Защита персональных данных

Персональные данные в малой фирме: какой нужен пакет документов?

Одна из участников форума задала вопрос, какой пакет документов должен быть у малой фирмы, есть несколько сотрудников, по ТКС сдаются отчеты, планируется на сайте разместить фото сотрудников, что нужно иметь, чтобы пройти проверку Роскомнадзора, какая имеется ответственность? Разберемся в этих вопросах.
Персональные данные в малой фирме: какой нужен пакет документов?
Иллюстрация Сергея Мильнова / Клерк

Что такое персональные данные и откуда они появляются?

В каждой организации так или иначе происходит обработка персональных данных (ПД), это могут быть сведения о нанятых работниках, информация об их месте жительства, паспортные данные, ИНН, адреса электронной почты, документация о детях, ИНН, СНИЛС и этот список можно продолжать практически до бесконечности.

Другой источник ПД: сведения, посыпающие от клиентов и поставщиков, т.е. партнёрах бизнеса. Дело в том, что вашими партнёрами могут быть ИП и самозанятые, а для того, чтобы заключить с ними договор вам нужна ПД.

Многие думают, что если работать с юридическими лицами, то не возникнет ПД, однако, это не так.

Дело в том, что руководитель, действующий от имени юридического лица и подписывающий, например, договор, передает информацию о себе. И опять возникают обязательства по хранению ПД. Причем в некоторых договорах есть условия о конфиденциальности, на которые мало кто смотрит, но обычно там прописывается, что стороны обязуются хранить конфиденциальную информацию, часто этой информации присаливают статус «коммерческой тайны», но в составе коммерческой тайны также могут быть ПД.

Многие, кто автоматизировано обрабатывают документы, уже послали уведомление в Роскомнадзор в связи со вступлением в силу 01.09.2022 Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» подали в соответствии со ст. 22 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных» (далее — «Закон о персональных данных»), это уведомление о внесении в реестр операторов, обрабатывающих ПД.

Но возникает вопрос, что еще должно быть у организации из документации по защите ПД? В частности, у малого бизнеса, у которого не так много ресурсов.

Список документов в организации

Конкретного перечня документов, регламентирующих порядок обработки персональных данных (ПД) работников, клиентов и поставщиков, законом не установлен. Конечно, это не касается учреждений с государственным и муниципальным участием, кредитных, в том числе банковских учреждений. В этих сферах бизнеса действуют давно обязательные рекомендации, которые мы тут не будем рассматривать.

1) Как правило, организации издают положение о персональных данных (ПД) (или иной локальный нормативный акт: распоряжение, инструкция, положение и т.п.). В таком документе описывают все действия, связанные с обработкой ПД (их хранение, использование, изменения, хранения, удаления и так далее) (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Т.е. требования о создании документов в организации содержится в двух законах: Трудовой кодекс РФ и Закон о персональных данных.

Согласно Закону о персональных данных в организации нужно создать документ, определяющий политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Структура и содержание такого документа можно установить самостоятельно (см.письмо Роскомнадзора от 19.10.2021 № 08-71063). При этом целесообразно руководствоваться рекомендательным документом: «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», этот документ издан и опубликован Роскомнадзором в 2017 г.

Тут важно понимать, что ПД, собираемые в рамка трудовых отношений и от контрагентов — должны быть обособленны и не должно храниться вместе, поэтому во многих организациях два документа: локальный акт работодателя согласно  и политика оператора в отношении обработки персональных данных согласно п. 2 ч. 1 ст. 18.1 Закона о персональных данных.

Интересно то, что п. 2 ч. 1 ст. 18.1 Закона о персональных данных сформулирован так, что политику оператора в отношении обработки персональных данных разрабатывают лишь юридические лица, т.е. ИП этого могут не делать. Тем не менее,  касается и ИП и юридических лиц.

Политика в отношении обработки персональных данных должна включать в себя, в частности:

  • общие положения. В этом разделе следует включить ответ на вопрос о назначении политики, т.е. зачем она нужна организации, также ссылки на законодательство РФ, определение терминов и понятий;
  • сведения о цели сбора персональных данных. Целевой характер обработки ПД один из фундаментальных принципов работы с ПД, тут важно увязать цели работы организации с целями сбора и обработки ПД;
  • правовые основаниях обработки персональных данных. Здесь расширенно описываются правовые основания: это законы, инструкции, положения, договоры, лицензии и разрешения, также согласия субъектов, о которых собираются ПД;
  • объеме и категориях обрабатываемых данных. Этот раздел заполняться согласно логике ст. 6 Закона о персональных данных. Например, организация может обрабатывать не только ПД о сотрудниках и контрагентах, но и биометрические ПД (это фотографии, например, на пропусках), тогда у вас будет две категории ПД;
  • порядке и условиях обработки персональных данных. Здесь описываются конкретные процедуры, обязательства организации. Например, в каких случаях нужно актуализировать (обновить) хранимые ПД, когда их уничтожить и как это делается, кто это будет делать;
  • актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным. В этом разделе описываются все эти условия, причем очень важно обратить внимание на актуализацию ПД, а также на обязательства сообщать и уведомлять субъекта, о котором собраны ПД в установленных случаях.

Почему нужно обратить внимание на актуализацию (обновление)? Дело, в том, что много судебных разбирательств и наказаний буквально возникает в таких случаях. Например, когда предприятие взяло 5 лет назад ПД контрагента, потом ПД поменялись, например, имя, и адрес, а также электронный адрес, что в наше время часто происходит. Далее, организация высылает по этому электронному адресу, а это адрес, например, другого человека, так возникают нарушения, которые могут закончится штрафом.

Далее, нужно ознакомьте работников с документами, которые у вас в организации регламентируют порядок обработки персональных данных, под подпись (п. 8 ст. 86, ч. 2 ст. 22 ТК РФ).

Вы можете использовать такой же порядок ознакомления, что и при ознакомлении с Правилами внутреннего трудового распорядка (например, с помощью листа ознакомления, составленного в свободной форме).

А документ, определяющий политику в отношении обработки персональных данных, дополнительно опубликуйте (ч. 2 ст. 18.1 Закона о персональных данных). Например, разместите на сайте организации, тем более, если вы собираетесь через сайт собирать какую-то информацию о физических лицах, тогда размещение такого документа на сайте обязательно.

Если это сделать невозможно, нужно сделать политику доступной каким-то иным способом (ч. 2 ст. 18.1 Закона о персональных данных). Например, повесьте распечатанную на бумаге политику на стенде в офисе. Главное, обеспечьте неограниченный доступ к документу (см. письмо Роскомнадзора от 19.10.2021 № 08-71063).

2) Если у вас несколько десятков сотрудников, то целесообразна издать приказ и назначить ответственное лицо за обработку ПД, см. п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1. В малой фирме за это будет отвечать руководитель. Обычно ответственным назначают сотрудника, которые имеет высшее образование по профилю информационной безопасности, сейчас эта специальность есть бакалавриатах вузов, а также аналогичные специальности можно смотреть.

3) Дополнительно рекомендуется заранее создать бланки согласия на обработку ПД для разных ситуаций, формы согласия оформляется с учетом требований ч. 4 ст. 9 Закона о персональных данных. Они должны включать, в частности:

  • Ф.И.О., адрес работника, реквизиты паспорта или иного документа, удостоверяющего его личность, кем и когда выдан;
  • наименование и адрес вашей организации;
  • перечень персональных данных, на получение которых дает согласие работник;
  • цели использования ПД;
  • срок, в течение которого действует согласие;
  • порядок отзыва согласия и уничтожения ПД.

Нужно убеждаться, что работники или клиенты подписали согласия.

4) Относительно размещения фото на корпоративном сайте, читайте, пожалуйста, публикацию на нашем сайте: Фото сотрудника на сайте: биометрические персональные данные. Как с этим быть?

5) Если в вашем офисе или на рабочих местах установлено видеонаблюдение, имеются дополнительные требования. Об этом, если будут запросы, мы можем рассказать в будущих публикациях.

Риски и ответственность

В случае возможных нарушений следующие риски:

· гражданско-правовая ответственность:

— в соответствии со , если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в иных случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. Согласно  моральный вред, причиненный действиями (бездействием), нарушающими имущественные права гражданина, подлежит компенсации в случаях, предусмотренных законом. На основании  гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности. Следовательно, если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работника, допущенного лицом, ответственным за осуществление вышеперечисленных действий с персональными данными, работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии со статьями ГК РФ. Есть и иные нормы ГК РФ, когда может возникнуть гражданско-правовая ответственность.

· административная ответственность:

— по — за несоблюдение требований к обработке персональных данных работников, которые установлены Трудовым кодексом РФ. Этой нормой отвественности предусмотрены штрафы для юридических лиц от 50 до 70 тыс. руб.

Например, вас могут привлечь к ответственности по этой статье, если вы не знакомите работников под подпись с локальными нормативными актами, которые устанавливают порядок обработки ПД работников (например, с положением о персональных данных);

— по — за нарушение требований к обработке персональных данных, которые установлены Законом о персональных данных.

Например, если не опубликовали или другим способом не обеспечили свободный доступ к документу, который определяет в вашей организации политику в отношении обработки персональных данных, вас могут оштрафовать по . По этой номе закона штраф на юрлицо может составлять от 30 до 60 тыс. руб.

· уголовная ответственность по 

— если работник, ответственный за обработку ПД других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия. Санкция предусматривает ответственность до 4 лет лишения свободы  с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо - штраф в сумме от 100 тыс. до 300 тыс. руб. или в размере зарплаты либо иного дохода осужденного за период от 1 года до 2 лет.

Понятно, что в этом разделе у нас не было задачи дать всю информацию об отвественности, дело в том, что сейчас в законодательстве РФ имеется очень много видов отвественности за нарушения в этой сфере, т.к. законы часто обновляются, нет еще устоявшейся судебной практики. Мы постараемся следить за развитием ситуации.

Обращение к уважаемым читателям

Уважаемые читали нашего сайта, прошу дать обратную связь в комментариях, что бы хотели еще узнать из сферы управления частного бизнеса. Также мы будем рады любой конструктивной критике и предложениям. Все ли понятно в статье, какие вопросы?

Дневник продакта. Зачем нужна подписка Клерк.Премиум и сколько денег она экономит

Платная часть Клерка содержит кучу полезного контента. Пытаюсь разобраться в составе подписки и сценариях ее использования. Это не рекламы пост, а что-то вроде экзамена на понимание продукта. Обычно такие статьи мало кто читает, но мне будет интересно вернуться к ней через год и посмотреть что изменилось.

Дневник продакта. Зачем нужна подписка Клерк.Премиум и сколько денег она экономит
78

Комментарии

7
Общество

Власти считают проблемой использование иностранных слов, имеющих российские аналоги: документ

Правительство утвердило Концепцию государственной языковой политики Российской Федерации.

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

💘 Налоговая реформа-2025: обзор всех изменений для бухгалтера

При УСН будет НДС, но можно от него освободиться или выбрать пониженную ставку. По НДФЛ будет новая пятиступенчатая прогрессивная шкала. Ставку налога на прибыль увеличат. Налоговый кешбэк и амнистия по дроблению. Читайте дайджест всех актуальных изменений.

Уже более 54 регионов и 30 губернаторов одобрили законопроект о регулировании маркетплейсов

Закон о маркетплейсах установит правила на рынке электронной коммерции, защитит права потребителей, продавцов (селлеров) и поставщиков.

1
Лучшие спикеры, новый каждый день
УК РФ

Что делать чтобы не стать обвиняемым по ст. 158 УК при находке смартфона

Рассказываю о действиях, которые уберегут нашедшего от уголовной ответственности за находку.

Валюта

Путин: растет недоверие к западным резервным валютам

Европейские банки, которые считались надежными для хранения капитала, также теряют доверие.

Инвестиции

Пополнил брокерский счет на 200 000 в июне. Что купил? Часть 1

Продолжаю ежемесячное инвестирование, в июне снова удалось пополнить брокерский счёт на 200 000 рублей, а значит можно провести традиционный анпакинг покупок на бирже. Распродажа в отделе акций, начавшаяся в мае, дополнительно подогревала интерес, так что удалось приобрести много интересного. Кроме того, в облигациях также много новых имён.

Пополнил брокерский счет на 200 000 в июне. Что купил? Часть 1
Опытом делятся эксперты-практики, без воды

💥 Пять вебинаров по налоговой реформе-2025: готовимся к новым НДФЛ, НДС, налогу на прибыль и УСН уже сейчас

С 2025 года все изменится, и половина НК будет переписана. Поэтому важно уже сейчас понять, какими будут новые правила игры и как организовать свою работу. «Клерк» проводит серию вебинаров с ведущими экспертами: налоговыми консультантами, юристами, адвокатами, аутсорсерами. Не пропустите!

💥 Пять вебинаров по налоговой реформе-2025: готовимся к новым НДФЛ, НДС, налогу на прибыль и УСН уже сейчас

У бухгалтеров стресс и выгорание, алкоголь подорожает с 1 июля, а блогеров хотят приравнять к СМИ. 🥂«Ночной бухгалтер» № 1703

Пятничные новости они такие. Сделали дайджест шок-новостей дня, разбавили их играми для глаз и разума, и любимая рубрика — «Что ест бухгалтер».

Иллюстрация: Вера Ревина/Клерк.ру
Общество

🍷 Минимальные цены на продажу крепкого алкоголя в рознице вырастут уже с 1 июля

Водка с 1 июля 2024 года подорожает с 281 до 299 рублей, коньяк — с 517 до 556, а бренди — с 375 до 403 рублей за 0,5 л.

УСН

Как с 2025 года будут индексировать лимит дохода для перехода на УСН

Сейчас перейти на УСН с начала года можно, если доходы за 9 месяцев прошлого года не превысили 112,5 млн рублей с учетом коэффициента-дефлятора. С 2025 года лимит для перехода на УСН будет 337,5 млн рублей.

Онлайн-кассы

Если безналичная оплата за юрлицо пришла от физлица, надо применять ККТ

Иногда происходят такие ситуации: счет выписан на юрлицо, а оплата по безналу поступает от директора компании или иного физического лица.

Экономика России

Вечность пахнет нефтью…?

Вынесенная в заголовок фраза принадлежит авторству Егора Летова, о ее смысле можно полемизировать, но оставим это занятие литературным критикам, задавшись намного более прозаичным вопросом (но вполне в духе заголовка с учетом того, что жизненный цикл государства, в отличие от человеческого, намного более обращен в вечность).

Миникурсы, текстовые и видеоинструкции для бухгалтеров
Общество

В Италии задержали основателя портала «Право.ру»

По версии прокуроров из Милана, Дмитрий Чиракадзе помог сбежать из-под домашнего ареста Артему Уссу, которого обвиняют в контрабанде.

Кредитование

Нужно получать больше 100 000 рублей, чтобы комфортно выплачивать автокредит

С начала года по апрель россияне оформили кредиты для покупки автомобиля на общую сумму 706,7 млрд рублей.

Бесплатно с НДФЛ

Какие ставки НДФЛ будут действовать в 2025 году: обзор поправок в НК-2025

С 2025 года будут действовать пятиступенчатая прогрессивная шкала НДФЛ и две двухступенчатые.

Какие ставки НДФЛ будут действовать в 2025 году: обзор поправок в НК-2025
Основные средства

Как учитывать дорогостоящее оборудование, списывать в расходы кредитный автомобиль, пересмотреть ликвидационную стоимость: три вопроса по ОС бухгалтеру в закладки

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру
Общество

Введение электронной визы резко увеличило турпоток в Россию

По мнению экспертов, введение электронной визы в Россию дало мощный толчок для увеличения въездного туристического потока.

В 2025 у всех бухгалтеров будет сплошной стресс — готовимся встречать трудности уже сейчас! Давайте работать без выгорания

Обычно мы заботимся о ваших hard-скилах: обучаем работе с изменениями, рассказываем, как правильно считать налоги и заполнять отчеты. Но в работе бухгалтера так много стресса. К дедлайнам в отчетах, проверкам ФНС и хотелкам руководства добавилась налоговая реформа. Мы выпустили онлайн-курс, который поможет вам не выгореть и справиться со всеми трудностями.

Вакансии

Новые вакансии для бухгалтеров и финансистов Добавить вакансию
Законопроекты

Уголовная ответственность за участие в нежелательных организациях: чего ожидать

11 июня 2024 года стало известно о принятии Госдумой на пленарном заседании в первом чтении законопроекта об уголовной ответственности за участие в деятельности любых иностранных организаций, признанных в РФ нежелательными, в том числе тех, учредителями которых выступают зарубежные госорганы.

Интересные материалы

Пенсии

Негосударственные пенсионные фонды будут обязаны выявлять конфликты интересов

НПФ должны вести обязательный учет информации о конфликтах интересов с 1 января 2025 года.