Согласие на обработку персональных данных не защитит от штрафов, если не соблюдать другие требования Роскомнадзора и ФЗ №152

До сих пор многие операторы персональных данных уверены, что достаточно иметь корректное согласие на обработку ПД и не бояться санкций от Роскомнадзора. На самом деле согласия недостаточно. Нужно зарегистрироваться в Роскомнадзоре, оформить отсутствующие документы, обновить имеющиеся, причем для каждой сферы и оператора они разные.

Как зарегистрироваться в Роскомнадзоре и подать уведомление на обработку персональных данных (ПД)

Уведомление подается о намерении, то есть до начала процесса (ст. 22 закона от 27.07.2006 N 152-ФЗ — далее закона о ПД). Форма уведомления приведена в приложении № 1 к приказу Роскомнадзора от 28.10.22 № 180 и содержит:

Уведомление подписывается уполномоченным лицом (ст. 22 закона о ПД). Получив уведомление, Роскомнадзор не позднее 30 дней вносит подателя уведомления в реестр операторов.

Об изменении сведений, содержавшихся в уже поданном уведомлении, нужно уведомить Роскомнадзор не позднее 15 числа месяца, следующего за месяцем изменения, о прекращении обработки нужно уведомить не позднее 10 рабочих дней с даты прекращения.

Формы приведены в приложениях № 2, 3 к приказу Роскомнадзора от 28.10.22 № 180

Получить бесплатную консультацию по регистрации в Роскомнадзоре и подготовке документов для работы с персональными данными

Проверка на пороге: что потребуют контролеры Роскомнадзора

Специалисты Роскомнадзора могут затребовать документы, которые, на первый взгляд, не имеют отношения к ПД.

Как минимум, понадобится копия устава для проверки основных сведений об операторе ПД и договор — основание для использования проверяемого помещения, в котором находятся рабочие места. Далее потребуется штатное расписание.

Также нужны профильные документы, непосредственно касающиеся ПД. Кроме согласий на обработку ПД, это:

  • политика по обработке ПД, 

  • список лиц, уполномоченных обрабатывать ПД, 

  • уведомление Роскомнадзора и ряд иных документов. 

Конкретный пакет документации каждому оператору нужно формировать отдельно, с учетом сферы деятельности, специфики работы и т.п. Рассмотрим наиболее распространенные составляемые документы. 

Как составить приказ о назначении ответственного за организацию работы с ПД

Поскольку закон обязывает назначить такое лицо (ст. 22.1 закона о ПД), отсутствие приказа повлечет штрафы. 

Формулировки приказа могут быть следующими:

«В целях обеспечения выполнения требований Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов

ПРИКАЗЫВАЮ:

1. Назначить начальника отдела кадров Максимову П.А. ответственной за организацию обработки персональных данных работников.

2. Контроль за исполнением настоящего приказа оставляю за собой».

Одного приказа недостаточно. Нужно проверить, есть ли корреспондирующие положения в должностной инструкции сотрудника или в его трудовом договоре. Речь идет, в частности, об обязанностях:

  • организовывать разработку, принятие и актуализацию документов, касающихся ПД;

  •  организовать применение мер правового, организационного, технического характера для защиты ПД;

  •  осуществлять внутренний контроль (аудит) за соблюдением законодательства о ПД;

  • информировать сотрудников о законодательстве о ПД, требованиям к защите их и т. п.;

  • принимать и обрабатывать обращения и запросы, касающиеся ПД.

Контролеры обязательно потребуют не только приказ о назначении лица, ответственного за работу с ПД, но и проверят его должностные инструкции, трудовой договор.

Если вы впервые сталкиваетесь с обязанностями законодательства о персональных данных и не уверены, как правильно организовать всю систему работы с ПД, включая подготовку и  регулярное обновление документов и политики в соответствии с законом №152-ФЗ, обращайтесь к специалистам сервиса «Роском Онлайн».

ЛНА об обработке и защите персональных данных

Конкретный перечень ЛНА, регулирующих обработку, защиту ПД, у каждого оператора должен быть своим, но то, что пакет таких документов должен быть — это бесспорно (ст. 87 ТК).

Прежде всего обратят внимание на такой документ, как политика в отношении обработки ПД (ст. 18.1 закона о ПД). Этот ЛНА может называться по-иному, положением, политикой, может быть отдельным документом для сотрудников, клиентов, для размещения на сайте и т. п. 

Какие положения обязательно должны быть в этом ЛНА:

  • указание на категории субъектов, ПД которых обрабатываются;

  • перечень обрабатываемых ПД по каждой категории;

  • цели обработки ПД;

  • законное основание обработки ПД, например, получение согласия на обработку ПД, заключения договоров и т.п.;

  • порядок, способ, методы обезличивания ПД;

  • срок обработки и хранения ПД;

  • условия прекращения ПД и т.п. 

Второй важный ЛНА — тот, который направлен на предотвращение и выявление нарушений законодательства о ПД, устранение последствий подобного (п. 2 ч. 1 ст. 18.1 закона о ПД).

Впрочем, это может быть не отдельный ЛНА, а, например, особый раздел в положении об обработке ПД. Какие это могут быть процедуры:

  • внутренний контроль (аудит) защиты ПД;

  • оценка вероятного вреда субъектам ПД;

  • ознакомление лиц, работающих с ПД, с актуальными положениями законодательства о ПД;

  • лимитированная обработка ПД для достижения определенных целей;

  • предотвращение обработки ПД, проводимой для иных целей.

В них прописывают, как оценить потенциально возможный вред при нарушении законодательства о ПД:

  • порядок оценки такого вреда — например, лично ответственным лицом или комиссией;

  • градации степени риска:

    • высокая — например, обработка биометрии, личных убеждений, ПД несовершеннолетних и т. п., 

    • средняя — размещение на сайте работодателя, использование для продвижения баз ПД и т. п.;

    • низкая — ведение общедоступных источников ПД;

  • форма акта оценки вреда. 

Скачать полный чек-лист процедур и документов, обязательных при работе с персональными данными (более 60)

Заполните форму, вышлем чек-лист нам на e-mail:

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Еще один ЛНА — перечень лиц, имеющих доступ к ПД, и перечень лиц, имеющих доступ и непосредственно допущенных к работе с ПД (ст. 88 ТК, п. 13 требований, утв. постановлением Кабмина от 01.11.12 № 1119). Оба перечня можно сделать по отдельности или объединить, главное, чтобы в них были должности, Ф.И.О., основания доступа, цели обработки ПД, группы обрабатываемых ПД.

Также проверяющие выясняют, есть ли корреспондирующие условия в должностных инструкциях или трудовых договорах соответствующих сотрудников.

Описание помещений, где обрабатываются ПД нужно, так как обязанность хранить ПД там, где они недоступны для неуполномоченных или третьих лиц, следует из ст. 18.1, 19 закона о ПД.  

Поэтому контролеры запрашивают описания кабинетов, где обрабатывают ПД, интересуются наличием охраны, сигнализации и т. п. Нужно издать приказ о том, какие именно помещения служат для обработки ПД, какие требования к ним применяются, кто контролирует соблюдение режима в отношении этих помещений и т.п.

Также нужен перечень помещений с названиями соответственно плану, с указанием работников, имеющих допуск в это помещение.

Согласия на обработку ПД (ч. 4 ст. 9 закона о ПД), нужно всегда поддерживать в актуальном состоянии. Также важно, чтобы все субъекты ПД, чьи данные обрабатываются, дали согласия.

Несмотря на случаи, когда согласия на обработку ПД не нужнынапример, ПД передаются госорганам, обработка предусмотрена колдоговором — безопаснее в любом случае получать согласие работника на обработку ПД.

Также обработка биометрии, передача данных третьим лицам, распространение и другие подобные меры требуют отдельных разрешений

Все это не исчерпывающий перечень. Контролеры Роскомнадзора могут проверить, например, какие анкеты вы используете для подбора персонала, какие вопросы содержат опросные листы, используемые для собеседований.

Между прочим, нередко такие формы содержат излишние запросы. Например, указать отношение к той или иной расе, религии и т.п. Нужно заранее исключить подобные вопросы из документов. 

При ведении личных дел работников проверьте, не хранятся ли там копии документов сотрудника, нет ли упоминаний о них в справке о составе документов, формирующих личное дело. Если вам приходится взаимодействовать с субъектами ПД, имеет смысл вести журнал, в котором вы будете регистрировать обращения и ответы на них.

Также понадобятся ЛНА о порядке уничтожения ПД, при использовании специального ПО и БД — документ, регламентирующий процесс выгрузки из журнала регистрации событий в ИС данных. 

Кроме согласия об обработке ПД, нужны регистрация в реестре Роскомнадзора и другой пакет документов, состав которого зависит от того, ПД каких категорий у вас обрабатываются, кому и каким способом передаются ПД и прочее.

В ином случае могут последовать штрафы до 90 тыс., при повторном нарушении — до 500 тыс. (ч. 5, 5.1 ст. 13.11 КоАП), а то и до 18 млн рублей — при невыполнении требований к хранению ПД (ч. 8, 9 ст. 13.11 КоАП).

Получите бесплатную консультацию на сайте сервиса «Роском Онлайн», чтобы узнать, как правильно работать с персональными данными и избежать штрафов.

Читайте также:

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8JzfxE

Начать дискуссию