Разрабатываем локальный нормативный акт по персональным данным: советы и практические рекомендации с учетом мнения Роскомнадзора

11 августа 2017

Изменения административной ответственности по персональным данным в статью 13.11 Кодекса РФ об административных правонарушениях с 1 июля 2017 года не заставило себя ждать –   органы Роскомнадзора активно ведут проверки работодателей,  применяя новые штрафы. Законодательных требований установлено достаточно много. Чтобы все соответствовало букве закона, Роскомнадзор начинает давать разъяснения в отношении проверяемых ими документов. 27 июля вышли очередные разъяснения в отношении того, какая должна быть структура и форма локального нормативного акта в области персональных данных. Несмотря на то, что разъяснения не являются нормативным правовым актом, их рекомендуется учитывать, так как при проведении проверок на это будут обращать внимание инспекторы.  Разберем обязательные условия, которые должны быть указаны в локальном нормативном акте с учетом вышедших рекомендаций.

Во-первых, локальный нормативный акт (далее – «ЛНА») утверждается уполномоченным лицом в организации, которое определяется уставом организации.

Во-вторых, такой ЛНА не требует учета мнения представительного органа работников при утверждении.

В – третьих, ЛНА может быть один, а также их может быть несколько, в зависимости от обрабатываемых работодателем  персональных данных. Законом не установлено требований к наличию нескольких ЛНА –  тем не менее,  на практике работодатели часто имеют целый свод положений по работе с персональными данными.  Например, ЛНА могут быть определяющими:

  • общие принципы обработки персональных данных;
  • порядок обработки персональных данных на бумажных носителях;
  • порядок обработки персональных данных в информационных системах;
  • порядок хранения персональных данных;
  • порядок передачи персональных данных;
  • порядок обработки персональных данных должностными лицами, непосредственно осуществляющими обработку;
  • порядок обработки персональных данных при нахождении на территории работодателя третьих лиц;
  • и др.

В – четвертых, со всеми локальными нормативными актами  по персональным данным «под роспись» должны быть ознакомлены все работники организации – об этом напрямую указано в статье 86 Трудового кодекса РФ.

В-пятых, в качестве структурных элементов рекомендуется включить раздел «Общие положения», в котором будет описываться значение ЛНА, будут указаны основные термины и понятия, используемые в ЛНА. Например, «персональные данные», «оператор», «обработка персональных данных», «трансграничная передача персональных данных». В разделе допустимо указание основных прав и обязанностей работодателя как оператора персональных данных, а также прав и обязанностей субъекта.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей. Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности. А также деятельности, которая предусмотрена учредительными документами оператора и бизнес-процессами оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

В соответствии с требованиями статьи 86 Трудового кодекса РФ и 152-ФЗ «О персональных данных» от 27 июля 2006 года необходимо определить перечень должностных лиц, имеющих доступ к персональным данным. Внутренний доступ к персональным данным бывает полный и ограниченный. При работе с полным доступом необходимо указать перечень должностей, кому он установлен, а при ограниченном доступе помимо должностей указать перечень персональных данных, к которым допущены работники, и перечень действий с ними с указанием целей обработки.

Не стоит забывать про уполномоченного за организацию обработки персональных данных, который также должен быть назначен в соответствии с требованиями части 2 статьи 18.1 152-ФЗ «О персональных данных» от 27 июля 2006 года. Должность данного лица может определяться как ЛНА, так и через приказ работодателя.

Содержание и объем обрабатываемых и указываемых в ЛНА персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. При указании субъектов, чьи персональные данные обрабатываются  – работники, бывшие работники, соискатели, родственники работников, клиенты, контрагенты оператора (физические лица), представители/работники клиентов и контрагентов оператора (юридических лиц) –  рекомендуется применительно к конкретным целям, с которыми осуществляется обработка указанных категорий персональных данных,  перечислить все обрабатываемые оператором персональные данные.  А также отдельно описать все случаи обработки специальных категорий персональных данных (расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) и биометрических персональных данных, если такая обработка осуществляется.

Помимо описания внутреннего доступа необходимо прописать и внешний доступ к персональным данным. При взаимодействии с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом указывать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Также должны быть описаны меры, необходимые и достаточные для обеспечения выполнения обязанностей по соблюдению требований к конфиденциальности персональных данных – в соответствии с требованиями, определенными статьями 18.1 и 19  ФЗ «О персональных данных» от 27 июля 2006 года, к которым относится определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных – их  исполнение обеспечивает установленные уровни защищенности персональных данных и др.

Особое внимание следует уделить закреплению порядка хранения персональных данных и документов, их содержащих. Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных. Кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных. Рекомендуется указывать сроки хранения и порядок хранения персональных данных в информационных системах и на бумажных носителях с учетом установленного доступа должностных лиц, к персональным данным.

Базы данных, содержащих персональные данные работников, должны в обязательном порядке находиться на территории Российской Федерации. В связи с чем указание места нахождения используемых баз персональных данных рекомендуется указывать в ЛНА.

Порядок исправления, удаления, уничтожения обрабатываемых персональных данных должен быть предусмотрен в ЛНА с указанием порядка действий оператора при поступлении запроса, требования или отзыва согласия на обработку персональных данных от работников и иных субъектов персональных данных – в каждом случае.

Рекомендуется включить в ЛНА способы реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

При ведении в бумажном виде журнала или журналов однократного пропуска на территорию, где находится оператор, содержащий персональные данные, необходимо в ЛНА закрепить цели обработки персональных данных, фиксацию и состав информации, запрашиваемой у субъектов персональных данных. Перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала, сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор. Данное требование установлено в Постановлении Правительства РФ от 15.09.2008 N 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”.

Наконец, ЛНА по работе с персональными данными должен быть опубликован или к нему иным образом должен быть обеспечен неограниченный доступ. Выполнение данного требования обеспечивается через публикацию ЛНА на сайте компании (при наличии сайта) либо его размещение на внутреннем портале оператора, стенде в организации или иным способом, позволяющим обеспечить неограниченный доступ к документу.

Источник: irbis-group.ru

Автор: Мария Финатова

Партнер Группы компаний Валентины Мирофановой