Как составить положение о защите персональных данных

Работа с персональными данными работников регулируется внутренним документом организации – соответствующим Положением. Обязательность его наличия обусловлено требованием ст. 87 ТК .

Все действия, связанные с получением, обработкой, изменением и т.д. данных индивидуального характера, подчиняются нормативам Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Закон).

Пункт 2 часть 1 статья 18.1 Закона дает понятие персональным данным (далее ПД), к которым относят любую информацию, касающуюся субъекта прямо или косвенно, позволяющего идентифицировать его. Если говорит о работнике, как субъекте ПД, то работодатель использует следующие параметры:

• фамилия, имя и отчество;
• информация о рождении: место и дата;
• данные паспорта;
• ИНН;
• СНИЛС;
• адрес по прописке и фактического проживания;
• сведения об образовании;
• информация о стаже работы.

Все данные заносятся в личное дело сотрудника и пополняются в течение трудовой деятельности иной информацией персонального характера. Для организации работы, работодатель должен разработать Положение, в котором закрепить порядок и правила получения, хранения, использования полученных ПД работников.

Содержание приказа

Приказ должен включать в себя следующие элементы:

1. Вводную часть, в которой будет указываться:
   • наименование работодателя;
   • номер, название и дата приказа;
   • город места составления;
   • основания вынесения.
2. Основную часть, в которой прописываются:
   • факт утверждения положения по личным данным работников;
   • срок, с которого положение вводится в действие;
   • должностное лицо, допущенное к работе с личной информацией;

Только после утверждения Положения об обращении с данными работников оно вступает в силу и должно быть доведено до всеобщего сведения под роспись. Для действующих сотрудников подпись проставляется в журнале (реестре) ознакомления. Соответствующий пункт об ознакомлении для новых сотрудников включается в трудовой договор. В качестве отдельного документа целесообразно составить согласие на обработку личных данных, которое должно быть подписано всеми работниками.

Безусловно, доступ к информации имеется у оператора (тот, кто осуществляет обработку). Сам субъект имеет право обратиться к оператору за информацией, в том числе с требованием уточнить, изменить или дополнить ее. Сведения предоставляются оператором в доступной форме, при этом в них не должно быть информации о других лицах.

Статья 14 ФЗ № 152 содержит исключение, когда доступ субъекта ПД к его данным может быть ограничен. Речь идет о случаях легализации преступно полученных денежных средств, когда данные были получены в ходе ОРМ, и другие случаи.

Для чего необходимо согласие на обработку данных

Законодательство требует от каждого работодателя, чтобы он разработал на своем предприятии локальный нормативный акт, в котором было бы предусмотрено, что относится к персональным данным, в каких случаях допускается их разглашение и какие меры он осуществляет для обеспечения конфиденциальности.

С этим документом должен быть ознакомлен каждый поступающий на работу человек.

Помимо этого, предприятие должно встать на учет в качестве оператора по обработке этих сведений в Роскомнадзоре. Защита персональных данных включает не только ограниченный доступ к личным делам сотрудников с фиксацией каждого запроса, но и разграничение прав пользование базами данных на компьютере. В компании обязательно должен быть ответственный за осуществление этих мероприятий.

Чаще всего разглашать сведения предприятию приходится при оформлении карт-счетов для работника, доверенностей на право получения ТМЦ и представления интересов, заключении договоров, выписке актов, счет-фактур, накладных, при издании приказов о назначении ответственных лиц и составлении исходящих писем т. д.

В соответствии с нормами закона этот бланк заполняется каждый раз, когда происходит сообщение сведений третьим лицам. Письменное разрешение работника действует ограниченный период, и даже в этом случае данный человек имеет право отозвать свое заявление.

Во избежания неприятностей рекомендуется брать это согласие даже у директора и учредителя. В последнее время данная практика стала широко использоваться при заключении договоров с крупными компаниями. В качестве приложения к ним очень часто стал встречаться этот документ.

За неправомерное разглашение информации, составляющей персональные данные работника, к фирме и ее ответственных лиц могут применяться меры наказания в виде лишения свободы, возмещение понесенного работником ущерба, в том числе морального, а также наложение штрафных сумм. Надзор за соблюдение законодательства в этой сфере осуществляет Роскомнадзор, который может проводить время от времени проверки.

Что должно содержать положение о защите персональных данных в 2018 году

Действующие нормативные акты не устанавливают, какие именно разделы или сведения должны быть отражены в таком Положении. Также нигде не указываются критерии, по которым необходимо производить его оформление.

Обычно при подготовке этого акта используются требования закона о персональных данных, а также общепринятые нормы оформления внутренних актов в компаниях.

Общие положения документа

В данном разделе указываются цели, которые преследуются при его составлении. Здесь же нужно сделать отсылки к законам и иным нормативным актам в области защиты персональных данных. Также здесь нужно писать каким образом положение должно быть введено в действие, и как в него будут вноситься изменения.

Список персональных данных работников

Этот раздел является одним из самых важным во всем положении. Именно здесь будет указано, какие конкретные персональные данные будут подпадать под защиту.

Производить составление данного раздела лучше всего после того, как от работников будут получены все необходимые документы, а также проведен анализ содержащейся там информации.

Работа с персональными данными

В этом разделе указываются структурные подразделения либо конкретные лица, которые получают право на доступ к персональным данным. Здесь де необходимо описать, на каких носителях и в каком случае могут храниться данные в субъекте бизнеса — к примеру, в виде бумажных распечаток, в виде электронной базы данных и т.д.

Доступ к персональным данным

В данном разделе описываются методы, при помощи которых персональные данные работников, имеющиеся в субъекте бизнеса, могут быть переданы другим работникам без соответствующих полномочий. Также в этом разделе необходимо описать, при следовании какого порядка происходит передача имеющихся данных в сторонние организации, госорганы, третьим лицам.

Обязанности сотрудников, кто имеет доступ к персональным данным

В данном разделе описываются действия, которые должны выполнять работники, имеющие доступ к персональным данным остальных сотрудников субъекта бизнеса.

Права работников по операциям с персональными данными

В данном разделе необходимо описать права сотрудников, которые передали организации свои персональные данные, а также права тех работников, какие имеют доступ к этим данным во время выполнения своих обязанностей.

Защита персональных данных

Здесь необходимо описать, как именно и в каком месте компании хранятся полученные персональные данные.

Также нужно подробно описать, какими именно способами происходит защита персональных данных на бумажных носителях — например, хранение в архивных шкафах с замками, установка кодового замка на двери архива и т. д.

Требования к содержанию внутренних документов сайта в области защиты ПД

Только после детального рассмотрения нормативных требований в сфере защиты персональных данных посетителей сайтов можно переходить непосредственно к описанию правил составления Соглашения о конфиденциальности или Положения об обработке персональных данных. Указанные названия являются вариантами наименования одного и того же документа, содержание которого определяется в строгом соответствии с Законом о персональных данных и принятыми в его исполнение подзаконными актами.

Основу осуществления обработки персональных данных посетителей сайтов составляет, во-первых, получение согласия на такую обработку и, во-вторых, обязательное принятие оператором персональных данных Соглашения о конфиденциальности или Положения об обработке персональных данных, а также опубликование указанного документа на сайте оператора в сети Интернет.

Согласие на обработку конфиденциальной информации

Как уже было отмечено выше, получение согласия выступает обязательным требованием для обработки персональных данных. Согласие на обработку персональных данных может быть получено в различных формах: например, путем проставления символа в виде галочки в соответствующем поле на сайте, заполнением формы с указанием персональных данных, продолжением пребывания на сайте и совершения на нем определенных действий (перехода на иные страницы сайта). В последнем случае, на сайте должно быть однозначно указано, что продолжение использования сайта означает выражение согласия на обработку персональных данных, для чего обычно используются отдельные всплывающие окна.

Статья 9 Закона о персональных данных допускает получение согласия на обработку персональных данных в любой форме, определяя при этом, что она позволяет подтвердить факт получения такого согласия. Содержание же согласия должно позволить установить субъекта персональных данных, для чего потребуется указать, по меньшей мере, фамилию, имя и отчество субъекта. Иные сведения, которые могут быть сообщены при получении согласия на обработку персональных данных, перечислены в пункте 5 статьи 9 Закона о защите персональных данных.

Также пользователь должен понимать, с кем он взаимодействует, кому и для чего передаёт данные о себе. Поэтому должен присутствовать соответствующий блок информации, определяющий оператора персональных данных и содержащий следующую обязательную информацию:

• название и другие реквизиты компании или индивидуального предпринимателя, а также документ, выступающий основанием для ведения деятельности;
• цели обработки персональных данных клиентов;
• перечень сведений, которые подлежат обработке;
• ФИО лица, назначенного ответственным за обработку персональных данных, а также его должность и ссылка на документ, подтверждающий полномочия;
• срок, в течение которого действует согласие пользователя.

Каких-либо дополнительных требований к форме документа в действующем законодательстве не содержится. Главное условие – наличие в содержательной части указанных реквизитов и данных.

Политика обработки персональных данных

Вопросы составления Положения об обработке персональных данных регулируются значительным числом правовых норм. Такой подход объясняется предельно просто – Положение является внутренним документом, который может быть проверен Роскомнадзором при осуществлении контрольных мероприятий в отношении участников рынка.

На сайте Роскомнадзора размещается примерная форма указанного документа. Она носит рекомендательный характер. В нем излагаются подробные рекомендации, помогающие составить политику обработки персональных данных оператором персональных данных вне зависимости от его правового статуса и организационно-правовой формы в точном соответствии с действующим законодательством.

Первый и очевидный вывод, который можно сделать по результатам изучения рекомендаций Роскомнадзора таков: не важно, как именно называется рассматриваемый документ – порядок, политика, положение. Он вообще может быть частью пользовательского соглашения, договора оферты или правил сайта. Главное, чтобы его содержание отвечало на несколько обязательных вопросов, в числе которых:

• какие данные планируется собирать;
• цели обработки;
• кто и к каким именно сведениям получает доступ из сотрудников сайта;
• принципы организации по защите конфиденциальных сведений о посетителях Интернет-ресурса, включая систему назначения и практического использования паролей, шифрования информации;
• правила ограничения и получения доступа к конфиденциальной информации о клиентах;
• меры по обеспечению безопасного хранения персональных данных;
• организация системы мониторинга попыток взлома или других способов получения несанкционированного доступа к сведениям о пользователях;
• ответственность оператора персональных данных а также должностных лиц за нарушение законодательства в сфере защиты персональных данных, а также Положения об обработке персональных данных.

Каких-либо строгих требований к формату документа в законодательстве не содержится, что существенно облегчает его составление и утверждение. Самый простой способ подготовить Политику об обработке персональных данных, устраивающую Роскомнадзор – в максимальной степени использовать разработанные федеральной службой рекомендации.

Такой подход позволит избежать вероятных проблем в случае осуществления Роскомнадзором проверок. В то же время необходимо помнить, что для исключения утечек персональных данных необходимо заниматься не только оформлением внутренней документации, но и грамотной организацией работы по защите персональных данных клиентов с технической точки зрения.