Какие документы для работы с персональными данными нужны организации в 2024 году? Новые требования Роскомнадзора и ФЗ № 152

Почти все компании в России — операторы персональных данных (ПД), так как обрабатывают как минимум сведения о сотрудниках. Поэтому всем важно знать требования к работе с ПД и иметь необходимый перечень документов, иначе за нарушения в этой сфере компания может получить штраф.
Какие документы для работы с персональными данными нужны организации в 2024 году? Новые требования Роскомнадзора и ФЗ № 152
Иллюстрация: freepik/freepik

Организации, которые собирают и хранят данные сотрудников, а зачастую и клиентов, по ст. 3 закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ) называют операторами персональных данных. Этот же закон устанавливает требования к пакету документов, которые должны быть у каждого оператора ПД, чтобы он мог корректно обрабатывать информацию.

Документы в соответствии с законом 152-ФЗ

Закон устанавливает ряд общих требований, а некоторые статьи содержат прямые указания на наличие конкретного документа. Например, в организации должны быть:

  • Согласие на обработку ПД — регулируется ст. 9 закона № 152-ФЗ.

  • Согласие на обработку ПД несовершеннолетнего — регулируется той же статьей.

  • Согласие на распространение ПД. Такой документ оформляют отдельно от других согласий. В нем определяют конкретный список сведений по каждой категории, которые сотрудник разрешает распространять. Если такой документ с сотрудником не подписали, то компания обрабатывает данные без права распространения.

  • Согласие на передачу ПД работника третьей стороне.

  • Правила обработки ПД. По-другому этот документ иногда называют Положением об обработке и защите ПД. В этом ЛНА определяют, какие данные будут обрабатываться и в какие сроки, как и в течение какого времени их хранить и как уничтожать.

  • Приказ о назначении ответственного за организацию обработки ПД. 

  • Приказ о допуске к обработке ПД — определяет, сотрудники каких должностей могут обрабатывать ПД для реализации своих трудовых функций.

  • Политика оператора в отношении обработки ПД.

  • Политика конфиденциальности ПД посетителей сайта.

  • Приказ об утверждении политики оператора в отношении обработки ПД.

Это не полный перечень документов — остальные указаны в ст. 9, 18, 19 закона 152-ФЗ.

Другие законодательные требования к обработке ПД

Чтобы разработать документацию по работе с ПД, нужно не только выполнить требования 152-ФЗ, но и обратиться к другим законодательным актам. В частности, необходимо руководствоваться следующими НПА:

Если у вас возникают трудности в составлении документации по обработке ПД, обращайтесь за консультацией к профессионалам. Они помогут вам разработать все необходимые документы с учетом последних требований законодательства.

Получить консультацию

Новые документы по обработке ПД в 2023 году

В этом году Роскомнадзор (РКН) уделил большое внимание работе с утечками ПД. В приказе РКН от 14.11.2022 № 187 утвердили порядок взаимодействия РКН и оператора ПД в случае, если последний допустил утечку сведений. Кроме того, в приказе указано, какую информацию нужно прописать в первичном и дополнительном уведомлении по ч. 3.1 ст. 21 закона № 152-ФЗ.

Бесплатный чек-лист обязательных процедур, необходимых для соблюдения законодательства по персональным данным

Организуйте в своей компании работу с персональными данными согласно требованиям закона

Заполните форму, вышлем чек-лист нам на e-mail:

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

С марта 2023 года оператору ПД нужно проводить оценку потенциального вреда субъекту ПД, требования к которой устанавливает приказ РКН от 27.10.2022 № 178. Оценивать степень вреда может специальная комиссия или сотрудник, который несет ответственность за обработку ПД. Результаты такой оценки оформляют актом — его содержание и форму подачи устанавливают п. 4 и 5 приложения к приказу № 178. То есть акт — это еще один обязательный документ, наличие которого может проверить РКН.

Еще одно правило касается уничтожения ПД. По 152-ФЗ, это нужно делать в следующих случаях:

  • Сведения обрабатывались неправомерно, например, без согласия лица.

  • Цели, для которых собирали информацию, достигнуты.

  • Субъект ПД отозвал согласие.

То, что данные и в самом деле уничтожены, нужно подтвердить актом (приказ РКН от 28.10.2022 № 179), который содержит информацию из п. 3 приложения к данному приказу. При уничтожении компьютерной информации, помимо акта, делают выгрузку из журнала регистрации событий в информационной системе ПД. Требования к составу выгрузки устанавливает п. 5 приложения к приказу № 179.

Что будет, если компания нарушает правила работы с ПД

В 2023 году продолжает действовать мораторий на плановые проверки бизнеса. При этом по решению главы или замглавы РКН могут назначить внеплановую проверку компании (в том числе аккредитованной IT-организации), которая допустила утечку ПД в Интернет.

В общем случае ответственность за нарушение закона № 152-ФЗ устанавливает ст. 13.11 КоАП. Так, если не выполняются требования об уничтожении ПД, предприниматель может получить штраф до 40 тысяч рублей; должностное лицо — до 20 тысяч рублей, юридическое лицо – до 90 тысяч рублей.

За обработку данных лица без согласия, если по закону его нужно получить в письменном виде, ответственное лицо могут оштрафовать на сумму до 40 тысяч рублей, а компанию — до 150 тысяч. Для ИП предусмотрена ответственность при повторном нарушении — она составит до 300 тысяч рублей.

Если оператор при сборе сведений не обеспечивает запись, систематизацию, накопление, хранение ПД российских граждан с использованием баз данных, которые находятся на территории РФ, в соответствии с законодательством, на должностное лицо могут наложить штраф до 200 тысяч рублей, на ИП — до 40 тысяч, на юридическое лицо — до 6 млн рублей. При выявлении повторного нарушения штрафы будут еще выше.

Если у вас появились вопросы по порядку обработки персональных данных, вы хотите обезопасить свою компанию от проверок и штрафов, то обращайтесь за консультацией к специалистам. Перейдите на сайт компании «Консалтинг онлайн» и оставьте заявку через кнопку «Получить консультацию».

Консалтинг Онлайн

Комплексное юридическое сопровождение деятельности компаний

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KQaYf

Криптовалюта

С 1 ноября 2024 года в России введены новые нормы для майнинга криптовалют

Цифровая валюта будет рассматриваться как имущество для целей налогообложения.

Начать дискуссию