Защита персональных данных

Персональные данные в малой фирме: какой нужен пакет документов?

Одна из участников форума задала вопрос, какой пакет документов должен быть у малой фирмы, есть несколько сотрудников, по ТКС сдаются отчеты, планируется на сайте разместить фото сотрудников, что нужно иметь, чтобы пройти проверку Роскомнадзора, какая имеется ответственность? Разберемся в этих вопросах.
Персональные данные в малой фирме: какой нужен пакет документов?
Иллюстрация Сергея Мильнова / Клерк

Что такое персональные данные и откуда они появляются?

В каждой организации так или иначе происходит обработка персональных данных (ПД), это могут быть сведения о нанятых работниках, информация об их месте жительства, паспортные данные, ИНН, адреса электронной почты, документация о детях, ИНН, СНИЛС и этот список можно продолжать практически до бесконечности.

Другой источник ПД: сведения, посыпающие от клиентов и поставщиков, т.е. партнёрах бизнеса. Дело в том, что вашими партнёрами могут быть ИП и самозанятые, а для того, чтобы заключить с ними договор вам нужна ПД.

Многие думают, что если работать с юридическими лицами, то не возникнет ПД, однако, это не так.

Дело в том, что руководитель, действующий от имени юридического лица и подписывающий, например, договор, передает информацию о себе. И опять возникают обязательства по хранению ПД. Причем в некоторых договорах есть условия о конфиденциальности, на которые мало кто смотрит, но обычно там прописывается, что стороны обязуются хранить конфиденциальную информацию, часто этой информации присаливают статус «коммерческой тайны», но в составе коммерческой тайны также могут быть ПД.

Многие, кто автоматизировано обрабатывают документы, уже послали уведомление в Роскомнадзор в связи со вступлением в силу 01.09.2022 Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» подали в соответствии со ст. 22 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных» (далее — «Закон о персональных данных»), это уведомление о внесении в реестр операторов, обрабатывающих ПД.

Но возникает вопрос, что еще должно быть у организации из документации по защите ПД? В частности, у малого бизнеса, у которого не так много ресурсов.

Список документов в организации

Конкретного перечня документов, регламентирующих порядок обработки персональных данных (ПД) работников, клиентов и поставщиков, законом не установлен. Конечно, это не касается учреждений с государственным и муниципальным участием, кредитных, в том числе банковских учреждений. В этих сферах бизнеса действуют давно обязательные рекомендации, которые мы тут не будем рассматривать.

1) Как правило, организации издают положение о персональных данных (ПД) (или иной локальный нормативный акт: распоряжение, инструкция, положение и т.п.). В таком документе описывают все действия, связанные с обработкой ПД (их хранение, использование, изменения, хранения, удаления и так далее) (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Т.е. требования о создании документов в организации содержится в двух законах: Трудовой кодекс РФ и Закон о персональных данных.

Согласно Закону о персональных данных в организации нужно создать документ, определяющий политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Структура и содержание такого документа можно установить самостоятельно (см.письмо Роскомнадзора от 19.10.2021 № 08-71063). При этом целесообразно руководствоваться рекомендательным документом: «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», этот документ издан и опубликован Роскомнадзором в 2017 г.

Тут важно понимать, что ПД, собираемые в рамка трудовых отношений и от контрагентов — должны быть обособленны и не должно храниться вместе, поэтому во многих организациях два документа: локальный акт работодателя согласно  и политика оператора в отношении обработки персональных данных согласно п. 2 ч. 1 ст. 18.1 Закона о персональных данных.

Интересно то, что п. 2 ч. 1 ст. 18.1 Закона о персональных данных сформулирован так, что политику оператора в отношении обработки персональных данных разрабатывают лишь юридические лица, т.е. ИП этого могут не делать. Тем не менее,  касается и ИП и юридических лиц.

Политика в отношении обработки персональных данных должна включать в себя, в частности:

  • общие положения. В этом разделе следует включить ответ на вопрос о назначении политики, т.е. зачем она нужна организации, также ссылки на законодательство РФ, определение терминов и понятий;
  • сведения о цели сбора персональных данных. Целевой характер обработки ПД один из фундаментальных принципов работы с ПД, тут важно увязать цели работы организации с целями сбора и обработки ПД;
  • правовые основаниях обработки персональных данных. Здесь расширенно описываются правовые основания: это законы, инструкции, положения, договоры, лицензии и разрешения, также согласия субъектов, о которых собираются ПД;
  • объеме и категориях обрабатываемых данных. Этот раздел заполняться согласно логике ст. 6 Закона о персональных данных. Например, организация может обрабатывать не только ПД о сотрудниках и контрагентах, но и биометрические ПД (это фотографии, например, на пропусках), тогда у вас будет две категории ПД;
  • порядке и условиях обработки персональных данных. Здесь описываются конкретные процедуры, обязательства организации. Например, в каких случаях нужно актуализировать (обновить) хранимые ПД, когда их уничтожить и как это делается, кто это будет делать;
  • актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным. В этом разделе описываются все эти условия, причем очень важно обратить внимание на актуализацию ПД, а также на обязательства сообщать и уведомлять субъекта, о котором собраны ПД в установленных случаях.

Почему нужно обратить внимание на актуализацию (обновление)? Дело, в том, что много судебных разбирательств и наказаний буквально возникает в таких случаях. Например, когда предприятие взяло 5 лет назад ПД контрагента, потом ПД поменялись, например, имя, и адрес, а также электронный адрес, что в наше время часто происходит. Далее, организация высылает по этому электронному адресу, а это адрес, например, другого человека, так возникают нарушения, которые могут закончится штрафом.

Далее, нужно ознакомьте работников с документами, которые у вас в организации регламентируют порядок обработки персональных данных, под подпись (п. 8 ст. 86, ч. 2 ст. 22 ТК РФ).

Вы можете использовать такой же порядок ознакомления, что и при ознакомлении с Правилами внутреннего трудового распорядка (например, с помощью листа ознакомления, составленного в свободной форме).

А документ, определяющий политику в отношении обработки персональных данных, дополнительно опубликуйте (ч. 2 ст. 18.1 Закона о персональных данных). Например, разместите на сайте организации, тем более, если вы собираетесь через сайт собирать какую-то информацию о физических лицах, тогда размещение такого документа на сайте обязательно.

Если это сделать невозможно, нужно сделать политику доступной каким-то иным способом (ч. 2 ст. 18.1 Закона о персональных данных). Например, повесьте распечатанную на бумаге политику на стенде в офисе. Главное, обеспечьте неограниченный доступ к документу (см. письмо Роскомнадзора от 19.10.2021 № 08-71063).

2) Если у вас несколько десятков сотрудников, то целесообразна издать приказ и назначить ответственное лицо за обработку ПД, см. п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1. В малой фирме за это будет отвечать руководитель. Обычно ответственным назначают сотрудника, которые имеет высшее образование по профилю информационной безопасности, сейчас эта специальность есть бакалавриатах вузов, а также аналогичные специальности можно смотреть.

3) Дополнительно рекомендуется заранее создать бланки согласия на обработку ПД для разных ситуаций, формы согласия оформляется с учетом требований ч. 4 ст. 9 Закона о персональных данных. Они должны включать, в частности:

  • Ф.И.О., адрес работника, реквизиты паспорта или иного документа, удостоверяющего его личность, кем и когда выдан;
  • наименование и адрес вашей организации;
  • перечень персональных данных, на получение которых дает согласие работник;
  • цели использования ПД;
  • срок, в течение которого действует согласие;
  • порядок отзыва согласия и уничтожения ПД.

Нужно убеждаться, что работники или клиенты подписали согласия.

4) Относительно размещения фото на корпоративном сайте, читайте, пожалуйста, публикацию на нашем сайте: Фото сотрудника на сайте: биометрические персональные данные. Как с этим быть?

5) Если в вашем офисе или на рабочих местах установлено видеонаблюдение, имеются дополнительные требования. Об этом, если будут запросы, мы можем рассказать в будущих публикациях.

Риски и ответственность

В случае возможных нарушений следующие риски:

· гражданско-правовая ответственность:

— в соответствии со , если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в иных случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. Согласно  моральный вред, причиненный действиями (бездействием), нарушающими имущественные права гражданина, подлежит компенсации в случаях, предусмотренных законом. На основании  гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности. Следовательно, если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работника, допущенного лицом, ответственным за осуществление вышеперечисленных действий с персональными данными, работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии со статьями ГК РФ. Есть и иные нормы ГК РФ, когда может возникнуть гражданско-правовая ответственность.

· административная ответственность:

— по  — за несоблюдение требований к обработке персональных данных работников, которые установлены Трудовым кодексом РФ. Этой нормой отвественности предусмотрены штрафы для юридических лиц от 50 до 70 тыс. руб.

Например, вас могут привлечь к ответственности по этой статье, если вы не знакомите работников под подпись с локальными нормативными актами, которые устанавливают порядок обработки ПД работников (например, с положением о персональных данных);

— по  — за нарушение требований к обработке персональных данных, которые установлены Законом о персональных данных.

Например, если не опубликовали или другим способом не обеспечили свободный доступ к документу, который определяет в вашей организации политику в отношении обработки персональных данных, вас могут оштрафовать по . По этой номе закона штраф на юрлицо может составлять от 30 до 60 тыс. руб.

· уголовная ответственность по 

— если работник, ответственный за обработку ПД других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия. Санкция предусматривает ответственность до 4 лет лишения свободы  с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо - штраф в сумме от 100 тыс. до 300 тыс. руб. или в размере зарплаты либо иного дохода осужденного за период от 1 года до 2 лет.

Понятно, что в этом разделе у нас не было задачи дать всю информацию об отвественности, дело в том, что сейчас в законодательстве РФ имеется очень много видов отвественности за нарушения в этой сфере, т.к. законы часто обновляются, нет еще устоявшейся судебной практики. Мы постараемся следить за развитием ситуации.

Обращение к уважаемым читателям

Уважаемые читали нашего сайта, прошу дать обратную связь в комментариях, что бы хотели еще узнать из сферы управления частного бизнеса. Также мы будем рады любой конструктивной критике и предложениям. Все ли понятно в статье, какие вопросы?

Комментарии

7