Разрабатываем локальный нормативный акт по персональным данным: практические рекомендации с учетом мнения Роскомнадзора

| статьи | печать

Одно из важных условий для работы с персональными данными — оформление локальных актов, закрепляющих порядок работы с ними, и утверждение ответственных за его соблюдение лиц. Подробнее о том, какие положения необходимо включать компаниям в свои локальные акты, чтобы не нарушать требования закона, — в материале «ЭЖ».

С 1 июля 2017 г. вступили в силу поправки в ст. 13.11 КоАП РФ, дифференцировавшие и ужесточившие ответственность за нарушения законодательства в области персональных данных. Теперь, к примеру, размер штрафа за обработку персональных данных без согласия на это в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, может достигать 75 000 руб., тогда как в прежней редакции верхний предел штрафа составлял 10 000 руб. Кроме того, протоколы об административных правонарушениях по данной категории дел теперь уполномочены составлять органы Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Результаты этих изменений не заставили себя ждать — органы Роскомнадзора активно ведут проверки работодателей, применяя новые штрафы. Законодательных требований установлено достаточно много. Чтобы все соответствовало букве закона, Роскомнадзор начинает давать разъяснения в отношении проверяемых ими документов. В июле вышли очередные разъяснения в отношении того, какая должна быть структура и форма локального нормативного акта в области персональных данных (Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ), доступны по ссылке http://rkn.gov.ru/personal-data/p908/). Несмотря на то что разъяснения не являются нормативным правовым актом, их рекомендуется учитывать, так как при проведении проверок на это будут обращать внимание инспекторы. Разберем обязательные условия, которые должны быть указаны в локальном нормативном акте с учетом этих рекомендаций.

Локальные акты по работе с персональными данными: основные требования

Локальный нормативный акт (далее — ЛНА) утверждается уполномоченным лицом в организации, которое определяется ее уставом. Такой ЛНА не требует учета мнения представительного органа работников при утверждении. ЛНА может быть один, а также их может быть несколько, в зависимости от обрабатываемых компанией персональных данных. Законом не установлено требований к наличию нескольких ЛНА, тем не менее на практике компании часто имеют целый свод положений по работе с персональными данными. Например, ЛНА могут определять:

  • общие принципы обработки персональных данных;

  • порядок обработки персональных данных на бумажных носителях;

  • порядок обработки персональных данных в информационных системах;

  • порядок хранения персональных данных;

  • порядок передачи персональных данных;

  • порядок обработки персональных данных должностными лицами, непосредственно осуществляющими обработку;

  • порядок обработки персональных данных при нахождении на территории работодателя третьих лиц и др.

Со всеми локальными нормативными актами по персональным данным под роспись должны быть ознакомлены все работники (ст. 86 ТК РФ).

В качестве структурных элементов рекомендуется включить раздел «Общие положения», в котором будет описываться назначение ЛНА, будут указаны основные термины и понятия, используемые в нем, например «персональные данные», «оператор», «обработка персональных данных», «трансграничная передача персональных данных». В разделе можно также перечислить основные права и обязанности работодателя как оператора персональных данных, а также права и обязанности субъекта персональных данных.

Объем обрабатываемых персональных данных должен соответствовать целям обработки

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Цели обработки персональных данных могут происходить в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора и бизнес-процессами оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

В соответствии с требованиями ст. 86 ТК РФ и Закона № 152-ФЗ необходимо определить перечень должностных лиц, имеющих доступ к персональным данным. Внутренний доступ к персональным данным бывает полный и ограниченный. При работе с полным доступом необходимо указать перечень должностей, для которых он установлен, а при ограниченном доступе помимо должностей необходимо указать перечень персональных данных, к которым допущены работники, и перечень действий с ними с указанием целей обработки.

Не стоит забывать про уполномоченного за организацию обработки персональных данных сотрудника, который также должен быть назначен в соответствии с требованиями ст. 22.1 Закона № 152-ФЗ. Должность данного лица может определяться как в ЛНА, так и в приказе работодателя.

Содержание и объем обрабатываемых и указываемых в ЛНА персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. При указании субъектов, чьи персональные данные обрабатываются, — работников, бывших работников, соискателей, родственников работников, клиентов, контрагентов оператора (физические лица), представителей/работников клиентов и контрагентов оператора (юридические лица) — рекомендуется применительно к конкретным целям, с которыми осуществляется обработка указанных категорий персональных данных, перечислить все обрабатываемые оператором персональные данные, а также отдельно описать все случаи обработки специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья) и биометрических персональных данных, если такая обработка осуществляется.

Помимо описания внутреннего доступа необходимо прописать и внешний доступ к персональным данным. При взаимодействии с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе находящихся за пределами Российской Федерации (трансграничная передача), при этом указывая конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Также должны быть описаны меры, необходимые и достаточные для обеспечения выполнения обязанностей по соблюдению требований к конфиденциальности персональных данных в соответствии с требованиями ст. 18.1 и 19 Закона № 152-ФЗ. К таким мерам относятся в том числе:

  • определение угроз безопасности персональных данных при их обработке в информационных системах;

  • обнаружение фактов несанкционированного доступа к персональным данным;

  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, — их исполнение обеспечивает установленные уровни защищенности персональных данных и др.

В локальном акте необходимо закрепить порядок реагирования на запросы субъектов персональных данных

Особое внимание следует уделить закреплению порядка хранения персональных данных и документов, их содержащих. Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных. Рекомендуется указывать сроки хранения и порядок хранения персональных данных в информационных системах и на бумажных носителях с учетом установленного доступа к ним должностных лиц.

Базы данных, содержащих персональные данные работников, должны в обязательном порядке находиться на территории Российской Федерации. В связи с этим место нахождения используемых баз персональных данных рекомендуется указывать в ЛНА.

Порядок исправления, удаления, уничтожения обрабатываемых персональных данных должен быть предусмотрен в ЛНА с указанием порядка действий оператора при поступлении запроса, требования или отзыва согласия на обработку персональных данных от работников и иных субъектов персональных данных в каждом случае.

Рекомендуется включить в ЛНА способы реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

При ведении в бумажном виде журнала однократного пропуска на территорию, где находится оператор, содержащего персональные данные, необходимо в ЛНА закрепить цели обработки персональных данных, способ фиксации и состав информации, запрашиваемой у субъектов персональных данных, а также перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность такого журнала, сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор. Данное требование установлено постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Наконец, ЛНА по работе с персональными данными должен быть опубликован или к нему иным образом должен быть обеспечен неограниченный доступ. Выполнение данного требования обеспечивается через публикацию ЛНА на сайте компании (при наличии сайта) либо его размещение на внутреннем портале оператора, стенде в организации или иным способом, позволяющим обеспечить неограниченный доступ к документу.