Документы по персональным данным

В настоящей статье речь пойдет о следующих документах: согласие на обработку персональных данных, положение об обработке персональных данных, а также ещё несколько документов (здесь оставляем интригу, чтобы вы нашли их в тексте).
Документы по персональным данным
Иллюстрация: СберРешения

На самом деле документов, которые требуется разработать в области персональных данных, великое множество, однако большая часть из них относится к вопросам кибербезопасности и не охватывается функционалом HR.

Согласие на обработку персональных данных

Согласие на обработку персональных данных необходимо получать всегда, когда возможность обработки персональных данных без согласия не предусмотрена законом. В частности, не требуется согласие на обработку персональных данных работника (соискателя), получаемых (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 закона о ПДн):

1. Из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК

2. По результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК, п. 3 Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (далее — Разъяснения Роскомнадзора));

3. В объеме, предусмотренном унифицированной формой № Т-2 (утв. постановлением Госкомстата от 05.01.2004 г. № 1), в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора);

4. От кадрового агентства, действующего от имени соискателя или если резюме соискателя размещено на публичном ресурсе (абз. 12 п. 5 Разъяснений Роскомнадзора). Да, в остальных случаях при проведении собеседования или зачисления человека в кадровый резерв потребуется согласие.

Выделяется три вида согласий на обработку персональных данных: простое согласие; письменное согласие, согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

  • Простое согласие берется в тех случаях, когда по закону не нужно брать письменное согласие. Особенность такого согласия в том, что оно может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме (ч. 1 ст. 10 закона о ПДн).

Это может быть и письменное согласие, и проставление «галочки» на сайте и положение в договоре.

Законом не установлены четкие требования о содержании такого согласия, но во избежание претензий контролирующих органов рекомендуем включать в него те же данные, что и в письменное согласие.

  • Письменное согласие работодатель обязан получить в случаях, предусмотренных законом. В частности, в отношении работника письменное согласие нужно получить:

    • При обработке ПДн специальных категорий (п. 1 ч. 2 ст. 10 закона о ПДн).

    • При обработке биометрических ПДн (ч. 1 ст. 11 закона о ПДн).

    • При трансграничной передаче в страны, не обеспечивающие адекватный уровень защиты прав субъектов (п. 1 ч. 4 ст. 12 закона о ПДн).

      Обратите внимание: с марта 2023 г. в законодательство были внесены изменения, суть которых состоит в том, что оператор перед началом осуществления трансграничной передачи данных обязан будет уведомлять Роскомнадзор, а Роскомнадзор будет вправе такую передачу запретить.

      Также напоминаем, что с сентября 2022 года всем операторам персональных данных нужно подать обновленное уведомление о включении в реестр операторов ПДн. По факту это касается всех работодателей в России. Новая форма утверждена только 26.12.22.

    • При включении ПДн в общедоступные источники (например, адресные книги, рекламные брошюры) (ч. 1 ст. 8 закона о ПДн).

    • При принятии решений на основании автоматизированной обработки данных без участия человека (ч. 2 ст. 16 закона о ПДн).

    • При передаче ПДн работников третьим лицам (абз. 2 ст. 88 ТК) и при получении персональных данных работников от третьих лиц (ч. 3 ст. 86 ТК). Это пункт особенно важен, поскольку чаще всего нарушается работодателями. Всегда, когда вы передаете данные третьим лицам, требуется получать согласие. Это передача транспортным, логистическим компаниям, сервисам бронирования билетов, страховым компаниям и прочие передачи.

Ниже мы опишем требования к согласию. Если прямо сейчас вы не готовите текст согласия, то эту часть текста можно пропустить. Но мы рекомендуем вам проверить себя — открыть вашу типовую форму согласия и пройтись по списку, все ли учтено. В 90% случаев при получении запросов на проверку согласий мы выявляем ошибки.

Нарушения требований к согласиям – это также один из самых простых способов привлечь компанию к ответственности при проверке Роскомнадзора.

Какие требование применяются к письменному согласию (ст. 9 закона о ПДн):

  1. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Иными словами, формулировки должны быть полными, точными, понятными, не должны трактоваться двусмысленно. 

  2. В нем должно быть раскрыто понятие «обработка персональных данных» (постановление Одиннадцатого арбитражного апелляционного суда от 29.11.2021 г. по делу № А65-15999/2021).

  3. Оно должно содержать:

    1. фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

    2. получении согласия от представителя субъекта ПДн: фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;

    3. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;

    4. цель обработки ПДн; 

      Обратите внимание: «цель» указано в единственном числе, соответственно, есть правило: «одна цель — одно согласие», т.е. нельзя включить в одно согласие цели, например, взятие биометрических данных для СКУД и передача личной информации для целей статистики в иностранную компанию.

    5. перечень ПДн, на обработку которых дается согласие субъекта ПДн;

    6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

    7. перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

    8. срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено законом;

    9. подпись субъекта ПДн.

Такое согласие может быть оформлено либо на бумажном носителе с подписью субъекта, либо в электронном виде, подписанный усиленной квалифицированной электронной подписью субъекта персональных данных (ч. 4 ст. 9 закона о ПДН, ч. 3 ст. 19  закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»).

  • Отдельно от других согласий на обработку ПДн нужно оформлять согласие на обработку ПДн, разрешенных для распространения. При этом работнику нужно дать возможность определить их перечень по каждой категории, указанной в согласии на обработку. Он вправе также установить, например, запрет на передачу данных неограниченному кругу лиц (ч. 1, 9 ст. 10.1 закона о ПДн).

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, утверждены приказом Роскомнадзора от 24.02.2021 г. № 18, их можно посмотреть тут. Обращаем внимание, что требования к отдельной форме таких согласий вступили в силу в 2021 году. Поэтому если вы не обновляли пакет документов по ПДн в 2021 году или позднее, то пора срочно это делать.

Обновление документов по персональным данным

Разработка, восстановление документов и диагностика бизнес-процессов по персональным данным

Положение об обработке персональных данных

Необходимость разработки и утверждения положения об обработке ПДн обусловлена обязанностью, установленной в п. 6 ч. 1 ст. 18.1 закона о ПДн.

Данный документ принимается и разрабатывается как обычный локальный нормативный акт. В целом, он представляет собой руководство для сотрудников организации по работе с ПДн.

Качество разработки и соблюдения его сотрудниками существенным образом определяет, привлекут ли организацию к ответственности по результатам проверки Роскомнадзора. 

Ниже мы опишем требования к положению. Если прямо сейчас вы не готовите его текст, то эту часть текста можно пропустить. Но мы рекомендуем вам проверить себя — открыть ваше действующее положение и пройтись по списку, все ли учтено.

В 70% случаев при получении запросов на проверку положений мы выявляем ошибки. Чаще всего они вызваны изменением законодательства, но иногда — изменением бизнес-процессов компании.

Мы рекомендуем включить в положение следующие элементы:

  • «Общие положения» — отражаются вопросы, которые регулирует положение, порядок его вступления в силу, внесения изменений;

  • «Категории субъектов персональных данных» — разбивка всех субъектов на категории. Например, кандидаты к приему на работу, работники организации, бывшие работники организации;

  • «Цели обработки персональных данных» — перечень всех целей обработки компанией ПДн;

  • «Перечень персональных данных» — какие именно данные обрабатываются;

Обратите внимание, что в положении должны быть указаны категории субъектов и перечень данных для каждой цели. Например, указывается цель *— «рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства», для этой цели указывается категория субъектов – «Кандидаты для приема на работу в компанию», далее указывается состав персональных данных обрабатываемых по этой категории для этой цели (ФИО, телефон, адрес, электронная почта и т.п.).

  • «Порядок и условия обработки персональных данных». Указываем перечень действий, совершаемых оператором с ПДн субъектов, а также используемые оператором способы обработки ПДн. 

  • «Сроки обработки и хранения персональных данных» — указывается, в частности, сколько нужно хранить документы, которые содержат персональные данные;

  • «Правовые основания обработки персональных данных». В качестве правового основания обработки могут быть указаны:

    • законы, регулирующие отношения, связанные с деятельностью оператора. Здесь указываются именно специализированные нормативные акты, а не Закон о ПДн в целом;

    • уставные документы оператора;

    • договоры, заключаемые между оператором и субъектом ПДн;

    • согласия на обработку ПДн.

  • «Порядок блокирования и уничтожения персональных данных» — определяются, например, сроки уничтожения персональных данных при достижении максимальных сроков хранения документов, в которых они содержатся;

  • «Защита персональных данных» — указываем процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений; перечисляются локальные нормативные акты, которые принимаются во исполнение положения, указывается порядок осуществления контроля за соблюдением у работодателя требований законодательства в области ПДн и т.п.

  • «Порядок обработки обращений субъектов персональных данных» — указывается порядок действий работников компании при получении обращения субъектов ПДн, например, об отзыве согласия. 

  • «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» — указываются последствия нарушения законодательства в области ПДн.

Положение утверждается приказом руководителя организации, с ним нужно ознакомить всех работников под роспись в порядке, предусмотренном для утверждения локальных нормативных актов организации.

Другие документы

Итак, два самых базовых документа мы рассмотрели. Они есть у большинства компаний в том или ином виде. Чаще всего — в виде очень сырого документа, подписанного лет 10 назад. Хотя последние годы ввиду активности Роскомнадзора и роста сумм штрафов в несколько сотен раз, доля компаний с обновленными документами стабильно растет.

Какие еще базовые документы нужны всем работодателям? 

Обязательство о неразглашении

Согласно п. 7 ст. 86 ТК работодатель обязан обеспечить защиту ПДн работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к ПДн других работников, обязаны не разглашать эти данные. При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей, и они обязались не разглашать такие сведения (п. 43 постановления Пленума ВС от 17.03.2004 г. № 2).

Соответственно, для целей возможного привлечения работников к ответственности за разглашение вверенных им ПДн, рекомендуется оформить отдельное обязательство работника о неразглашении персональных данных, где указать:  

  • ФИО работника, его должность.

  • Наименование и реквизиты работодателя, трудового договора с работником.

  • Тезис о том, что работник понимает, что он имеет доступ к ПДн.

  • Обязанность работника не разглашать вверенные ему ПДн, а также перечень этих данных.

  • Положение о возможной ответственности за разглашение ПДн.

  • Дата, должность, ФИО и личную подпись работника. Рекомендуется чтобы всё это работник написал от руки.

Назначение ответственного лица

Также одной из обязанностей оператора является назначение ответственного за организацию обработки ПДн (ст. 22.1 закона о ПДн). Согласно закону, такое лицо подчиняется непосредственно директору (единоличному исполнительному органу) оператора, и в его обязанности входит (ч. 4 ст. 22.1 закона о ПДн):

  1. осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;

  2. доводить до сведения работников оператора положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;

  3. организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

В международной практике должность такого лица звучит как DPO (Data Protection Officer), и в его обязанности входит намного больше элементов, чем указано выше.

По сути это менеджер, который должен выстроить систему комплаенса по работе с персональными данными. В практике работы российских компаний только крупнейшие организации, работающие в сфере медиа, связи и телекоммуникации имеют такие должности в штате. Для соблюдения закона достаточно будет формализации и исполнения обязанностей, указанных в законе.

Ответственным может быть назначен как специально нанятый работник, так и работник выполняющий другие функции. Во втором случае необходимо дополнить его должностную инструкцию необходимыми обязанностями, а также рекомендуется компенсировать работнику в денежном выражении выполнение такой дополнительной работы, о чем заключить дополнительное соглашение к трудовому договору.

Назначение ответственного осуществляется приказом.

Политика в области обработки персональных данных

Ещё одним документом, необходимым для выполнения минимальных требований законодательства в области ПДн является политика в области обработки персональных данных. Оператор обязан опубликовать такую политику в Интернете (ч. 2 ст. 18.1 закона о ПДн). Обычно такая политика называется «Политика о конфиденциальности» или «Data protection policy» и размещена в самом конце различных сайтов или ссылка на неё «выскакивает» при входе на сайт. Не стоит путать данный документ с положением об обработке персональных данных, т.к. это два разных документа. 

Не смотря на то, что по мнению Роскомнадзора определение структурного и содержательного наполнения политики в отношении обработки персональных данных отнесено к компетенции оператора, мы рекомендуем обязательно включить в политику категории субъектов и перечень данных для каждой цели обработки персональных данных (как в положении) (письмо Роскомнадзора от 19.10.2021 № 08-71063 «О разъяснении законодательства»).

Также при составлении уведомления можно руководствоваться Рекомендациями Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Уведомление Роскомнадзора

Согласно ч. 1 ст. 22 закона о ПДн оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.

Подается это уведомлении в территориальный орган Роскомнадзора по месту регистрации, форму можно заполнить на сайте Роскомнадзора, там же её распечатать и направить в соответствующий орган по почте или нарочно. Также можно направить электронно при условии подписания электронной подписью или через «Госуслуги».

Обратите внимание, что в сентябре 2022 г. законодательство о ПДн поменялось, также была утверждена новая форма уведомления, в которой добавлены новые данные для заполнения (приказ Роскомнадзора от 28.10.2022  № 180 (зарегистрировано в Минюсте 15.12.2022  № 71532).

Поэтому даже если вы уже подавали вышеуказанное уведомление до 26.12.2022 г., необходимо подать уведомление об изменении сведений, форму также можно заполнить на сайте Роскомнадзора, способ подачи такой же как и с уведомление о начале обработки. 

Команда профессионалов СберРешений поможет по всем вопросам обновления документов по персональным данным. Также вы можете получить письменные консультации и рекомендации по сайту компании.

Обновление документов по персональным данным

Разработка, восстановление документов и диагностика бизнес-процессов по персональным данным

Реклама: АО «Интеркомп», ИНН: 7709688816, erid: LjN8KAgeh

Начать дискуссию