Пакет документов для проверки персональных данных


Пакет документов для проверки персональных данных

Как подготовиться к проверке Роскомнадзора?


Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока. Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела. Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

Анастасия Успенская 1 декабря 2015 Для каждой компании проверка Роскомнадзора по персональным данным — важное событие, к которому стоит подготовиться заранее. Даже если оператор тщательно проработал все вопросы, касающиеся регламентации обработки ПДн в организации, и сформировал пакет необходимых документов, следует убедиться, что не осталось неучтенных мелочей.

Есть восемь моментов, на которые обращает внимание Роскомнадзор.

Все сотрудники организации должны быть под подпись ознакомлены с документами, регламентирующими порядок обработки их ПДн, а также устанавливающими их права и обязанности в этой области.

В число таких документов входят:

  1. Положение об обработке персональных данных;
  2. Положение об обработке персональных данных без использования средств автоматизации.
  3. Политика в отношении обработки персональных данных;

Сотрудники, непосредственно занимающиеся обработкой ПДн, кроме вышеуказанных локальных актов должны быть под подпись ознакомлены с:

  1. приказом о допуске к обработке ПДн;
  2. инструкциями: по учету и хранению съемных носителей ПДн; по организации резервного копирования и восстановления в ИСПДн; по учету лиц, допущенных к обработке; по антивирусной защите; по проведению инструктажа лиц, допущенных к работе с ПДн; по проведению внутреннего контроля; по порядку уничтожения и обезличивания ПДн; пользователя ИСПДн; пользователя при возникновении нештатной ситуации.
  3. планом проведения внутреннего контроля;
  4. приказом об утверждении перечня помещений, в которых ведется обработка;
  5. Положением о порядке доступа в помещения, в которых ведется обработка ПДн;

Убедитесь в том, что персональные данные в вашей компании защищены При изменении данных об организации или об обработке ПДн оператор обязан в течение 10 дней с момента таких изменений . В связи с нововведениями в законе «О персональных данных» с 1 сентября 2015 года оператор теперь обязан уведомлять Роскомнадзор о месте нахождения .

С 2016 года Роскомнадзор ужесточит проверки местонахождения ПДн.

При проверке оператор будет обязан предъявить договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра (сервера, компьютера) на территории России. В отдельных случаях оператор обязан иметь письменное согласие субъекта на обработку его ПДн. Самые распространенные из них:

  1. составление общедоступных справочников внутри организации, адресных книг и т п.
  2. обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
  3. обработка биометрических ПДн (нюанс: фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);

При обработке ПДн несовершеннолетних письменное согласие должны давать их родители (законные представители).

Форма письменного согласия должна содержать:

  1. цель обработки ПДн;
  2. наименование (ФИО) и адрес оператора;
  3. ФИО, адрес, паспортные данные представителя субъекта ПДн (например, одного из родителей), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
  4. наименование или ФИО и адрес оператора, которому ПДн будут переданы для обработки по поручению;
  5. перечень действий, осуществляемых с ПДн (он не должен включать «распространение»);
  6. перечень ПДн, на обработку которых дается согласие;
  7. подпись субъекта ПДн.
  8. срок, в течение которого действует согласие субъекта ПДн;
  9. ФИО, адрес, паспортные данные субъекта ПДн;

В тех случаях, когда компания передает ПДн другой организации, оказывающей, например, бухгалтерские услуги или услуги ведения кадрового делопроизводства, это должно сопровождаться поручением оператора на обработку ПДн. Условия по поручению обработки могут быть включены в основной договор с другой организацией либо оформлены дополнительным соглашением к договору.

Поручение оператора содержит:

  1. цели обработки ПДн;
  2. обязанность соблюдения конфиденциальности ПДн;
  3. требования к защите ПДн.
  4. обязанность обеспечения безопасности ПДн;
  5. перечень действий с ПДн;

При передаче ПДн в банк в рамках зарплатного проекта в договоре компании с банком как минимум должно содержаться требование обеспечения конфиденциальности ПДн. Все остальные условия, как правило, содержатся во внутренних локальных актах кредитной организации. Бумажные носители ПДн также должны отвечать ряду требований законодательства:

  1. материальные носители с ПДн, обрабатываемыми в разных целях, должны храниться в разных местах.
  2. если помимо основного офиса у оператора есть филиалы, обособленные подразделения, другие места, в которых обрабатываются ПДн, адреса этих мест четко определяются с указанием перечня лиц, имеющих к ним доступ;
  3. для всех документов должны быть указаны сроки их хранения;
  4. в Положении по неавтоматизированной обработке необходимо перечислить абсолютно все документы, которые создаются в организации и содержат ПДн, с их полными названиями;
  5. в типовой форме документа или положении/инструкции по его заполнению должны содержаться сведения о цели обработки ПДн, ФИО (наименовании) и адресе оператора, ФИО и адресе субъекта ПДн, источнике получения ПДн, сроке обработки ПДн, перечне действий с ПДн, общее описание используемых оператором способов обработки ПДн;
  6. в отношении каждой категории ПДн указываются точные места хранения и перечень должностных лиц, имеющих к ним доступ;

Специалисты Роскомнадзора проверяют и соблюдение сроков хранения документов.

Особо внимательно нужно отнестись к ПДн уволенных сотрудников. Если цель обработки ПДн достигнута и нет законных оснований для дальнейшего хранения ПДн, материальные носители ПДн должны быть уничтожены с составлением Акта об уничтожении ПДн. Одним актом можно оформить уничтожение сразу нескольких носителей ПДн.

Отвечая на распространенный вопрос о том, где должны храниться бумажные носители ПДн, стоит отметить, что это могут быть как закрывающиеся на ключ ящики, так и обычные шкафы. Обработка ПДн или копий документов, избыточных к заявленным целям, — это нарушение.

Например, в ТК РФ есть исчерпывающий перечень документов, которые поступающий на работу предъявляет работодателю. Оператор должен опубликовать Политику в отношении обработки ПДн в общедоступном месте.

Если оператор собирает ПДн через свой сайт, то на нем также должен быть размещен этот документ. Анастасия Успенская, эксперт продукта компании СКБ Контур Подписаться × Загрузить ещё

Персональные данные сотрудника: как с ними работать

Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока.

Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании. Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела. Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

20 августа 2020 Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами.

Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия. Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ () и (далее — Закон о персональных данных). В ст. 24 Конституции РФ говорится, что

«сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются»

.

Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.

Вопросам защиты персональных данных работника посвящена . Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных).

Как правило, эти данные позволяют идентифицировать конкретного человека. В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции.

К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.
Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции. Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы.

Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска?

Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?

На все эти вопросы важно знать ответы.

Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор. Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов.

Рекомендуем прочесть:  Правила содержания под стражей

Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д. В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  1. если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  2. при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность.

Можно воспользоваться . Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте. Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям .

Это значит, что:

  1. анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  2. в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  3. в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  4. в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле. В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе.

Тогда хранить персональные данные соискателя придется в течение 3-х лет. На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей. Для этого ему обязательно нужно заручиться согласием соискателя. Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу.

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно , запрашиваются:

  1. трудовая книжка;
  2. паспорт или иной документ, удостоверяющий личность;
  3. при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.
  4. документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется.

Когда он подписывает трудовой договор, то тем самым уже дает свое согласие. Многие организации при приеме на работу оформляют работникам зарплатную карту.

В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие?

Да, нужно. При этом важно, чтобы:

  1. перечень персональных данных строго соответствовал тому, что передается в банк;
  2. была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
  1. у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  2. соответствующая форма и система оплаты труда прописана в коллективном договоре ().
  3. договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство».

Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.

В этом случае нужно обязательно внести изменения в трудовой договор.

Главное — сделать это правильно. Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике. Правильно будет внести изменение непосредственно в текст трудового договора, вручную. Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.
Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в .

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя. Роскомнадзор в своих рекомендациях формулирует следующие требования:

  • Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  • Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  • Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно .

Противоположная ситуация — это поощрение работника в виде доски почета.

Но и здесь есть свои тонкости. Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

В большинстве организаций сейчас действует пропускной режим.

Соответственно, новым работникам требует оформление пропуска. В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  1. компания самостоятельно осуществляет пропускной режим;
  2. если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со .

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно. Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные .

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Подписаться × Е Евгения Спасибо, все коротко и понятно.

1 Ответить Т Татьяна Отлично! 0 Ответить Загрузить ещё

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

Анонсы 6 июля 2023 Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

16 июня 2023 Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

23 сентября 2020 Руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет» специально для ГАРАНТ.РУ Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных.

Например, с 2 декабря 2020 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных ().

Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб.

при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.

Рекомендуем прочесть:  Дом малютки в самаре фото новорожденные

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать. Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных.

Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  1. компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  2. форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ (далее – Закон № 152-ФЗ).
  3. объем обрабатываемых персональных данных не соответствует заявленной цели обработки;

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки.

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2020 г.

№ 236. Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется.

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т.

д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать.

Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: Конклюдентное согласие Согласие в письменной форме Иные формы согласия + Легко получить (за исключением случаев, когда нужно согласие в письменной форме) При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме) – Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ Для каждой цели нужно получать отдельное согласие, т.к.

в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч.

4 ст. 9 Закона № 152-ФЗ

  • Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных. Например, это может быть письмо по электронной почте или SMS-сообщение.
  • В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).
  • При сборе данных нужно использовать базу данных, размещенную на территории РФ.

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора. Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных.

Дело в том, что для полного соответствия требованиям и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  1. документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  2. не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.
  3. отсутствует большая часть необходимой документации;

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора?

Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики.

При ее разработке полезно изучить рекомендации Среди документов второго уровня в иерархии можно выделить следующие:

  • Иные документы.
  • Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  • Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  • Регламент проведения внутренних проверок в части соблюдения требований и подзаконных актов в области обработки персональных данных;
  • Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России.

Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам.

Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только.

Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее. При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта.

В настоящий момент планируются изменения в , которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных. Например, сейчас на рассмотрении в Госдуме находится законопроект, разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона.

Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний. Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса.

Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн.

_____________________________ С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы.

Теги: , , , , , , , , , , , , , Документы по теме:

  1. Приказ Росархива от 20 декабря 2020 г. № 236
  2. Федеральный закон от 27 июля 2006 г. № 152-ФЗ

Читайте также: В целях реализации экспериментальных правовых режимов предлагается вывести некоторые положения о персональных данных из-под законодательного регулирования. По данным экспертов, спрос на услуги телемедицины в период пандемии вырос на 177%.

Обновленный перечень будет применяться с 1 ноября.

Такое исключение предусмотрено в законодательстве об обработке персональных данных. © ООО «НПП «ГАРАНТ-СЕРВИС», 2023. Система ГАРАНТ выпускается с 1990 года.

Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ. Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС».

Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года. ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г.

Москва, ул. Ленинские горы, д. 1, стр. 77, . 8-800-200-88-88 (бесплатный междугородный звонок) Редакция: +7 (495) 647-62-38 (доб.