На самом деле документов, которые требуется разработать в области персональных данных, великое множество, однако большая часть из них относится к вопросам кибербезопасности и не охватывается функционалом HR.
Согласие на обработку персональных данных
Согласие на обработку персональных данных необходимо получать всегда, когда возможность обработки персональных данных без согласия не предусмотрена законом. В частности, не требуется согласие на обработку персональных данных работника (соискателя), получаемых (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 закона о ПДн):
1. Из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК;
2. По результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК, п. 3 Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (далее — Разъяснения Роскомнадзора));
3. В объеме, предусмотренном унифицированной формой № Т-2 (утв. постановлением Госкомстата от 05.01.2004 г. № 1), в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора);
4. От кадрового агентства, действующего от имени соискателя или если резюме соискателя размещено на публичном ресурсе (абз. 12 п. 5 Разъяснений Роскомнадзора). Да, в остальных случаях при проведении собеседования или зачисления человека в кадровый резерв потребуется согласие.
Выделяется три вида согласий на обработку персональных данных: простое согласие; письменное согласие, согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Простое согласие берется в тех случаях, когда по закону не нужно брать письменное согласие. Особенность такого согласия в том, что оно может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме (ч. 1 ст. 10 закона о ПДн).
Это может быть и письменное согласие, и проставление «галочки» на сайте и положение в договоре.
Законом не установлены четкие требования о содержании такого согласия, но во избежание претензий контролирующих органов рекомендуем включать в него те же данные, что и в письменное согласие.
Письменное согласие работодатель обязан получить в случаях, предусмотренных законом. В частности, в отношении работника письменное согласие нужно получить:
При обработке ПДн специальных категорий (п. 1 ч. 2 ст. 10 закона о ПДн).
При обработке биометрических ПДн (ч. 1 ст. 11 закона о ПДн).
При трансграничной передаче в страны, не обеспечивающие адекватный уровень защиты прав субъектов (п. 1 ч. 4 ст. 12 закона о ПДн).
Обратите внимание: с марта 2023 г. в законодательство были внесены изменения, суть которых состоит в том, что оператор перед началом осуществления трансграничной передачи данных обязан будет уведомлять Роскомнадзор, а Роскомнадзор будет вправе такую передачу запретить.
Также напоминаем, что с сентября 2022 года всем операторам персональных данных нужно подать обновленное уведомление о включении в реестр операторов ПДн. По факту это касается всех работодателей в России. Новая форма утверждена только 26.12.22.
При включении ПДн в общедоступные источники (например, адресные книги, рекламные брошюры) (ч. 1 ст. 8 закона о ПДн).
При принятии решений на основании автоматизированной обработки данных без участия человека (ч. 2 ст. 16 закона о ПДн).
При передаче ПДн работников третьим лицам (абз. 2 ст. 88 ТК) и при получении персональных данных работников от третьих лиц (ч. 3 ст. 86 ТК). Это пункт особенно важен, поскольку чаще всего нарушается работодателями. Всегда, когда вы передаете данные третьим лицам, требуется получать согласие. Это передача транспортным, логистическим компаниям, сервисам бронирования билетов, страховым компаниям и прочие передачи.
Ниже мы опишем требования к согласию. Если прямо сейчас вы не готовите текст согласия, то эту часть текста можно пропустить. Но мы рекомендуем вам проверить себя — открыть вашу типовую форму согласия и пройтись по списку, все ли учтено. В 90% случаев при получении запросов на проверку согласий мы выявляем ошибки.
Нарушения требований к согласиям – это также один из самых простых способов привлечь компанию к ответственности при проверке Роскомнадзора.
Какие требование применяются к письменному согласию (ст. 9 закона о ПДн):
Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Иными словами, формулировки должны быть полными, точными, понятными, не должны трактоваться двусмысленно.
В нем должно быть раскрыто понятие «обработка персональных данных» (постановление Одиннадцатого арбитражного апелляционного суда от 29.11.2021 г. по делу № А65-15999/2021).
Оно должно содержать:
фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
получении согласия от представителя субъекта ПДн: фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
цель обработки ПДн;
Обратите внимание: «цель» указано в единственном числе, соответственно, есть правило: «одна цель — одно согласие», т.е. нельзя включить в одно согласие цели, например, взятие биометрических данных для СКУД и передача личной информации для целей статистики в иностранную компанию.
перечень ПДн, на обработку которых дается согласие субъекта ПДн;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено законом;
подпись субъекта ПДн.
Такое согласие может быть оформлено либо на бумажном носителе с подписью субъекта, либо в электронном виде, подписанный усиленной квалифицированной электронной подписью субъекта персональных данных (ч. 4 ст. 9 закона о ПДН, ч. 3 ст. 19 закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»).
Отдельно от других согласий на обработку ПДн нужно оформлять согласие на обработку ПДн, разрешенных для распространения. При этом работнику нужно дать возможность определить их перечень по каждой категории, указанной в согласии на обработку. Он вправе также установить, например, запрет на передачу данных неограниченному кругу лиц (ч. 1, 9 ст. 10.1 закона о ПДн).
Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, утверждены приказом Роскомнадзора от 24.02.2021 г. № 18, их можно посмотреть тут. Обращаем внимание, что требования к отдельной форме таких согласий вступили в силу в 2021 году. Поэтому если вы не обновляли пакет документов по ПДн в 2021 году или позднее, то пора срочно это делать.
Обновление документов по персональным данным
Разработка, восстановление документов и диагностика бизнес-процессов по персональным данным
Положение об обработке персональных данных
Необходимость разработки и утверждения положения об обработке ПДн обусловлена обязанностью, установленной в п. 6 ч. 1 ст. 18.1 закона о ПДн.
Данный документ принимается и разрабатывается как обычный локальный нормативный акт. В целом, он представляет собой руководство для сотрудников организации по работе с ПДн.
Качество разработки и соблюдения его сотрудниками существенным образом определяет, привлекут ли организацию к ответственности по результатам проверки Роскомнадзора.
Ниже мы опишем требования к положению. Если прямо сейчас вы не готовите его текст, то эту часть текста можно пропустить. Но мы рекомендуем вам проверить себя — открыть ваше действующее положение и пройтись по списку, все ли учтено.
В 70% случаев при получении запросов на проверку положений мы выявляем ошибки. Чаще всего они вызваны изменением законодательства, но иногда — изменением бизнес-процессов компании.
Мы рекомендуем включить в положение следующие элементы:
«Общие положения» — отражаются вопросы, которые регулирует положение, порядок его вступления в силу, внесения изменений;
«Категории субъектов персональных данных» — разбивка всех субъектов на категории. Например, кандидаты к приему на работу, работники организации, бывшие работники организации;
«Цели обработки персональных данных» — перечень всех целей обработки компанией ПДн;
«Перечень персональных данных» — какие именно данные обрабатываются;
Обратите внимание, что в положении должны быть указаны категории субъектов и перечень данных для каждой цели. Например, указывается цель *— «рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства», для этой цели указывается категория субъектов – «Кандидаты для приема на работу в компанию», далее указывается состав персональных данных обрабатываемых по этой категории для этой цели (ФИО, телефон, адрес, электронная почта и т.п.).
«Порядок и условия обработки персональных данных». Указываем перечень действий, совершаемых оператором с ПДн субъектов, а также используемые оператором способы обработки ПДн.
«Сроки обработки и хранения персональных данных» — указывается, в частности, сколько нужно хранить документы, которые содержат персональные данные;
«Правовые основания обработки персональных данных». В качестве правового основания обработки могут быть указаны:
законы, регулирующие отношения, связанные с деятельностью оператора. Здесь указываются именно специализированные нормативные акты, а не Закон о ПДн в целом;
уставные документы оператора;
договоры, заключаемые между оператором и субъектом ПДн;
согласия на обработку ПДн.
«Порядок блокирования и уничтожения персональных данных» — определяются, например, сроки уничтожения персональных данных при достижении максимальных сроков хранения документов, в которых они содержатся;
«Защита персональных данных» — указываем процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений; перечисляются локальные нормативные акты, которые принимаются во исполнение положения, указывается порядок осуществления контроля за соблюдением у работодателя требований законодательства в области ПДн и т.п.
«Порядок обработки обращений субъектов персональных данных» — указывается порядок действий работников компании при получении обращения субъектов ПДн, например, об отзыве согласия.
«Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» — указываются последствия нарушения законодательства в области ПДн.
Положение утверждается приказом руководителя организации, с ним нужно ознакомить всех работников под роспись в порядке, предусмотренном для утверждения локальных нормативных актов организации.
Другие документы
Итак, два самых базовых документа мы рассмотрели. Они есть у большинства компаний в том или ином виде. Чаще всего — в виде очень сырого документа, подписанного лет 10 назад. Хотя последние годы ввиду активности Роскомнадзора и роста сумм штрафов в несколько сотен раз, доля компаний с обновленными документами стабильно растет.
Какие еще базовые документы нужны всем работодателям?
Обязательство о неразглашении
Согласно п. 7 ст. 86 ТК работодатель обязан обеспечить защиту ПДн работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к ПДн других работников, обязаны не разглашать эти данные. При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей, и они обязались не разглашать такие сведения (п. 43 постановления Пленума ВС от 17.03.2004 г. № 2).
Соответственно, для целей возможного привлечения работников к ответственности за разглашение вверенных им ПДн, рекомендуется оформить отдельное обязательство работника о неразглашении персональных данных, где указать:
ФИО работника, его должность.
Наименование и реквизиты работодателя, трудового договора с работником.
Тезис о том, что работник понимает, что он имеет доступ к ПДн.
Обязанность работника не разглашать вверенные ему ПДн, а также перечень этих данных.
Положение о возможной ответственности за разглашение ПДн.
Дата, должность, ФИО и личную подпись работника. Рекомендуется чтобы всё это работник написал от руки.
Назначение ответственного лица
Также одной из обязанностей оператора является назначение ответственного за организацию обработки ПДн (ст. 22.1 закона о ПДн). Согласно закону, такое лицо подчиняется непосредственно директору (единоличному исполнительному органу) оператора, и в его обязанности входит (ч. 4 ст. 22.1 закона о ПДн):
осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
доводить до сведения работников оператора положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
В международной практике должность такого лица звучит как DPO (Data Protection Officer), и в его обязанности входит намного больше элементов, чем указано выше.
По сути это менеджер, который должен выстроить систему комплаенса по работе с персональными данными. В практике работы российских компаний только крупнейшие организации, работающие в сфере медиа, связи и телекоммуникации имеют такие должности в штате. Для соблюдения закона достаточно будет формализации и исполнения обязанностей, указанных в законе.
Ответственным может быть назначен как специально нанятый работник, так и работник выполняющий другие функции. Во втором случае необходимо дополнить его должностную инструкцию необходимыми обязанностями, а также рекомендуется компенсировать работнику в денежном выражении выполнение такой дополнительной работы, о чем заключить дополнительное соглашение к трудовому договору.
Назначение ответственного осуществляется приказом.
Политика в области обработки персональных данных
Ещё одним документом, необходимым для выполнения минимальных требований законодательства в области ПДн является политика в области обработки персональных данных. Оператор обязан опубликовать такую политику в Интернете (ч. 2 ст. 18.1 закона о ПДн). Обычно такая политика называется «Политика о конфиденциальности» или «Data protection policy» и размещена в самом конце различных сайтов или ссылка на неё «выскакивает» при входе на сайт. Не стоит путать данный документ с положением об обработке персональных данных, т.к. это два разных документа.
Не смотря на то, что по мнению Роскомнадзора определение структурного и содержательного наполнения политики в отношении обработки персональных данных отнесено к компетенции оператора, мы рекомендуем обязательно включить в политику категории субъектов и перечень данных для каждой цели обработки персональных данных (как в положении) (письмо Роскомнадзора от 19.10.2021 № 08-71063 «О разъяснении законодательства»).
Также при составлении уведомления можно руководствоваться Рекомендациями Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Уведомление Роскомнадзора
Согласно ч. 1 ст. 22 закона о ПДн оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.
Подается это уведомлении в территориальный орган Роскомнадзора по месту регистрации, форму можно заполнить на сайте Роскомнадзора, там же её распечатать и направить в соответствующий орган по почте или нарочно. Также можно направить электронно при условии подписания электронной подписью или через «Госуслуги».
Обратите внимание, что в сентябре 2022 г. законодательство о ПДн поменялось, также была утверждена новая форма уведомления, в которой добавлены новые данные для заполнения (приказ Роскомнадзора от 28.10.2022 № 180 (зарегистрировано в Минюсте 15.12.2022 № 71532).
Поэтому даже если вы уже подавали вышеуказанное уведомление до 26.12.2022 г., необходимо подать уведомление об изменении сведений, форму также можно заполнить на сайте Роскомнадзора, способ подачи такой же как и с уведомление о начале обработки.
Команда профессионалов СберРешений поможет по всем вопросам обновления документов по персональным данным. Также вы можете получить письменные консультации и рекомендации по сайту компании.
Обновление документов по персональным данным
Разработка, восстановление документов и диагностика бизнес-процессов по персональным данным
Реклама: АО «Интеркомп», ИНН: 7709688816, erid: LjN8KAgeh
Начать дискуссию