Какие обязательные документы по работе с персональными данными должны быть в кооперативе?

• Опубликовано 20.03.2023

Вопрос: Какие обязательные документы по работе с персональными данными должны быть в кооперативе?

Ответ: Конкретный перечень документов, которые устанавливают порядок обработки персональных данных сотрудников, закон не устанавливает. При этом есть обязательный минимум документов, которые должны быть у всех работодателей (ст. ст. 86 ТК, п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Полный перечень документов, которые должны быть в каждой компании

Это:

1. Положение о работе с персональными данными работников;
2. Политика обработки персональных данных;
3. Положение о защите персональных данных;
4. Обязательства о неразглашении персональных данных;
5. Приказ о назначении ответственного;
6. Регламент допуска работников к обработке персональных данных;
7. Документы внутреннего контроля – протоколы, планы аудита, правила контроля.

Самые популярные вопросы про «обработку персональных данных»

1. Кто считается оператором обработки персональных данных

Оператором обработки персональных данных может быть государственный или муниципальный орган, юридическое (кооператив) или физическое лицо. Такое определение закрепили в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ.

2. Чем отличается положение о работе с персональными данными от политики

Положение о работе с персональными данными должны утвердить все работодатели. Политика нужна только тем, кто обрабатывает персональные данные на сайте организации.

Положение. Любая информация, которая прямо или косвенно относится к физическому лицу – субъекту персональных данных, относится к его персональным данным (ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом работодатели и сотрудники, которые получили доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия сотрудника, если иное не предусмотрено федеральным законом (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ).

Таким образом, принцип конфиденциальности распространяется на любые персональные данные работников, за исключением общедоступных (п. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). То есть тех, которые сотрудник сделал общедоступными. Это, например, данные из открытых справочников, адресных книг и т. д.

Для этих целей работодатель утверждает локальный акт, которым регламентирует порядок хранения и использования персональных данных работников. Конкретное наименование такого документа закон не определил, поэтому можно использовать любое. Например, положение о работе с персональными данными работников.

При этом работников и их представителей нужно ознакомить под подпись с документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.

Такие требования установили в статье 87 и пункте 8 статьи 86 ТК.

Из чего можно сделать вывод, что такой локальный акт нужно утвердить каждому работодателю и с ним нужно ознакомить всех работников при приеме на работу (ч. 3 ст. 68 ТК).

Политика. Из частных разъяснений Роскомнадзора следует, что политика обработки персональных данных – необязательный документ каждого работодателя. Поскольку оператор самостоятельно определяет состав и перечень мер, которые необходимы и достаточны для обеспечения выполнения обязанностей, которые предусмотрены законодательством о персональных данных. К таким мерам, в частности, может относиться издание оператором документов, которые определяют политику в отношении обработки персональных данных.

Больше всего рискуют организации и предприниматели, которые через свой сайт собирают контакты физических лиц. Например, предлагают посетителям сайта оставить свои данные, чтобы сотрудник организации перезвонил и подробнее рассказал о ее услугах или товарах. Если сбор данных на сайте организовали неправильно, сотрудники Роскомнадзора это обнаружат.

Так, работодателя оштрафуют, если он не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:

• к документу, который определяет политику оператора в отношении обработки персональных данных;
• к сведениям о требованиях к защите персональных данных, которые он реализует.

Чтобы избежать штрафа, необходимо опубликовать на сайте общедоступные ссылки:

• на политику организации в отношении обработки персональных данных;
• иные сведения о требованиях к защите персональных данных.

Таким образом, политику организации в отношении обработки персональных данных нужно публиковать на сайте, если организации и предприниматели через свой сайт собирают контакты физических лиц.

3. Как ввести в действие политику защиты персональных данных

Утвердите политику распорядительным документом или предусмотрите гриф утверждения в самом документе.

Разработайте документ, который определяет политику в отношении защиты и обработки персональных данных, если обрабатываете персональные данные на официальном сайте организации (подп. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Как правило, документ вступает в силу со дня, когда его подпишут или утвердят. Также в самом документе можно указать, с какого дня он вступает в силу. Чтобы ввести политику защиты и обработки персональных данных в действие, утвердите документ.

Есть два способа утвердить документ. Первый способ – поставьте на документе гриф утверждения из слова «УТВЕРЖДАЮ», наименования должности лица, который утвердил документ, его подписи, инициалов, фамилии и даты утверждения (п. 5.16 ГОСТ Р 7.0.97-2016). Гриф утверждения документа расположите в правом верхнем углу первого листа документа.

Второй способ – издайте приказ об утверждении политики. В этом случае гриф утверждения будет состоять из слова «УТВЕРЖДЕН», наименования приказа в творительном падеже, его даты и номера. Например: «УТВЕРЖДЕН приказом от 22.07.2020 № 5-п».

4. Является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований ТК и иных федеральных законов (ст. 87 ТК). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном акте, например, в Положении о работе с персональными данными работников (подп. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Всех сотрудников организации при приеме на работу ознакомьте с этим положением под подпись (ч. 3 ст. 68 ТК).

Положение о работе с персональными данными – обязательный документ организации (кооператива), а его отсутствие влечет административную ответственность (ст. 5.27 КоАП). На это указывают и суды. Смотрите, например, постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06.

5. Как часто нужно переутверждать положение о персональных данных

Закон не устанавливает такой обязанности.

Порядок, по которому нужно хранить и использовать персональные данные сотрудников, работодатель устанавливает сам в локальном акте организации. Таким актом является Положение о работе с персональными данными работников (ст. 86 ТК). С положением работодатель обязан ознакомить сотрудников при приеме на работу под подпись (ч. 3 ст. 68 ТК).

Создать положение о персональных данных необходимо до того, как начнете обрабатывать персональные данные сотрудников. Поскольку именно этот документ устанавливает порядок, по которому будете обрабатывать данные.

При этом переиздавать положение ежегодно или с другой периодичностью закон не обязывает. Вносите в него изменения по мере изменений законодательства или условий, которые закрепили в документе.

6. Обязательно ли положение о персональных данных на микропредприятии

Да, обязательно.

Отдельные локальные акты микропредприятия вправе не разрабатывать, если заключают с сотрудниками трудовые договоры по типовой форме и все условия и гарантии включают в такой договор (ст. 309.2 ТК).

Однако в типовом трудовом договоре нет раздела про персональные данные. Поэтому на микропредприятия также распространяют общие требования по обработке персональных данных сотрудников (ст. 86 ТК). Порядок, по которому хранят, обрабатывают и используют персональные данные сотрудников, микропредприятие определяет само с учетом требований закона (ст. 87 ТК). Для этого разработайте локальный акт, например, положение о работе с персональными данными сотрудников (подп. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). При этом всех сотрудников при приеме на работу нужно ознакомить с таким положением под подпись (ч. 3 ст. 68 ТК).

7. Обязательно ли индивидуальному предпринимателю разрабатывать Положение о работе с персональными данными

Да, обязательно.

Индивидуальный предприниматель, как и организация, является работодателем. На него также распространяются общие требования закона по обработке персональных данных сотрудников (ст. 86 ТК).

Порядок, по которому хранят, обрабатывают и используют персональные данные сотрудников, индивидуальный предприниматель определяет сам с учетом требований закона (ст. 87 ТК). Для этого он разрабатывает локальный акт, например, Положение о работе с персональными данными сотрудников (подп. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). При этом все сотрудники при приеме на работу должны быть ознакомлены с таким Положением под подпись (ч. 3 ст. 68 ТК).

8. Как внести изменения в приложение к положению о персональных данных

Изменения в приложение к положению о персональных данных вносят приказом.

Изменения в приложение к положению о персональных данных вносите в том же порядке, что и в само положение. Утвердите изменения приказом работодателя. Приказ составьте в произвольной форме. Подписывает его руководитель организации или иное уполномоченное на это лицо. Если в организации есть профсоюз, положение о персональных данных изменяют с учетом его мнения (ст. 372 ТК).

9. Как внести изменения в Положение о персональных данных

Изменения в Положение о персональных данных вносите в том же порядке, в каком принимали само положение. Утвердите изменения приказом работодателя. Приказ составьте в произвольной форме. Подписывает его руководитель организации или иное уполномоченное на это лицо. Если в организации есть профсоюз, положение о персональных данных изменяют с учетом его мнения (ст. 372 ТК).

10. Какие организации обязаны регистрироваться в реестре операторов персональных данных Роскомнадзора

Все организации, которые обрабатывают персональные данные, за исключением случаев, когда:

• персданные сотрудника есть в государственных информационных системах персональных данных;
• работодатель обрабатывает персданные исключительно без средств автоматизации;
• работодатель обрабатывает персданные в случаях, которые предусмотрены законами о транспортной безопасности.

Такие правила установили в части 2 ст. 22.2 Федерального закона от 27.07.2006 № 152-ФЗ.

11. Нужно ли заключать дополнительное соглашение к трудовому договору с сотрудником, который ответственен за обработку персональных данных в организации

Да, нужно, если при приеме сотрудника на работу не указали обязанность выполнять требования по обработке персональных данных.

Работодатель обязан назначить сотрудника, который будет отвечать за организацию обработки персональных данных (п. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). Как правило, назначают его из числа сотрудников кадровой службы организации. Для этого издают приказ.

При приеме на работу в трудовом договоре с сотрудником, который будет работать с персональными данными, сразу пропишите его обязанность выполнять требования по обработке персональных данных и обеспечивать конфиденциальность персональных данных. Если такому сотруднику предоставляют доступ к данным уже в ходе работы, то заключите с ним дополнительное соглашение к трудовому договору (ст. 72 ТК).

12. Нужно ли доплачивать сотруднику, ответственному за обработку персональных данных

Нет, не нужно.

Работодатель обязан назначить сотрудника, который будет отвечать за организацию обработки персональных данных (п. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). Как правило, назначают его из числа сотрудников кадровой службы организации. Для этого издают приказ.

При приеме на работу в трудовом договоре с сотрудником, который будет работать с персональными данными, сразу пропишите его обязанность выполнять требования по обработке персональных данных и обеспечивать конфиденциальность персональных данных. Если же такому сотруднику предоставляют доступ к данным уже в ходе работы, то заключите с ним дополнительное соглашение к трудовому договору (ст. 72 ТК).

Однако никакую дополнительную работу сотруднику, ответственному за обработку персональных данных в организации, не поручают. Поэтому доплачивать ему не нужно.

13. Как поступить, если уволился сотрудник, ответственный за обработку персональных данных

Нужно назначить другого сотрудника ответственным.

Работодатель обязан назначить сотрудника, который будет отвечать за организацию обработки персональных данных (п. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). Как правило, назначают его из числа сотрудников кадровой службы организации. Для этого издают приказ.

Также работодатель вправе поручить обработку персональных данных другому лицу, которое не является сотрудником организации. В этом случае ответственность перед сотрудником за действия такого лица будет нести работодатель. А лицо, которое осуществляет обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед ним (ч. 3, 5 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ). В договоре между работодателем и ответственным лицом нужно установить его обязанность обеспечить безопасность персональных данных при их обработке (п. 3 Требований, утв. постановлением Правительства от 01.11.2012 № 1119).

14 Нужно ли создавать комиссию по защите персональных данных

Нет, не нужно.

Конкретный перечень документов, которые устанавливают порядок обработки персональных данных сотрудников, закон не устанавливает.

Обычно работодатель готовит отдельный локальный акт, в котором прописывает такой порядок. Например, положение о работе с персональными данными (ст. 86 ТК). Также разработайте документ, который определяет политику в отношении защиты и обработки персональных данных, если обрабатываете персональные данные на официальном сайте организации (подп. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Готовый образец Политики защиты и обработки персональных данных скачайте здесь.

Кроме того, работодатель обязан назначить сотрудника, который будет отвечать за организацию обработки персональных данных (п. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Чтобы обрабатывать персональные данные сотрудника, работодатель должен получить от него письменное согласие. Исключением будут отдельные случаи, когда такое согласие не требуется (ч. 6 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).

Кроме того, с сотрудниками, которые имеют доступ к персональным данным, оформите обязательство об их неразглашении (п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2). Образец обязательства о неразглашении персональных данных скачайте здесь.

Создавать комиссию по защите персональных данных закон не обязывает. Такое решение работодатель вправе принять по своему усмотрению. Например, закрепить обязанность создавать такую комиссию в положении.

15. Нужно ли вести журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных

Нет, не нужно.

Ряд журналов ведется в кадровой службе в обязательном порядке, среди них, прежде всего:

• книга учета движения трудовых книжек и вкладышей в них;
• приходно-расходная книга по учету бланков трудовой книжки и вкладыша в нее;
• журнал учета проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля.

Полный перечень обязательных журналов смотрите в справочнике Журналы учета и регистрации.

Ведение других журналов может быть предусмотрено локальными актами организации, номенклатурой дел, Инструкцией по делопроизводству (ст. 8, 22 ТК). Следовательно, работодатель самостоятельно решает, вести ли журнал ознакомления с положениями законодательства о персональных данных.

Здесь же закрепите правила ведения необязательных журналов: решите, следует ли их прошивать, нумеровать, заверять печатью, какую именно информацию отражать.

16. Как часто нужно обновлять приказ об ответственных за персональные данные

Издавайте новый приказ, когда меняется ответственный за организацию обработки персональных данных.

Работодатель обязан назначить сотрудника, который будет отвечать за организацию обработки персональных данных. Как правило, назначают его из числа сотрудников кадровой службы организации. Для этого издают приказ о назначении ответственного. Унифицированной формы такого приказа нет, поэтому составьте его в произвольной форме (п. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом обновлять приказ с какой-либо периодичностью закон не обязывает. Отмените действующий приказ и издайте новый в том случае, если изменились условия приказа. Например, сотрудник, ответственный за обработку персональных данных, увольняется и нужно назначить другого (п. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ).

17. Нужно ли обезличивать персональные данные сотрудников

Нет, не нужно.

Закон обязывает работодателей хранить документы, которые содержат персональные данные сотрудников. Сроки, в течение которых нужно хранить документы по личному составу, указаны в статье 22.1 Федерального закона от 22.10.2004 № 125-ФЗ и перечне, утвержденном приказом Росархива от 20.12.2019 № 236.

Весь срок нормативного хранения документы хранят в том виде, в котором их создали. Обезличивать персональные данные сотрудников в них закон не позволяет. Это касается как документов на бумажных носителях, так и документов в электронном виде. Поэтому в рамках трудовых отношений обезличивать персональные данные сотрудников недопустимо.