Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Политика оператора персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).
Как и когда нужно уведомлять Роскомнадзор
Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.
Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.
Когда можно не подавать уведомление
Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
- персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Как передать обработку ПД третьим лицам
Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.
В акте необходимо указать:
- перечень обрабатываемых персональных данных;
- обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
- обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
- обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Рекомендации по составлению Политики
Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.
Обратите внимание: рекомендации изданы в целях выработки унифицированного подхода к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.
Итак, исходя из Рекомендаций, в Политику надо включить такие разделы:
Штрафы за неуведомление Роскомнадзора
Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.
Кому нужно защищать персональные данные
Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.
Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.
Новая обязанность операторов персданных
Они должны:
- незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
- обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).
Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:
- относятся к работникам;
- принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
- нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.
Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.
Зачем формировать пакет документов?
Разработка документации входит в число обязательных действий в рамках приведения компании в соответствие с ФЗ-152 и другими актуальными нормативно-правовыми актами в сфере ПДн. По ним контролирующие органы могут судить, насколько ответственно фирма подходит к защите сведений граждан, используемых в своей деятельности, и, соответственно, назначать наказание в случае выявления нарушений. В свою очередь оператору документы по обработке персональных данных нужны для:
- упорядочивания текущих операций;
- назначения ответственных лиц;
- внутреннего отслеживания процессов;
- предупреждения штрафных санкций, размер которых может достигать нескольких сотен тысяч рублей;
- поддерживать имидж надежной организации в глазах клиентов и партнеров;
- избежать наказания в виде лишения свободы, которое полагается за отсутствие определенных бумаг, связанных с обработкой и защитой ПДн.
Как утвердить положение о персональных данных работников?
Для этого надо издать приказ, который обычно подписывает руководитель компании.
Возможные названия приказа:
- «Об утверждении положения о персональных данных работников»,
- «Об утверждении положения об обработке и защите персональных данных работников»,
- «Об утверждении положения о защите персональных данных работников».
В приказе содержится не только информация об утверждении положения, но и дата, с которой оно действует. Например, с конкретного числа или с даты подписания приказа.
Также в приказе обычно:
- назначают лиц, которые должны ознакомить работников организации с положением о защите персональных данных (образец 2022) – как это сделать, мы объясним ниже,
- определяют для этого разумный срок.
Разработка документов по персональным данным в организации согласно действующим правовым нормативам
Центр безопасности данных является высокопрофессиональным интегратором систем защиты персональных данных. В штате нашей компании присутствуют как специалисты технического, так и юридического профиля, которые в синтезе дают прекрасное сочетание для разработки различных комплектов документации, соответствующих предъявляемым техническим требованиям и правовым нормам.
Подготовка документации по ПДн осуществляется на основе тщательного изучения положений не только ФЗ-152, но и Постановлений Правительства и других нормативных актов, регулирующих вопросы обеспечения безопасности личных сведений граждан при их хранении и обработке. Наш центр разрабатывает документы с учетом Приказа ФСТЭК РФ № 21 от 18 февраля 2013 года и Постановления Правительства № 1119 от 01.11.2012. Как лицензиат Федеральной службы по техническому и экспортному контролю мы точно знаем, какие требования предъявляются данной организацией, что позволяет эффективно помогать компаниям, нацеленным на прохождение аттестации.
Пакет документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей компании и состоит из более чем 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.
Порядок и условия обработки персональных данных
В этом разделе перечислите действия, которые будет совершать компания с пересданными. Укажите способы обработки, сроки обработки и хранения. Действия, совершаемые с персональными данными:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
При составлении текста выберите те действия, которые совершает ваша компания с данными. Обычно в Политике перечисляют все способы.
Способ обработки пересданных может быть:
- автоматизированным (с использованием средств вычислительной техники);
- неавтоматизированным (вручную).
В Политике необходимо указать способ, который используют в компании. Чаще всего указывают оба.
Уведомление Роскомнадзора об обработке персональных данных работников
Ранее компании-работодатели вправе были не уведомлять Роскомнадзор об обработке персональных данных работников, в том случае, когда такая обработка происходила в соответствии с трудовым законодательством. Данное исключение было предусмотрено подп. 1 п. 2 ст. 22 Закона 152-ФЗ.
С 1 сентября 2022 года данная норма утратила силу. Соответственно, даже если компания обрабатывает персональные данные своих сотрудников исключительно в целях соблюдения трудового законодательства, необходимо уведомить об этом Роскомнадзор.
Изменился и состав сведений, которые должно содержать уведомление (п. 3.1 ст. 22 закона 152-ФЗ). Оператор должен указать для каждой цели обработки персональных данных (далее – ПДн):
- категории ПДн;
- категории субъектов, персональные данные которых обрабатываются;
- правовое обоснование обработки ПДн;
- перечень действий с ПДн;
- способы обработки ПДн.
Какие сведения вносятся в документ
Если журнал учета передачи персональных данных создан на основании положения о ПД, которое регламентирует, какие сведения он содержит, — ведите документ по закрепленным требованиям.
Если в организации отсутствует локальный акт, закрепляющий состав информации для учета, придерживайтесь рекомендаций.
Включите в документ сведения:
- ФИО и должность сотрудника, запрашивающего ПД;
- цель выдачи ПД;
- дату выдачи информации;
- перечень выдаваемых документов;
- дату возврата.
Для ведения реестра полученных согласий на обработку или распространение ПД в документ включают:
- ФИО гражданина, предоставляющего сведения;
- ФИО сотрудника, обрабатывающего (распространяющего) полученные ПД;
- дату выдачи согласия.
Для ведения реестра передачи ПД третьим лицам указывают:
- ФИО и должность сотрудника, получающего и передающего ПД;
- цели передачи конфиденциальных данных, их перечень;
- наименование третьего лица, которому передают личные данные персонала.
Кто обязан вносить информацию в реестр обученных лиц по охране труда
Реестр обученных лиц. Сведения об обученных по охране труда в учебных центрах подают учебные центры. Проверка знания требований охраны труда работников, подлежащих обучению исключительно в Учебном центре, будет с 1 марта 2023 года проводится с обязательным использованием единой системы по охране труда. Это касается всех тех, кто организует и отвечает за безопасное производство работ в организации, кто проводит инструктажи и стажировки, а также членов комиссий по проверке знания требований охраны труда работников.
Реестр работодателей, которые проводят обучение внутри организаций. Сведения об обученных по охране труда в самих организациях формирует работодатель. Специалист по охране труда является ответственным за процессы обучения в системе управления охраной труда организации.
Важно! Работодатель может заниматься внутренним обучением по охране труда, не получая для этого аккредитацию Минтруда, но с обязательным внесением этим работодателем информации в личный кабинет индивидуального предпринимателя или юридического лица в информационной системе охраны труда Минтруда России.
В период с 1 сентября 2022 по конец февраля 2023 года можно проводить обучение «по старинке», а вот с 1 марта 2023 года, если не произойдут новые обстоятельства, нужно будет подавать сведения об обученных работниках в личном кабинете работодателя в реестр Минтруда.
Для этого необходимо с 1 марта 2023 года подготовить документы, и направить их в Минтруд для уведомления о том, что работодатель намерен осуществлять деятельность по обучению своих работников, за исключением тех, кто обязан учиться только в УЦ.
Для подтверждения наличия организационно-технических возможностей для качественного обучения своих работников внутри организации, необходимо подтвердить, что работодатель действительно имеет:
- материально-техническую базу в виде мест обучения работников или учебных помещений, а также оборудования, технических средств обучения для осуществления процесса обучения по охране труда;
- учебно-методическую базу. Учебно-методическая база может быть представлена в виде согласованных и утвержденных программ обучения по охране труда и учебных материалов для каждой программы обучения по охране труда.
Если у работодателя есть места для обучения, значит есть и документальное подтверждение этого. Это должен быть приказ об организации мест обучения и установленными требованиями по их оснащению, комплектации, приказ о назначении ответственных за обучение, платежные документы на приобретаемые расходные материалы.
Как подготовиться к обучению до 1 марта 2023 года
На предприятии необходимо оборудовать места для обучения персонала. Норматив по количеству мест обучения работников — не менее одного на 100 работников, которым необходимо проведение обучения по охране труда. Прежде всего, само рабочее место может стать рабочим местом. Например, при обучении работников безопасным методам и приемам выполнения работ, местом обучения для станочников может стать станок в цехе, на котором работники будут учиться правильному размещению инструмента и сырья. Для обучения по охране труда сварщиков таким местом обучения может стать один из сварочных постов. Однозначно, что места для обучения по охране труда должны быть эталонными с точки зрения охраны труда, гигиены, технологической дисциплины.
Пример: В организации ООО «Ромашка» трудится 622 человека. Из них 118 человек работают в офисе, а остальные – на производстве. Офисники освобождены от обучения по охране труда, и с ними подготовка по охране труда проводится в форме вводного инструктажа. Следовательно, расчет количества мест для обучения рассчитывается из числа только работников на производстве (622 – 118 – 504. По правилам округления, получается, что в ООО «Ромашка» нужно оборудовать 5 мест для обучения.
Одним из таких мест работодатель приказом назначил актовый зал, вторым местом – кабинет охраны труда, и три места – у фрезеровочного станка, на сварочном посту и на складе хранения технических жидкостей. Каждое из этих пяти мест обучения оснащены необходимым инструментом, оборудованием, обеспечены нормативными правовыми актами, учебно-методическими материалами и материалами для проведения проверки знания требований охраны труда, информационно-справочными системами, обеспечивающими освоение работниками программ обучения по охране труда и прохождение проверки знания требований охраны труда в полном объеме.
Необходимо напомнить, что процесс обучения по оказанию первой помощи пострадавшим на производстве должен включать только восемь неотложных состояний. Из этого и рассчитывается состав и количество необходимых учебных пособий, учитывая при этом финансовое положение работодателя.
В компании должны быть лица, которые будут проводить обучение по охране труда. На предприятии должно быть не менее 2 лиц, проводящих обучение по охране труда, в штате организации или специалистов, привлекаемых по договорам гражданско-правового характера. Для обучения внутри организации оказанию первой помощи, необходимо подготовить двух инструкторов. Это может быть сам специалист по охране труда, а также работники, которые проводят инструктажи на рабочем месте. Обучение инструкторов оказания первой помощи проводится в учебном центре, стоит недорого, обычно за два дня инструкторы обучаются оказанию первой помощи, получают об этом удостоверение.
После получения такого удостоверения нужно издать приказ, о том что указанные работники назначаются ответственными за обучение работников по первой помощи. Если у организации есть такая возможность, то заключается договор ГПХ с организацией или ИП, прошедшими аккредитацию по охране труда на проведение обучения по первой помощи или по охране труда. Обычные физлица без аккредитации такое обучение проводить не вправе.
Важно! Физическое лицо, не являющееся аккредитованным в Минтруде индивидуальным предпринимателем, или работником организации, оказывающей услуги по аусорсингу в организациях, не превышающих 50 рабочих, не может проводить ни один вид обучения по ОТ. Это следует из пункта 11 Правил обучения от 24.12.2021 № 2464.
В компании должна быть комиссия по проверке знания требований охраны труда. Ее наличие должно быть регламентировано приказом, положением о комиссии, приведенным в вашем Положении о системе управления охраной труда, копиями протоколов проверки знаний требований охраны труда на членов комиссии.
В пункте 98 новых правил обучения указано, что при организации обучения по охране труда допускается использовать в качестве мест обучения по охране труда рабочие места работников, оснащенные необходимым оборудованием, обеспеченные нормативными правовыми актами, учебно-методическими материалами и материалами для проведения проверки знания требований охраны труда, информационно-справочными системами, обеспечивающими освоение работниками программ обучения по охране труда и прохождение проверки знания требований охраны труда в полном объеме.
Что подразумевают под персональными данными
В Федеральном законе №152-ФЗ произошли изменения. Согласно новой редакции от 14.07.22, оператор больше не вправе осуществлять сбор персональных данных без уведомления уполномоченного органа. С 1 сентября 2022 года юрлица и индивидуальные предприниматели обязаны сообщить в Роскомнадзор о том, что намерены их обрабатывать.
К персональным данным в этом случае относят информацию, которую:
- получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
- получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
- разрешено распространять с согласия физлица;
- будут использовать в качестве пропуска физлица на территорию компании и аналогичных ситуациях.
К ним также относятся личные сведения:
- содержащие в себе только Ф.И.О. физлица;
- касающиеся участников общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями.