Персональные данные в малой фирме: какой нужен пакет документов?

Одна из участников форума задала вопрос, какой пакет документов должен быть у малой фирмы, есть несколько сотрудников, по ТКС сдаются отчеты, планируется на сайте разместить фото сотрудников, что нужно иметь, чтобы пройти проверку Роскомнадзора, какая имеется ответственность? Разберемся в этих вопросах.
Персональные данные в малой фирме: какой нужен пакет документов?
Иллюстрация Сергея Мильнова / Клерк

Что такое персональные данные и откуда они появляются?

В каждой организации так или иначе происходит обработка персональных данных (ПД), это могут быть сведения о нанятых работниках, информация об их месте жительства, паспортные данные, ИНН, адреса электронной почты, документация о детях, ИНН, СНИЛС и этот список можно продолжать практически до бесконечности.

Другой источник ПД: сведения, посыпающие от клиентов и поставщиков, т.е. партнёрах бизнеса. Дело в том, что вашими партнёрами могут быть ИП и самозанятые, а для того, чтобы заключить с ними договор вам нужна ПД.

Многие думают, что если работать с юридическими лицами, то не возникнет ПД, однако, это не так.

Дело в том, что руководитель, действующий от имени юридического лица и подписывающий, например, договор, передает информацию о себе. И опять возникают обязательства по хранению ПД. Причем в некоторых договорах есть условия о конфиденциальности, на которые мало кто смотрит, но обычно там прописывается, что стороны обязуются хранить конфиденциальную информацию, часто этой информации присаливают статус «коммерческой тайны», но в составе коммерческой тайны также могут быть ПД.

Многие, кто автоматизировано обрабатывают документы, уже послали уведомление в Роскомнадзор в связи со вступлением в силу 01.09.2022 Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» подали в соответствии со ст. 22 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных» (далее — «Закон о персональных данных»), это уведомление о внесении в реестр операторов, обрабатывающих ПД.

Но возникает вопрос, что еще должно быть у организации из документации по защите ПД? В частности, у малого бизнеса, у которого не так много ресурсов.

Список документов в организации

Конкретного перечня документов, регламентирующих порядок обработки персональных данных (ПД) работников, клиентов и поставщиков, законом не установлен. Конечно, это не касается учреждений с государственным и муниципальным участием, кредитных, в том числе банковских учреждений. В этих сферах бизнеса действуют давно обязательные рекомендации, которые мы тут не будем рассматривать.

1) Как правило, организации издают положение о персональных данных (ПД) (или иной локальный нормативный акт: распоряжение, инструкция, положение и т.п.). В таком документе описывают все действия, связанные с обработкой ПД (их хранение, использование, изменения, хранения, удаления и так далее) (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Т.е. требования о создании документов в организации содержится в двух законах: Трудовой кодекс РФ и Закон о персональных данных.

Согласно Закону о персональных данных в организации нужно создать документ, определяющий политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Структура и содержание такого документа можно установить самостоятельно (см.письмо Роскомнадзора от 19.10.2021 № 08-71063). При этом целесообразно руководствоваться рекомендательным документом: «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», этот документ издан и опубликован Роскомнадзором в 2017 г.

Тут важно понимать, что ПД, собираемые в рамка трудовых отношений и от контрагентов — должны быть обособленны и не должно храниться вместе, поэтому во многих организациях два документа: локальный акт работодателя согласно  и политика оператора в отношении обработки персональных данных согласно п. 2 ч. 1 ст. 18.1 Закона о персональных данных.

Интересно то, что п. 2 ч. 1 ст. 18.1 Закона о персональных данных сформулирован так, что политику оператора в отношении обработки персональных данных разрабатывают лишь юридические лица, т.е. ИП этого могут не делать. Тем не менее,  касается и ИП и юридических лиц.

Политика в отношении обработки персональных данных должна включать в себя, в частности:

  • общие положения. В этом разделе следует включить ответ на вопрос о назначении политики, т.е. зачем она нужна организации, также ссылки на законодательство РФ, определение терминов и понятий;
  • сведения о цели сбора персональных данных. Целевой характер обработки ПД один из фундаментальных принципов работы с ПД, тут важно увязать цели работы организации с целями сбора и обработки ПД;
  • правовые основаниях обработки персональных данных. Здесь расширенно описываются правовые основания: это законы, инструкции, положения, договоры, лицензии и разрешения, также согласия субъектов, о которых собираются ПД;
  • объеме и категориях обрабатываемых данных. Этот раздел заполняться согласно логике ст. 6 Закона о персональных данных. Например, организация может обрабатывать не только ПД о сотрудниках и контрагентах, но и биометрические ПД (это фотографии, например, на пропусках), тогда у вас будет две категории ПД;
  • порядке и условиях обработки персональных данных. Здесь описываются конкретные процедуры, обязательства организации. Например, в каких случаях нужно актуализировать (обновить) хранимые ПД, когда их уничтожить и как это делается, кто это будет делать;
  • актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным. В этом разделе описываются все эти условия, причем очень важно обратить внимание на актуализацию ПД, а также на обязательства сообщать и уведомлять субъекта, о котором собраны ПД в установленных случаях.

Почему нужно обратить внимание на актуализацию (обновление)? Дело, в том, что много судебных разбирательств и наказаний буквально возникает в таких случаях. Например, когда предприятие взяло 5 лет назад ПД контрагента, потом ПД поменялись, например, имя, и адрес, а также электронный адрес, что в наше время часто происходит. Далее, организация высылает по этому электронному адресу, а это адрес, например, другого человека, так возникают нарушения, которые могут закончится штрафом.

Далее, нужно ознакомьте работников с документами, которые у вас в организации регламентируют порядок обработки персональных данных, под подпись (п. 8 ст. 86, ч. 2 ст. 22 ТК РФ).

Вы можете использовать такой же порядок ознакомления, что и при ознакомлении с Правилами внутреннего трудового распорядка (например, с помощью листа ознакомления, составленного в свободной форме).

А документ, определяющий политику в отношении обработки персональных данных, дополнительно опубликуйте (ч. 2 ст. 18.1 Закона о персональных данных). Например, разместите на сайте организации, тем более, если вы собираетесь через сайт собирать какую-то информацию о физических лицах, тогда размещение такого документа на сайте обязательно.

Если это сделать невозможно, нужно сделать политику доступной каким-то иным способом (ч. 2 ст. 18.1 Закона о персональных данных). Например, повесьте распечатанную на бумаге политику на стенде в офисе. Главное, обеспечьте неограниченный доступ к документу (см. письмо Роскомнадзора от 19.10.2021 № 08-71063).

2) Если у вас несколько десятков сотрудников, то целесообразна издать приказ и назначить ответственное лицо за обработку ПД, см. п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1. В малой фирме за это будет отвечать руководитель. Обычно ответственным назначают сотрудника, которые имеет высшее образование по профилю информационной безопасности, сейчас эта специальность есть бакалавриатах вузов, а также аналогичные специальности можно смотреть.

3) Дополнительно рекомендуется заранее создать бланки согласия на обработку ПД для разных ситуаций, формы согласия оформляется с учетом требований ч. 4 ст. 9 Закона о персональных данных. Они должны включать, в частности:

  • Ф.И.О., адрес работника, реквизиты паспорта или иного документа, удостоверяющего его личность, кем и когда выдан;
  • наименование и адрес вашей организации;
  • перечень персональных данных, на получение которых дает согласие работник;
  • цели использования ПД;
  • срок, в течение которого действует согласие;
  • порядок отзыва согласия и уничтожения ПД.

Нужно убеждаться, что работники или клиенты подписали согласия.

4) Относительно размещения фото на корпоративном сайте, читайте, пожалуйста, публикацию на нашем сайте: Фото сотрудника на сайте: биометрические персональные данные. Как с этим быть?

5) Если в вашем офисе или на рабочих местах установлено видеонаблюдение, имеются дополнительные требования. Об этом, если будут запросы, мы можем рассказать в будущих публикациях.

Риски и ответственность

В случае возможных нарушений следующие риски:

· гражданско-правовая ответственность:

— в соответствии со , если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в иных случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. Согласно  моральный вред, причиненный действиями (бездействием), нарушающими имущественные права гражданина, подлежит компенсации в случаях, предусмотренных законом. На основании  гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности. Следовательно, если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работника, допущенного лицом, ответственным за осуществление вышеперечисленных действий с персональными данными, работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии со статьями ГК РФ. Есть и иные нормы ГК РФ, когда может возникнуть гражданско-правовая ответственность.

· административная ответственность:

— по — за несоблюдение требований к обработке персональных данных работников, которые установлены Трудовым кодексом РФ. Этой нормой отвественности предусмотрены штрафы для юридических лиц от 50 до 70 тыс. руб.

Например, вас могут привлечь к ответственности по этой статье, если вы не знакомите работников под подпись с локальными нормативными актами, которые устанавливают порядок обработки ПД работников (например, с положением о персональных данных);

— по — за нарушение требований к обработке персональных данных, которые установлены Законом о персональных данных.

Например, если не опубликовали или другим способом не обеспечили свободный доступ к документу, который определяет в вашей организации политику в отношении обработки персональных данных, вас могут оштрафовать по . По этой номе закона штраф на юрлицо может составлять от 30 до 60 тыс. руб.

· уголовная ответственность по 

— если работник, ответственный за обработку ПД других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия. Санкция предусматривает ответственность до 4 лет лишения свободы  с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо - штраф в сумме от 100 тыс. до 300 тыс. руб. или в размере зарплаты либо иного дохода осужденного за период от 1 года до 2 лет.

Понятно, что в этом разделе у нас не было задачи дать всю информацию об отвественности, дело в том, что сейчас в законодательстве РФ имеется очень много видов отвественности за нарушения в этой сфере, т.к. законы часто обновляются, нет еще устоявшейся судебной практики. Мы постараемся следить за развитием ситуации.

Обращение к уважаемым читателям

Уважаемые читали нашего сайта, прошу дать обратную связь в комментариях, что бы хотели еще узнать из сферы управления частного бизнеса. Также мы будем рады любой конструктивной критике и предложениям. Все ли понятно в статье, какие вопросы?

Комментарии

7
    • Александр @42

      Пожалуйста и вам, спасибо за поддержку.

  • Татьяна Р.

    Спасибо за статью! А есть шаблоны документов - положение о ПД, приказ и бланк согласия?

    • Александр @42

      Нет, мы стараемся этого не делать или делать в крайнем случае. Дело в том, что эти документы будут очень сильно от предприятия к предприятию отличаться. И брать шаблон - очень высокий риск получить штраф. Если делать для конкретного ООО, то это уже индивидуальная консультация.

Иногда УК должна управлять домом и после прекращения договора

Конституционный Суд уточнил порядок прекращения обязательств компании (УК) по управлению многоквартирным домом.

Курсы повышения
квалификации

20
Официальное удостоверение с занесением в госреестр Рособрнадзора
Мошенничество

Раскрыта мошенническая схема с бесплатным Wi-Fi

Посетители московских аэропортов столкнулись c одной из мошеннических схем: попытались подключиться к Wi-Fi и лишились телеграм-аккаунта.

Банки

Банки будут платить повышенную ставку в фонд страхования вкладов

Размер повышенной дополнительной ставки составит 300% от базовой. С первого квартала 2022 года дополнительная ставка была нулевой.

Лучшие спикеры, новый каждый день

Регулятор Гонконга сообщил, что банки региона не обязаны следовать антироссийским санкциям

Первый официальный дебош против вторичных санкций США.

Патентные поверенные из новых регионов могут не оплачивать экзамены

Путин принял закон о льготном периоде аттестации патентных поверенных. Он продлится до 1 января 2026 года.

Социальные предприниматели заработали больше 102 млрд рублей

Выручка индивидуальных предпринимателей, который работают в социальной сфере, составила 17,9 млрд рублей, а юридических лиц — 84,6 млрд.

Опытом делятся эксперты-практики, без воды

Президент подписал закон о запрете передавать коллекторам долги по ЖКХ

Коллекторов и других третьих лиц запретят привлекать для взимания с граждан долгов за жилищно-коммунальные услуги.

Считаем все: просмотры, открытия дочитывания

Коллеги, с 14 часов сегодняшнего дня мы ввели новые метрики: просмотра анонса статьи и открытия статьи.

Считаем все: просмотры, открытия  дочитывания
5
Ипотека

Многодетным продлят выплаты на погашение ипотеки

Многодетные семьи до конца 2030 года будут получать 450 000 рублей на погашение жилищного кредита.

Бесплатно с Социальный вычет

Какие изменения по вычетам произошли в 2024 году и как они влияют на получение вычетов. Мини-курс

В мини-курсе рассказываем, как изменился порядок подтверждения расходов для получения социальных налоговых вычетов по НДФЛ с 1 января 2024.

Какие изменения по вычетам произошли в 2024 году и как они влияют на получение вычетов. Мини-курс
Ведение бизнеса

Для малого бизнеса в сельском хозяйстве введут дополнительные меры поддержки

Президент поручил правительству разработать дополнительные меры поддержки сельскохозяйственных товаропроизводителей.

Налог на прибыль

Переход на авансы по фактической прибыли в 2024 году

Отечественные компании имеют возможность переходить на уплату авансов по налогу на прибыль исходя из фактической прибыли. Кто может это сделать и в каком порядке, рассказывается в нашей статье.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру
Миникурсы, текстовые и видеоинструкции для бухгалтеров

Каждый четвертый предприниматель моложе 35 лет

5,2 млн молодых людей зарегистрированы в качестве самозанятых, а предпринимательскую деятельность через ИП ведет 1 млн человек в возрасте до 35 лет.

Последний рывок перед майскими: проверьте, все ли отчеты вы сдали в СФР и налоговую. 📅«Ночной бухгалтер» № 1669

До длинных выходных придется пережить еще более длинную рабочую неделю. Но перед тем, как отправится на шашлыки, или просто хорошенько отоспаться, нужно закончить важные бухгалтерские дела — проверяйте, все ли отчеты сдали, правильно ли рассчитали и оплатили отпуска сотрудникам в межпраздничные дни. И, конечно, другие новости для бухгалтера за сегодня.

Иллюстрация: Создано при помощи ИИ playground.com / Балаклицкая Елена
Обзоры новостей

⚡️ Итоги дня: кабмин отменил постановление 1933 года, в Курске отказались от ЕГЭ, а россияне готовятся к шестидневной рабочей неделе

Подготовили обзор главных событий дня. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Онлайн-кассы

Какую онлайн-кассу выбрать для бизнеса

С 2021 года практически любой предприниматель обязан рассчитываться с покупателями и клиентами через онлайн-кассу. На рынке сразу появился десяток компаний, которые продают и настраивают устройства. Рассказываем, какое есть оборудование, как предпринимателю сделать выбор и кому все-таки онлайн-касса не нужна.

Иллюстрация: Вера Ревина/Клерк.ру
Пенсии

Может ли военный пенсионер получать гражданскую пенсию

Получать гражданскую пенсию вместе с военной можно, но только если соблюдено несколько условий.

Налоговые споры

Дробление бизнеса: 15 апреля суд вынес решение по делу Блиновской

Арест имущества и помещение под стражу Елены Блиновской всколыхнули мир инфобизнеса. Налоговые претензии к королеве марафонов составили более миллиарда рублей.

Иллюстрация: Вера Ревина/Клерк.ру
Банки

Суд ликвидировал банк «Гефест»

У банка «Гефест» отозвали лицензию 28 февраля 2024 года. Агентство по страхованию вкладов выплатило вкладчикам 93% компенсаций.

Интересные материалы

Бесплатно с Хранение документов

Сроки хранения электронных документов в 2024 году

Разберем, сколько нужно хранить налоговые, бухгалтерские и кадровые документы в электронном формате.

Сроки хранения электронных документов в 2024 году