, что приняли необходимые меры, в том числе в рамках политики обработки персональных данных (ч. 4 ст. 18.1 Закона о персональных данных).

Также есть требования в Трудовом кодексе РФ. У вас должен быть локальный нормативный акт (ЛНА) о персональных данных сотрудников. Это не политика в области персональныз данных, а другой документ.

Общие требования закона учитывать при обработке персональных данных сотрудников организации.

Все общие требования к обработке персональных данных работников установлены ст. 86 ТК РФ. К самым ключевым относятся следующие (подробнее о них расскажем ниже):

- обрабатывайте персональные данные только в определенных целях (например, для трудоустройства работника) (п. 1 ст. 86 ТК РФ);

- получайте персональные данные исключительно у работника. Если их возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ);

- ознакомьте работников под подпись с локальными нормативными актами, устанавливающими порядок обработки персональных данных (п. 8 ст. 86 ТК РФ);

-  вырабатывайте совместно с работниками меры по защите персональных данных (п. 10 ст. 86 ТК РФ).

 То есть по сути у вас 3 документа (согласие на обработку ПД, политика в области персональных данных и положение о персональных данных сотрудников), а также уведомление (Роскомнадзора), но главное система работы с ПД.

Если системы не будет, то вам очень сложно будет, особенно если будет проверки или мероприятия Роскомнадзора или иных органов.

Также все организации должны:

1. Проводить оценку вреда согласно Требованиям, утвержденным Приказом Роскомнадзора от 27.10.2022 № 178. Этим должен заняться ответственный за организацию обработки персональных данных либо созданная вами комиссия (п. 1 этих Требований). В ходе оценки определите одну из степеней вреда (высокую, среднюю или низкую), который может быть причинен в случае нарушения Закона о персональных данных. Если выясните, что может быть причинен вред различных степеней, выбрать нужно более высокую степень вреда (п. п. 2, 6 Требований, утвержденных Приказом Роскомнадзора от 27.10.2022 № 178).

2. Также нужно уделить особое внимание уничтожению ПД в организации. Вы сами регламентируете в локальном нормативном акте (ЛНА) порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Среди прочего можете установить, например, следующие правила уничтожения:

- с использованием шредера - для персональных данных на бумажных носителях;

- путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации - для персональных данных на электронных носителях.

Можете поручить заниматься этим специально созданной комиссии.

Прописать порядок уничтожения можно не в отдельном ЛНА, можно включить разделы в политику и/или в положение.

 Также на сайте клерка имеется много статей по ПД, можете посмотреть их.

Меня интересует ТОЛЬКО вопрос опубликования политики, все остальное про локальные акты и согласия мне известно и ясно. Можно, пожалуйста, конкретнее по заданному вопросу? У нас есть сайт, на нем нет регистрации, мы не собираем (по нашему мнению) личных данных пользователей, у сайта вообще нет пользователей только анонимные посетители, сайт это просто рекламно-информационная страница о работе фирмы. Какую из двух или обе политики нам на нем публиковать? Это же разные две политики? одна та что касается непосредственно сайта и того что он там собирает, причем есть масса мнений что ЛЮБОЙ сайт даже тот что не требует заполнять форму регистрации - собирает персданные в виде местоположения, кукисов и прочего. Вторая - политика в отношении данных сотрудников фирмы, которая вообще к сайту никак не относится - мы не через сайт оформляем трудоустройство персонала. Но вы утверждаете что мы должны где-то на сайте опубликовать эту политику о данных сотрудников? А можно, ПОЖАЛУЙСТА, пример такой публикации на сайте клерк? Еще раз - не той политики которая требует от гостя нажать кнопку "ознакомлен" прежде чем перейти к просмотру страницы, а политики обращения с данными ваших наемных сотрудников (видимо на случай если я захочу к вам трудоустроиться). Не вижу в меню такой ссылки, вкладки, хочу публично ознакомиться))))

Публиковать нужно только Политику в области обработки персональных данных (1 документ).

Положение об обработке и защите персональных данных работников (2 документ) - не нужно публиковать с ним сотрудники знакомяться письменно при приеме на работу. Мы нигде не писали, что этот локальнай нормативный акт работодателя (положение по сотрудникам) нужно публиковать. Пожалуйста, имейте в виду, что это разные документы и второй документ никто не называет "политикой", чтобы не было путаницы. Оба документа нужно делать, т.к. они создаются в рамах реализации требований ДВУХ разных ЗАКОНОВ.

Посетители сайта должны иметь возможность видеть Политику в области обработки персональных данных, т.е. она должна быть на сайте, если он есть у вашей организации.
Также пользователи должны видеть текст согласия на обработку ПД, когда нажимают на какую-то кнопку на сайте, причем они должны иметь возможность как согласиться, так и не согласиться, если передают какие-то сведения или делают запрос.

Цитата вашего ответа : "- Политика в области обработки ПД. Вы обязаны опубликовать или иным образом обеспечить неограниченный доступ к вашей политике обработки персональных данных, к сведениям о реализуемых требованиях к защите таких данных. Документ можно разместить на вашем официальном сайте или на информационном стенде в офисе, если сайта у вас нет. Если же вы осуществляете сбор персональных данных с использованием информационно-телекоммуникационных сетей, то обязаны (ч. 2 ст. 18.1 Закона о персональных данных, Письмо Роскомнадзора от 19.10.2021 № 08-71063):

- опубликовать политику обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных в соответствующей сети, в том числе на страницах принадлежащего вам сайта, с помощью которых собираются данные;

·- обеспечить возможность доступа к этому документу с использованием средств такой сети."

Из этого текста следует что даже не имея сайта, все равно нужно иметь и вывесить на стенд некую политику, так какую тогда???? Раз сайта нет, не собирается ПД сайтом. Значит политика обработки ПД сотрудников? Еще раз - не ПОЛОЖЕНИЕ-Но ПОЛИТИКА. Иначе вы противоречите сами себе. Я понимаю что Положение и Политика два отдельных документа. И понимаю что Положение публиковать не надо. Но из вашего ответа следует что в случае наличия у оператора САЙТА у него должно быть кроме Положения еще и ДВЕ ПОЛИТИКИ. Одна политика для ПД собираемых (или не собираемых) сайтом. Вторая политика для сотрудников. На сайте клерк я могу найти и прочесть Политику о ПД собираемых с помощью сайта. Где политика о ПД сотрудников? Возможно Политика одна и она должна содержать данные обо всех ПД как собираемых на сайте так и получаемых от сотрудников и контрагентов без сайта? Я прочла вашу - она только о сайте и сборе Пд с помощью сайта и ни слова о сотрудниках и контрагентах. Из вашего же ответа следует что даже не имея сайта вообще фирма с сотрудниками остается оператором ПД и должна иметь и опубликовать политику. Какую раз нет сайта??? Политику о ПД сотрудников и контрагентов? Так? А вы, клерк, собираете ПД сотрудников и контрагентов (это одна политика) и плюс имеете сайт с регистрацией - это еще одна политика? Итого у вас на сайте должно быть их ДВЕ?

1. Клерк здесь вообще не причем. Давайте вернемся к вашей организации.

2. Если у организации нет сайта, но есть хотя бы один сотрудник или клиент, она будет считаться оператором, обрабатывающим персональные данные.

3. Если у организации нет сайта и она является оператором персональных данных, то у нее должна быть политика в области персональных данных, которая охватывает все аспекты работы с персональными данными. Если у организации нет сайта, то данную политику необходимо разместить в офисе на видном месте (стенд, стена и т.п.), где с ней могут ознакомиться клиенты, гости и проверяющие.

4. Для сотрудников организации должен быть разработан документ под нащванием положение об обработке и защите персональных данных работников, который практически никто не публикует. Сотрудники должны быть ознакомлены с этим документом при приеме на работу. Данный документ касается персональных данных сотрудников.

5. Из моего ответа не следует, что здесь речь идет о двух разных "политиках". В моем комментарии мы просто уточнили различные аспекты работы с персональными данными. Мы нигде не утверждали, что необходимо разрабатывать две политики, или что положение по сотрудникам должно быть опубликовано. В приведенной вами цитате нет ничего, что противоречило бы нашим утверждениям.

Да как же не следует? Вы снова пишете: "3. Если у организации нет сайта и она является оператором персональных данных, то у нее должна быть политика в области персональных данных, которая охватывает все аспекты работы с персональными данными. Если у организации нет сайта, то данную политику необходимо разместить в офисе на видном месте (стенд, стена и т.п.), где с ней могут ознакомиться клиенты, гости и проверяющие." Верно? То есть любой работодатель он же оператор должен иметь и опубликовать ПОЛИТИКУ вне зависимости от наличия сайта или его использования для сбора ПД. Далее: "политика в области персональных данных, которая охватывает ВСЕ АСПЕКТЫ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ." Хорошо, значит условная организация не имевшая сайта создала политику в области ПД сотрудников и контрагентов и вывесила ее в офисе на стенд. А потом решила создать сайт без регистрации пользователей. Ее действия? Ту же самую политику со стенда загрузить на сайт? А если сайт с регистрацией где посетители много чего в форму вносят? Дополнить разделы политики данными об обработке ПД посетителей сайта и потом загрузить на сайт?

Клерк здесь очень даже при том что я плачу Клерку за консультации и личный пример Клерка тоже может помочь в решении этого вопроса. Я же не из вредности про политику Клерка спросила, и не для того чтобы указать Клерку что он не прав, я хочу на их примере понять как поступить мне? Я ни на одном сайте ни у кого никогда не видела опубликованной ПОЛИТИКИ описывающей как владелец сайта обращается с ПД своих сотрудников и своих партнеров по бизнесу. И я много где видела политику обработки данных собираемых самим сайтом в отношении данных посетителей данного сайта - и это логично! Личный пример Клерка говорит мне что на сайте должна быть размещена политика обработки ПД собираемых этим сайтом! А размещать на сайте Политику обработки ПД сотрудников и контрагентов, чтобы ее читали посетители сайта не являющиеся ни сотрудниками ни контрагентами не логично ни разу. Равно как было бы глупо распечатать и вывесить в офисе Политику обработки ПД сайтом компании.

1. Политика оператора в отношении обработки персональных данных издается обязталеьно оператором согласно пподпункта 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 06.02.2023) "О персональных данных". Этот документ не секретный и не содежит мало конкретики, он разрабатывается, как правило, на основе Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных, документ был опубликован Роскомнадзором 01.08.2017. Политика составлется так, чтобы не вносить туда бесконечно изменения, т.е. лучше не писать там много деталей.
2. Если вам нужна личная консультация, то вам её уже оказывают. Если у вас сложности с составлением документов, мы можем вам помочь, предоставив примеры или шаблоны форм, разработанных специалистами.
3. Мы не хотели бы обсуждать негативные примеры, приведем пример опубликванной в сети политики компании HH.RU: https://zernograd.hh.ru/article/32082?hhtmFrom=article&hhtmFromLabel=article_personal_data

Сложностей с составлением у меня нет, у меня сложность с трактовкой закона, которые всегда неоднозначны и допускают вольные трактовки и в интернете разные сайты, юристы дают диаметрально разные трактовки.

Вот, за ссылку хх.ру спасибо, вижу что они слепили Политику по принципу два в одном, то есть их политика описывает ВСЕ аспекты обработки всех ПД как на сайте так и в рамках кадрового и бухгалтерского учета. Правда тоже не идеально , не все пункты пока отредактировали но все же...Значит вывод я могу сделать такой - 1. ПОЛИТИКА у оператора должна быть лишь одна 2. В ней должны быть описаны все варианты сбора и обработки ПД как с посетителей помощью имеющегося сайта так и с сотрудников/контрагентов без него 3. При наличии сайта эта сборная солянка политика должна быть на сайте, при отсутствии сайта она должна распечатанная (понятное дело без пунктов про несуществующий сайт) висеть в офисе. Я все верно поняла?

Ну а Политика на сайте Клерка просто (пока еще) не доработана с учетом изменений в ФЗ-152 от 01.09.22 и 01.03.23 и опираться на нее как на пример не стоит (хотя это странно, Клерк образовательно-консультационная площадка и раз за деньги учит нас как правильно разве не обязан на своем примере показывать как правильно?).

Этот пример не очень-то и показателен, т.к. эта компания занимается наймом персонала через Интернет, поэтому мы видим такой крен по защите ПД сотрудников, которые клиенты одновременно. Вот еще пример политики клиники: https://lapinomed.ru/privacy Мы не говорим, что он идеальный, но приемлимый и пройдет проверку наверняка.

Но документов все-таки дучше иметь два и мы не говорили и не писали что один. Один, действительно очень неудобно, да и тут все-таки разные проверяющие могут смотреть. Политику - Роскомнадзор, а положение по по струдникам ГИТ и при опредленных условиях Роскомнадзор. Причем положение можно не публиковать, дело в том, что положением по сотрудникам полезно сразу определить перечень сотрудников, которые имеют право обрабатывать ПД сотрудников организации, обычно это: кадровик, бухглатер, начисляющий зарплату и руководитель организации. Не очень разумно, да и не совсем корректно с точки зрения закона публиквоать фамилии сотрудников для всех. Руоководитель понятно, его имя есть в ЕГРЮЛ, но остальные могут быть против и мы обязаны уважать их мнение. Не нужно, чтобы проверяющие видели лишние данные, это только увеличивает риски.

Простите, но политику клерка мы не собираемся тут обсуждать, по разным причинам, главная в том, что я не сотрудник в штате и не кадровик и не знаю, как организована работа с ПД, а писать о том, чего не знаешь, недальновидно. Мы полагаем, что поскольку вы интересутесь своей организацией, адвайте соредоточимся на ней. Обсуждать клерк в данном случае просто непродуктивно.