10 шагов по организации работы с персональными данными после 1 сентября 2022 года

С 1 сентября 2022 года в Федеральный закон от 27.07.2006 № 152-ФЗ № «О персональных данных» (далее – Закон № 152-ФЗ) внесены изменения. Теперь все организации обязаны подать соответствующее уведомление в Роскомнадзор. Еще некоторое время назад организации, обрабатывающие персональные данные только работников, вправе были это уведомление не подавать.

При обработке персональных данных сторонами взаимоотношений являются Оператор персональных данных (далее – Оператор) и Субъект персональных данных (далее – Субъект ПДн).

Оператором может быть юридическое или физическое лицо, осуществляющее единолично или совместно с другими лицами сбор и обработку персональных данных.

Субъектом ПДн являются физические лица, которые могут быть определены или определяются с помощью персональных данных. Каждому Оператору дано право установить цели обработки персональных данных, категории Субъектов ПДн (работники, клиенты, контрагенты и т. д.), состав персональных данных и действия, совершаемые с персональными данными.

Чтобы над Оператором не нависла угроза штрафных санкций (а они в настоящее время весомые), ему необходимо соблюсти требования, установленные законодательством в рассматриваемой сфере, а именно:

1. Утвердить политику обработки персональных данных – далее «Политика».

Обязанность иметь этот документ установлена для юридических лиц п. 2 ч. 1 ст.18.1. Закона № 152-ФЗ. Для удобства Операторов Роскомнадзор подготовил рекомендации по разработке Политики. Как правило, она включает в себя следующие разделы: общие положения, цели сбора персональных данных, правовые основания обработки персональных данных, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, порядок и условия обработки персональных данных, актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

Далее необходимо разместить Политику на сайте в Интернете. Если Политика в отношении обработки персональных данных не опубликована или иным образом не обеспечен неограниченный доступ к этому документу, то организация и (или) ее должностные лица могут быть привлечены к административной ответственности по ч. 3 ст. 13.11 КоАП РФ (предупреждение или административный штраф для должностных лиц от 3000 до 6000 руб., для юридических лиц - от 15000 до 30000 руб.).

2. Уведомить Роскомнадзор об обработке персональных данных.

Оператор до начала обработки личной информации обязан уведомить уполномоченный орган о своем намерении обрабатывать персональные данные согласно ч.1 ст. 22 Закона № 152-ФЗ. Уведомление можно подать в бумажном или электронном виде. Заполнить уведомление необходимо только на «Портале персональных данных», находящемся на официальном сайте Роскомнадзора (в этом случае уведомлению присваивается индивидуальный номер). При заполнении уведомления необходимо руководствоваться методическими рекомендациями (утверждены приказом Роскомнадзора от 30.05.2017 № 94).

3. Определить, какие документы организации содержат персональные данные.

Поскольку к персональным данным относится информация, способная каким-либо образом идентифицировать человека, то необходимо зафиксировать все документы, их содержащие.

4. Утвердить в организации положение об обработке и защите персональных данных.

Статья 86 ТК РФ обязывает работодателя принять локальный нормативный акт, который будет регулировать порядок хранения и использования персональных данных. Согласно п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с таким положением. Если работник принимается на работу и в организации уже есть такое положение, то он знакомится с ним до подписания трудового договора в силу ч. 3 ст. 68 ТК РФ.

5. Назначить лицо, ответственное за обработку персональных данных.

Необходимо назначить лицо, ответственное за обработку персональных данных. Оно будет следить за сохранностью персональных данных как на бумажных носителях, так и в электронном виде (пп. 1 п. 1ст. 18.1 Закона № 152-ФЗ). Назначение ответственного лица оформляется приказом. Данная обязанность отражается в должностной инструкции работника. Ответственным лицом может быть руководитель организации (в том числе индивидуальный предприниматель) или иное должностное лицо.

6. Закрепить права доступа к персональным данным в приказе.

Издать приказ, в котором отразить, кто (должности, Ф.И.О.) к каким персональным данным и с какой целью (какие функции выполняет с использованием персональных данных работников) имеет доступ, отразить данные о сотрудниках, имеющих доступ к персональным данным как на бумажных носителях, так и в электронном виде.

7. Получить обязательство о неразглашении персональных данных (п. 7 ст. 86 ТК РФ).

Работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении. Необходимо предупредить лиц, получающих персональные данные работника, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено (ст. 88 ТК РФ).

8. Выбрать способ хранения персональных данных.

Для хранения используются: сейфы, металлические запираемые шкафы, деревянные запираемые шкафы, специально оборудованные помещения. Необходимо обеспечить, чтобы к документам не было свободного доступа. Порядок хранения документов закрепляется в положении о защите персональных данных. Важно, чтобы персональные данные в электронном виде не мог увидеть и тем более скопировать кто-то, кроме ответственных лиц. Компьютеры на рабочих местах надо разместить так, чтобы посторонние лица, вошедшие в помещение, не смогли увидеть информацию на мониторах.

9. Выбрать способ защиты персональных данных в информационных базах данных.

Исходя из типа угрозы, применяется один из четырех уровней защиты персональных данных (пп. 8–16 Требований к защите персональных данных, утверждены Постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Состав и содержание мер по обеспечению безопасности персональных данных для каждого уровня защиты определены Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21.

10. Получить согласие работника на обработку, передачу его персональных данных (ст. 9 Закона № 152-ФЗ).

Согласие на обработку персональных данных (далее – Согласие) должно быть конкретным, предметным, информированным, сознательным и однозначным при подборе персонала. Согласие можно получить в любой форме, чтобы в дальнейшем Оператор мог подтвердить его получение (обязанность такого подтверждения возлагается п. 3 ст. 9 Закона № 152-ФЗ на Оператора). Если персональные данные Субъекта ПДн подлежат распространению, то Оператор обязан получить от Субъекта ПДн второе согласие на обработку персональных данных, разрешенных для распространения. Требования к содержанию такого согласия определены Приказом Роскомнадзора от 24.02.2021 № 18.