Персональные данные в малой фирме: какой нужен пакет документов?

Одна из участников форума задала вопрос, какой пакет документов должен быть у малой фирмы, есть несколько сотрудников, по ТКС сдаются отчеты, планируется на сайте разместить фото сотрудников, что нужно иметь, чтобы пройти проверку Роскомнадзора, какая имеется ответственность? Разберемся в этих вопросах.

Персональные данные в малой фирме: какой нужен пакет документов?
Иллюстрация Сергея Мильнова / Клерк

Что такое персональные данные и откуда они появляются?

В каждой организации так или иначе происходит обработка персональных данных (ПД), это могут быть сведения о нанятых работниках, информация об их месте жительства, паспортные данные, ИНН, адреса электронной почты, документация о детях, ИНН, СНИЛС и этот список можно продолжать практически до бесконечности.

Другой источник ПД: сведения, посыпающие от клиентов и поставщиков, т.е. партнёрах бизнеса. Дело в том, что вашими партнёрами могут быть ИП и самозанятые, а для того, чтобы заключить с ними договор вам нужна ПД.

Многие думают, что если работать с юридическими лицами, то не возникнет ПД, однако, это не так.

Дело в том, что руководитель, действующий от имени юридического лица и подписывающий, например, договор, передает информацию о себе. И опять возникают обязательства по хранению ПД. Причем в некоторых договорах есть условия о конфиденциальности, на которые мало кто смотрит, но обычно там прописывается, что стороны обязуются хранить конфиденциальную информацию, часто этой информации присаливают статус «коммерческой тайны», но в составе коммерческой тайны также могут быть ПД.

Многие, кто автоматизировано обрабатывают документы, уже послали уведомление в Роскомнадзор в связи со вступлением в силу 01.09.2022 Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» подали в соответствии со ст. 22 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных» (далее — «Закон о персональных данных»), это уведомление о внесении в реестр операторов, обрабатывающих ПД.

Но возникает вопрос, что еще должно быть у организации из документации по защите ПД? В частности, у малого бизнеса, у которого не так много ресурсов.

Список документов в организации

Конкретного перечня документов, регламентирующих порядок обработки персональных данных (ПД) работников, клиентов и поставщиков, законом не установлен. Конечно, это не касается учреждений с государственным и муниципальным участием, кредитных, в том числе банковских учреждений. В этих сферах бизнеса действуют давно обязательные рекомендации, которые мы тут не будем рассматривать.

1) Как правило, организации издают положение о персональных данных (ПД) (или иной локальный нормативный акт: распоряжение, инструкция, положение и т.п.). В таком документе описывают все действия, связанные с обработкой ПД (их хранение, использование, изменения, хранения, удаления и так далее) (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Т.е. требования о создании документов в организации содержится в двух законах: Трудовой кодекс РФ и Закон о персональных данных.

Согласно Закону о персональных данных в организации нужно создать документ, определяющий политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Структура и содержание такого документа можно установить самостоятельно (см.письмо Роскомнадзора от 19.10.2021 № 08-71063). При этом целесообразно руководствоваться рекомендательным документом: «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», этот документ издан и опубликован Роскомнадзором в 2017 г.

Тут важно понимать, что ПД, собираемые в рамка трудовых отношений и от контрагентов — должны быть обособленны и не должно храниться вместе, поэтому во многих организациях два документа: локальный акт работодателя согласно ст. 87 ТК РФ и политика оператора в отношении обработки персональных данных согласно п. 2 ч. 1 ст. 18.1 Закона о персональных данных.

Интересно то, что п. 2 ч. 1 ст. 18.1 Закона о персональных данных сформулирован так, что политику оператора в отношении обработки персональных данных разрабатывают лишь юридические лица, т.е. ИП этого могут не делать. Тем не менее, ст. 87 ТК РФ касается и ИП и юридических лиц.

Политика в отношении обработки персональных данных должна включать в себя, в частности:

  • общие положения. В этом разделе следует включить ответ на вопрос о назначении политики, т.е. зачем она нужна организации, также ссылки на законодательство РФ, определение терминов и понятий;
  • сведения о цели сбора персональных данных. Целевой характер обработки ПД один из фундаментальных принципов работы с ПД, тут важно увязать цели работы организации с целями сбора и обработки ПД;
  • правовые основаниях обработки персональных данных. Здесь расширенно описываются правовые основания: это законы, инструкции, положения, договоры, лицензии и разрешения, также согласия субъектов, о которых собираются ПД;
  • объеме и категориях обрабатываемых данных. Этот раздел заполняться согласно логике ст. 6 Закона о персональных данных. Например, организация может обрабатывать не только ПД о сотрудниках и контрагентах, но и биометрические ПД (это фотографии, например, на пропусках), тогда у вас будет две категории ПД;
  • порядке и условиях обработки персональных данных. Здесь описываются конкретные процедуры, обязательства организации. Например, в каких случаях нужно актуализировать (обновить) хранимые ПД, когда их уничтожить и как это делается, кто это будет делать;
  • актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным. В этом разделе описываются все эти условия, причем очень важно обратить внимание на актуализацию ПД, а также на обязательства сообщать и уведомлять субъекта, о котором собраны ПД в установленных случаях.

Почему нужно обратить внимание на актуализацию (обновление)? Дело, в том, что много судебных разбирательств и наказаний буквально возникает в таких случаях. Например, когда предприятие взяло 5 лет назад ПД контрагента, потом ПД поменялись, например, имя, и адрес, а также электронный адрес, что в наше время часто происходит. Далее, организация высылает по этому электронному адресу, а это адрес, например, другого человека, так возникают нарушения, которые могут закончится штрафом.

Далее, нужно ознакомьте работников с документами, которые у вас в организации регламентируют порядок обработки персональных данных, под подпись (п. 8 ст. 86, ч. 2 ст. 22 ТК РФ).

Вы можете использовать такой же порядок ознакомления, что и при ознакомлении с Правилами внутреннего трудового распорядка (например, с помощью листа ознакомления, составленного в свободной форме).

А документ, определяющий политику в отношении обработки персональных данных, дополнительно опубликуйте (ч. 2 ст. 18.1 Закона о персональных данных). Например, разместите на сайте организации, тем более, если вы собираетесь через сайт собирать какую-то информацию о физических лицах, тогда размещение такого документа на сайте обязательно.

Если это сделать невозможно, нужно сделать политику доступной каким-то иным способом (ч. 2 ст. 18.1 Закона о персональных данных). Например, повесьте распечатанную на бумаге политику на стенде в офисе. Главное, обеспечьте неограниченный доступ к документу (см. письмо Роскомнадзора от 19.10.2021 № 08-71063).

2) Если у вас несколько десятков сотрудников, то целесообразна издать приказ и назначить ответственное лицо за обработку ПД, см. п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1. В малой фирме за это будет отвечать руководитель. Обычно ответственным назначают сотрудника, которые имеет высшее образование по профилю информационной безопасности, сейчас эта специальность есть бакалавриатах вузов, а также аналогичные специальности можно смотреть.

3) Дополнительно рекомендуется заранее создать бланки согласия на обработку ПД для разных ситуаций, формы согласия оформляется с учетом требований ч. 4 ст. 9 Закона о персональных данных. Они должны включать, в частности:

  • Ф.И.О., адрес работника, реквизиты паспорта или иного документа, удостоверяющего его личность, кем и когда выдан;
  • наименование и адрес вашей организации;
  • перечень персональных данных, на получение которых дает согласие работник;
  • цели использования ПД;
  • срок, в течение которого действует согласие;
  • порядок отзыва согласия и уничтожения ПД.

Нужно убеждаться, что работники или клиенты подписали согласия.

4) Относительно размещения фото на корпоративном сайте, читайте, пожалуйста, публикацию на нашем сайте: Фото сотрудника на сайте: биометрические персональные данные. Как с этим быть?

5) Если в вашем офисе или на рабочих местах установлено видеонаблюдение, имеются дополнительные требования. Об этом, если будут запросы, мы можем рассказать в будущих публикациях.

Риски и ответственность

В случае возможных нарушений следующие риски:

· гражданско-правовая ответственность:

— в соответствии со ст. 151 ГК РФ, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в иных случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. Согласно ч. 2 ст. 1099 ГК РФ моральный вред, причиненный действиями (бездействием), нарушающими имущественные права гражданина, подлежит компенсации в случаях, предусмотренных законом. На основании ст. 152 ГК РФ гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности. Следовательно, если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работника, допущенного лицом, ответственным за осуществление вышеперечисленных действий с персональными данными, работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии со статьями ГК РФ. Есть и иные нормы ГК РФ, когда может возникнуть гражданско-правовая ответственность.

· административная ответственность:

— по ч. 1, 2 ст. 5.27 КоАП РФ — за несоблюдение требований к обработке персональных данных работников, которые установлены Трудовым кодексом РФ. Этой нормой отвественности предусмотрены штрафы для юридических лиц от 50 до 70 тыс. руб.

Например, вас могут привлечь к ответственности по этой статье, если вы не знакомите работников под подпись с локальными нормативными актами, которые устанавливают порядок обработки ПД работников (например, с положением о персональных данных);

— по ст. 13.11 КоАП РФ — за нарушение требований к обработке персональных данных, которые установлены Законом о персональных данных.

Например, если не опубликовали или другим способом не обеспечили свободный доступ к документу, который определяет в вашей организации политику в отношении обработки персональных данных, вас могут оштрафовать по ч. 3 ст. 13.11 КоАП РФ. По этой номе закона штраф на юрлицо может составлять от 30 до 60 тыс. руб.

· уголовная ответственность по ч. 2 ст. 137 УК РФ

— если работник, ответственный за обработку ПД других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия. Санкция предусматривает ответственность до 4 лет лишения свободы  с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо - штраф в сумме от 100 тыс. до 300 тыс. руб. или в размере зарплаты либо иного дохода осужденного за период от 1 года до 2 лет.

Понятно, что в этом разделе у нас не было задачи дать всю информацию об отвественности, дело в том, что сейчас в законодательстве РФ имеется очень много видов отвественности за нарушения в этой сфере, т.к. законы часто обновляются, нет еще устоявшейся судебной практики. Мы постараемся следить за развитием ситуации.

Обращение к уважаемым читателям

Уважаемые читали нашего сайта, прошу дать обратную связь в комментариях, что бы хотели еще узнать из сферы управления частного бизнеса. Также мы будем рады любой конструктивной критике и предложениям. Все ли понятно в статье, какие вопросы?

Курсы повышения квалификации для бухгалтера с дипломом

Последние мероприятия для бухгалтеров

Добавить

Последние вопросы бухгалтеров из сервиса «Консультации»

Подключить