Организации, которые собирают и хранят данные сотрудников, а зачастую и клиентов, по ст. 3 закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ) называют операторами персональных данных. Этот же закон устанавливает требования к пакету документов, которые должны быть у каждого оператора ПД, чтобы он мог корректно обрабатывать информацию.
Документы в соответствии с законом 152-ФЗ
Закон устанавливает ряд общих требований, а некоторые статьи содержат прямые указания на наличие конкретного документа. Например, в организации должны быть:
Согласие на обработку ПД — регулируется ст. 9 закона № 152-ФЗ.
Согласие на обработку ПД несовершеннолетнего — регулируется той же статьей.
Согласие на распространение ПД. Такой документ оформляют отдельно от других согласий. В нем определяют конкретный список сведений по каждой категории, которые сотрудник разрешает распространять. Если такой документ с сотрудником не подписали, то компания обрабатывает данные без права распространения.
Согласие на передачу ПД работника третьей стороне.
Правила обработки ПД. По-другому этот документ иногда называют Положением об обработке и защите ПД. В этом ЛНА определяют, какие данные будут обрабатываться и в какие сроки, как и в течение какого времени их хранить и как уничтожать.
Приказ о назначении ответственного за организацию обработки ПД.
Приказ о допуске к обработке ПД — определяет, сотрудники каких должностей могут обрабатывать ПД для реализации своих трудовых функций.
Политика оператора в отношении обработки ПД.
Политика конфиденциальности ПД посетителей сайта.
Приказ об утверждении политики оператора в отношении обработки ПД.
Это не полный перечень документов — остальные указаны в ст. 9, 18, 19 закона 152-ФЗ.
Другие законодательные требования к обработке ПД
Чтобы разработать документацию по работе с ПД, нужно не только выполнить требования 152-ФЗ, но и обратиться к другим законодательным актам. В частности, необходимо руководствоваться следующими НПА:
Приказ ФСТЭК от 18.02.2013 № 21.
Приказа ФСТЭК № 21 от 18.02.13.
Если у вас возникают трудности в составлении документации по обработке ПД, обращайтесь за консультацией к профессионалам. Они помогут вам разработать все необходимые документы с учетом последних требований законодательства.
Новые документы по обработке ПД в 2023 году
В этом году Роскомнадзор (РКН) уделил большое внимание работе с утечками ПД. В приказе РКН от 14.11.2022 № 187 утвердили порядок взаимодействия РКН и оператора ПД в случае, если последний допустил утечку сведений. Кроме того, в приказе указано, какую информацию нужно прописать в первичном и дополнительном уведомлении по ч. 3.1 ст. 21 закона № 152-ФЗ.
Бесплатный чек-лист обязательных процедур, необходимых для соблюдения законодательства по персональным данным
Организуйте в своей компании работу с персональными данными согласно требованиям закона
С марта 2023 года оператору ПД нужно проводить оценку потенциального вреда субъекту ПД, требования к которой устанавливает приказ РКН от 27.10.2022 № 178. Оценивать степень вреда может специальная комиссия или сотрудник, который несет ответственность за обработку ПД. Результаты такой оценки оформляют актом — его содержание и форму подачи устанавливают п. 4 и 5 приложения к приказу № 178. То есть акт — это еще один обязательный документ, наличие которого может проверить РКН.
Еще одно правило касается уничтожения ПД. По 152-ФЗ, это нужно делать в следующих случаях:
Сведения обрабатывались неправомерно, например, без согласия лица.
Цели, для которых собирали информацию, достигнуты.
Субъект ПД отозвал согласие.
То, что данные и в самом деле уничтожены, нужно подтвердить актом (приказ РКН от 28.10.2022 № 179), который содержит информацию из п. 3 приложения к данному приказу. При уничтожении компьютерной информации, помимо акта, делают выгрузку из журнала регистрации событий в информационной системе ПД. Требования к составу выгрузки устанавливает п. 5 приложения к приказу № 179.
Что будет, если компания нарушает правила работы с ПД
В 2023 году продолжает действовать мораторий на плановые проверки бизнеса. При этом по решению главы или замглавы РКН могут назначить внеплановую проверку компании (в том числе аккредитованной IT-организации), которая допустила утечку ПД в Интернет.
В общем случае ответственность за нарушение закона № 152-ФЗ устанавливает ст. 13.11 КоАП. Так, если не выполняются требования об уничтожении ПД, предприниматель может получить штраф до 40 тысяч рублей; должностное лицо — до 20 тысяч рублей, юридическое лицо – до 90 тысяч рублей.
За обработку данных лица без согласия, если по закону его нужно получить в письменном виде, ответственное лицо могут оштрафовать на сумму до 40 тысяч рублей, а компанию — до 150 тысяч. Для ИП предусмотрена ответственность при повторном нарушении — она составит до 300 тысяч рублей.
Если оператор при сборе сведений не обеспечивает запись, систематизацию, накопление, хранение ПД российских граждан с использованием баз данных, которые находятся на территории РФ, в соответствии с законодательством, на должностное лицо могут наложить штраф до 200 тысяч рублей, на ИП — до 40 тысяч, на юридическое лицо — до 6 млн рублей. При выявлении повторного нарушения штрафы будут еще выше.
Если у вас появились вопросы по порядку обработки персональных данных, вы хотите обезопасить свою компанию от проверок и штрафов, то обращайтесь за консультацией к специалистам. Перейдите на сайт компании «Консалтинг онлайн» и оставьте заявку через кнопку «Получить консультацию».
Консалтинг Онлайн
Комплексное юридическое сопровождение деятельности компаний
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KQaYf
Начать дискуссию