ЭЛКОД: Необходимый перечень документов по обработке персональных данных в организациях (ООО, ИП, АО) с сотрудниками.

Необходимый перечень документов по обработке персональных данных в организациях (ООО, ИП, АО) с сотрудниками.

  •  19 сентября 2023 г.

Главное

По данному вопросу нами были проанализированы материалы СПС КонсультантПлюс, выявлено следующее:

Для защиты персональных данных работников создайте комплект следующих основных документов:

1. приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных).

Ответственного за обработку персональных данных назначьте приказом. Им может быть любой работник вашей организации, например специалист отдела по управлению персоналом. Главное, чтобы он смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.

Например, он должен доводить до сведения работников положения законодательства о персональных данных, а также ваших локальных актов об обработке персональных данных (п. 2 ч. 4 ст. 22.1 Закона о персональных данных).

Если вы поручили обработку персональных данных другому лицу по договору с ним, учтите требования, перечисленные в ч. 3 ст. 6 Закона о персональных данных;

2. положение о защите персональных данных работников или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных. Учтите требования и ограничения к содержанию такого документа. В нем не должно быть положений, ограничивающих права работников, а также возлагающих на вас полномочия и обязанности, не предусмотренные законом (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных);

3. политика в отношении обработки персональных данных. Этот документ также не должен содержать указанных ограничений и возлагать не предусмотренные законом полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона о персональных данных);

4. приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.

Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных, учитывая абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных.

Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета персональных данных, их выдачи и передачи другим лицам, представителям сторонних организаций и государственным органам. Кроме того, вы можете разработать форму согласия на обработку персональных данных. Такое письменное согласие требуется получать от работников (за исключением некоторых случаев) для обработки их персональных данных, включая передачу третьим лицам (п. 1 ч. 1 ст. 6, абз. 1 ч. 4 ст. 9 Закона о персональных данных, Разъяснения Роскомнадзора).

Если речь идет о защите информации ограниченного доступа, не составляющей гостайну, объекты информатизации (например, государственные информационные системы персональных данных) подлежат аттестации на соответствие требованиям по защите такой информации. Состав и содержание работ по аттестации, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов определены Порядком, утвержденным Приказом ФСТЭК России от 29.04.2021 N 77.

Обоснование

Перечень мер по защите персональных данных, которые должны приниматься вами при обработке этих данных, законом не ограничен.

Как правило, к таким мерам относятся: создание специального комплекта документов (в частности, приказа о назначении ответственного за организацию обработки персональных данных, локального нормативного акта о защите персональных данных), особый режим использования и хранения персональных данных на бумажных носителях.

Также, если вы обрабатываете и храните персональные данные в электронном виде, вам нужно принять особенные организационные и технические меры, в частности определить тип угроз безопасности и подобрать соответствующий этому типу уровень защищенности. От этого уровня защищенности зависит, какие меры защиты персональных данных вам нужно принять. Для этого желательно привлечь специалиста в этой области, чтобы избежать ошибок при организации таких специальных мер.

Меры по защите персональных данных вы разрабатываете сами совместно с работниками и их представителями

В Приложении к ответу Вы найдете:

 

Еще по этой теме

17 июня 2025 г.

Готовимся к проверкам Роскомнадзора: возможные риски ответственности

21 мая 2025 г.

Готовимся к проверкам Роскомнадзора. Базовые понятия закона «О персональных данных» и основные обязанности оператора

КонсультантПлюс

СБИС

Образование

Новости

Мероприятия

Записи мероприятий

Подборки

Справочная информация

Библиотека

Гид по разделу «Образование»