Какие документы по персональным данным должны быть в организации в 2023 году

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Какие документы по персональным данным должны быть в организации в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

• персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
• персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

• перечень обрабатываемых персональных данных;
• обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
• обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
• обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Рекомендации по составлению Политики

Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.

Обратите внимание: рекомендации изданы в целях выработки унифицированного подхода к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.

Итак, исходя из Рекомендаций, в Политику надо включить такие разделы:

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• наименование компании (ФИО ИП) и ее адрес;
• цель обработки персональных данных (например, заключение трудовых договоров);
• категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
• категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
• сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
• ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
• предполагаемая дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
• сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

• в бумажном виде,
• в электронном виде с использованием усиленной квалифицированной электронной подписи,
• в электронном виде с использованием средств аутентификации ЕСИА.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

1. обследование;

2. моделирование угроз;

3. разработка технического задания;

4. проектирование системы защиты;

5. реализация технической части системы защиты;

6. реализация организационных мер;

7. оценка эффективности принятых мер;

8. аттестация;

9. поддержание необходимого уровня защиты в процессе эксплуатации.

Приказ о назначении ответственного за работу с ПДн сотрудника и инструкция для него

Как отметил Алик Зеленков, в УО должен быть ответственный за обработку ПДн. Это сотрудник, который проводит внутренний контроль за соблюдением оператором и его работниками законодательства о персональных данных. В его обязанности входит информирование других работников о нормах НПА в этой сфере и организация работы с обращениями и запросами субъектов ПДн.

Для такого ответственного сотрудника нужно разработать инструкцию: закрепите в ней его обязанности, права и ответственность. Также УО следует создать и утвердить такие документы, как:

• порядок контроля выполнения требований законодательства;
• акт контроля соответствия нормам НПА;
• план проведения периодического внутреннего контроля;
• инструкцию и журнал учёта прохождения первичного инструктажа лицами, допущенными к обработке ПДн.

Зачем формировать пакет документов?

Разработка документации входит в число обязательных действий в рамках приведения компании в соответствие с ФЗ-152 и другими актуальными нормативно-правовыми актами в сфере ПДн. По ним контролирующие органы могут судить, насколько ответственно фирма подходит к защите сведений граждан, используемых в своей деятельности, и, соответственно, назначать наказание в случае выявления нарушений. В свою очередь оператору документы по обработке персональных данных нужны для:

• упорядочивания текущих операций;
• назначения ответственных лиц;
• внутреннего отслеживания процессов;
• предупреждения штрафных санкций, размер которых может достигать нескольких сотен тысяч рублей;
• поддерживать имидж надежной организации в глазах клиентов и партнеров;
• избежать наказания в виде лишения свободы, которое полагается за отсутствие определенных бумаг, связанных с обработкой и защитой ПДн.

Необходимые документы по персональным данным

Список деловых бумаг, которые потребуются оператору, обширный, при этом отсутствие даже одной может стать причиной серьезных проблем в будущем. В зависимости от решаемых задач документация может быть:

• организационной — позволяет определить, какие департаменты и конкретные лица несут ответственность за обеспечение защиты ПДн, а также какие точно задачи в рамках данной деятельности на них возлагаются;
• методической — позволяют более детально определить ключевые моменты работы с бумагами, в которых содержатся личные данные граждан (в том числе сотрудников);
• технологической — является отображением СЗПДн.

Все без исключения документы по защите персональных данных должны быть утверждены директором предприятия, причем везде нужна пометка о согласии на обработку ПДн заинтересованных лиц. В отдельных случаях часть файлов из пакета может передаваться владельцам обрабатываемых сведений для изучения, при этом они расписываются, что с ними ознакомились.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае если персональные данные указаны не точно или обнаружена их несанкционированная обработка, оператор должен актуализировать информацию или прекратить обработку персональных данных. В этой связи пропишите в политике, что ваша компания обязана внести изменения, уничтожить или блокировать данные, если субъект представит вам сведения о том, что данные устарели, недостоверны или получены незаконно. Пропишите срок, в течение которого субъект должен сообщить эти сведения.

Кроме этих разделов, в Политику рекомендуется включать регламент(ы) реагирования на запросы, обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов и обращений.

Политика утверждается приказом руководителя. Если принимается новая Политика, приказом следует отменить предыдущую и утвердить новую редакцию Политики.

С Политикой необходимо ознакомить всех работников организации под подпись. Напомним еще раз, что Политика обязательно должна быть размещена на сайте компании.

Законодательство о защите персональных данных в РФ

• Конституция РФ
• Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ в редакции 142-ФЗ от 04.06.2014.
• Трудовой кодекс РФ
• Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
• Указ Президента РФ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».
• Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
• Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»
• Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
• Постановление Правительства РФ от 06.07.2008г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
• Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»
• Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве от 14 декабря 2012 года.
• Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
• «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008 г. ФСТЭК).
• Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных»

В какой форме и какую информацию подавать в реестре обученных по охране труда лиц: образец

Работодатель проводит обучение работников требованиям охраны труда, обучение по оказанию первой помощи пострадавшим, обучение по использованию (применению) средств индивидуальной защиты только после регистрации в реестре индивидуальных предпринимателей и юридических лиц, осуществляющих деятельность по обучению своих работников вопросам охраны труда. Для этого нужно внести информацию в личный кабинет работодателя, осуществляющих деятельность по обучению своих работников вопросам охраны труда, в реестре Минтруда.

Регистрация в реестре работодателей, обучающих своих работников вопросам охраны труда, осуществляется в уведомительном порядке. Это означает, что работники, которые проинформировали Минтруд о своем намерении и возможности проводить внутреннее обучение по охране труда, подлежат регистрации в реестре индивидуальных предпринимателей и юридических лиц, осуществляющих деятельность по обучению своих работников вопросам охраны труда.

Регистрация уведомления осуществляется посредством заполнения работодателем электронной формы в информационной системе охраны труда Министерства труда и социальной защиты Российской Федерации. Уведомление подписывается электронной подписью, вид которой установлен законодательством Российской Федерации для подписания таких документов. В реестре работодателей, которые проводят внутреннее обучение по охране труда, будут приведены следующие сведения:

• полное и сокращенное наименование, в том числе фирменное наименование, и организационно-правовая форма юридического лица, адрес его места нахождения, государственный регистрационный номер записи о создании юридического лица, данные документа, подтверждающего факт внесения сведений о юридическом лице в ЕГРЮЛ, с указанием номера телефона и адреса электронной почты юридического лица;
• идентификационный номер налогоплательщика, данные документа о постановке заявителя на учет в налоговом органе;
• основной государственный регистрационный номер юридического лица (основной государственный регистрационный номер индивидуального предпринимателя);
• заверенная работодателем копия локального нормативного акта (решения) о проведении обучения по охране труда работодателем без привлечения организации или индивидуального предпринимателя, оказывающих услуги по обучению работодателей и работников вопросам охраны труда, с отметкой об учете мнения профсоюзного или иного уполномоченного работниками представительного органа (при наличии);
• адрес официального сайта в информационно-телекоммуникационной сети «Интернет» (при наличии);
• сведения о среднесписочной численности работников и количестве работников, подлежащих обучению по охране труда;
• сведения о наличии мест обучения по охране труда работников в соотношении не менее одного места обучения на 100 работников организации, оснащенных необходимым оборудованием, информационно-справочными системами, обеспечивающими освоение работниками программ обучения по охране труда и прохождение проверки знания требований охраны труда в полном объеме;
• сведения о наличии технических средств обучения для отработки практических навыков;
• сведения о наличии программ обучения по охране труда;
• сведения о наличии учебно-методических материалов и материалов для проведения проверки знания требований охраны труда для каждой программы обучения по охране труда;
• сведения о наличии в штате организации не менее 2 работников или иных лиц, привлекаемых для проведения обучения по охране труда;
• сведения о наличии комиссии по проверке знания требований охраны труда.

Работодатель направляет в Минтруд уведомление о своем намерении проводить подготовку по охране труда собственными силами, заполняет таблицу со сведениями, прилагает заверенные организацией копии подтверждающих документов (акты приемки выполненных работ, счета, универсально-передаточные документы (накладные и счета-фактуры, договоры на закупку).

После этого Минтруд регистрирует работодателя в реестре индивидуальных предпринимателей и юридических лиц, обучающих внутри своих организаций. В течение 5 рабочих дней со дня поступления намерения, работодатель получает регистрационный номер.

Важно! Если у работодателя произошли изменения, требующие внести изменения в сведения в реестре, то работодатель в течение 10 рабочих дней со дня наступления таких изменений направляет уведомление об изменении сведений в Минтруд с указанием сведений, подлежащих изменению (при необходимости с приложением копий соответствующих документов). Минтруд рассматривает уведомление и вносит изменения в реестр. На это дается 5 рабочих дней со дня регистрации уведомления об изменении сведений.

Сведения в реестр работодателей, организующих внутреннее обучение по ОТ передаются безвозмездно. Сведения, содержащиеся в реестре являются открытыми и общедоступными на официальном сайте Минтруда. Поэтому организации, работающие в государственной тайной, в реестре не регистрируются.

Индивидуальный предприниматель или юридическое лицо, осуществляющие деятельность по обучению своих работников вопросам охраны труда после проведения проверки знания требований охраны труда передают в реестр обученных лиц следующие сведения:

Сведения об обученном работнике	Наименование программы обучения по ОТ	Дата проверки	Результат проверки (оценка «удов.» или «неуд��вл.»)	№ протокола проверки
Фамилия, имя, отчество (при наличии),	Страховой номер инд. лицевого счета,	Профессия (должность) работника, прошедшего обучение по ОТ
Иванов Иван Иванович	108-647-225-0025	водитель	программа обучения безопасным методам и приемам выполнения работ повышенной опасности для водителей транспортных средств	31 апреля 2023 г.	удовлет-ворительно	1

Передача сведений в реестр обученных лиц осуществляется путем импортирования в виде электронного документа по форме, установленной Минтрудом.

Внимание, поблажки для микропредприятий: Работодатели микропредприятий могут не регистрироваться в личном кабинете, если будут проводить обучение требованиям охраны труда, обучение по оказанию первой помощи пострадавшим, обучение по использованию (применению) средств индивидуальной защиты работников только в ходе проведения инструктажа по охране труда на рабочем месте.

Что подразумевают под персональными данными

В Федеральном законе №152-ФЗ произошли изменения. Согласно новой редакции от 14.07.22, оператор больше не вправе осуществлять сбор персональных данных без уведомления уполномоченного органа. С 1 сентября 2022 года юрлица и индивидуальные предприниматели обязаны сообщить в Роскомнадзор о том, что намерены их обрабатывать.

К персональным данным в этом случае относят информацию, которую:

• получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
• получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
• разрешено распространять с согласия физлица;
• будут использовать в качестве пропуска физлица на территорию компании и аналогичных ситуациях.

К ним также относятся личные сведения:

• содержащие в себе только Ф.И.О. физлица;
• касающиеся участников общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями.

Законодательство о комплекте документов по защите персональных данных в организации

Законодатель в ст. 7 ФЗ «О персональных данных» от 27.07.2006 № 152 устанавливает обязанность организаций, имеющих статус оператора персональных данных (далее — ПД), т. е. юридического лица, выполняющего сбор, обработку и хранение такой информации, по обеспечению конфиденциальности сведений. Чтобы предотвратить несанкционированный доступ к ПД, необходимо реализовать комплекс защитных мер, в перечень которых входит разработка пакета специализированных документов и их внедрение в деятельность предприятия.

При этом законодатель не определяет точного состава такого пакета и не указывает, какую форму должны иметь документы по защите персональных данных. Это означает, что руководство организации может определить перечень и вид используемой для этих целей документации самостоятельно.

Похожие записи:

• Срок владения недвижимостью для освобождения от НДФЛ в 2023 при продаже
• Где получить губернаторское пособие на рождение ребенка Новосибирск в 2023 году
• Взыскание задолженности по расписке с физического лица судебная практика