Положения и другие внутренние документы для операторов персональных данных по 152-ФЗ

Указанные требования относятся ко всем работодателям независимо от форм собственности (ООО, АО, НКО и др.). В отношении ИП действуют некоторые нюансы.

Операторы персданных должны реализовать все необходимые (и достаточные!) меры для исполнения своих обязательств по 152-ФЗ. При этом законодательство не устанавливает полный список обязательных документов по персданным, с которым можно было бы свериться, а просто перечисляет несколько десятков наименований локальных нормативных актов. То есть каждый оператор должен самостоятельно решить, какие документы необходимо утвердить с учетом особенностей своей работы.

Обязательный минимум для работодателя-юрлица может выглядеть следующим образом (основные документы).

1. Политика обработки персданных (также политика приватности или конфиденциальности). Это документ для всеобщего пользования, определяющий принципы и правила работы оператора со всеми персданными. Обычно публикуется на сайте для обеспечения неограниченного доступа всех желающих к этим сведениям.
2. Положение о работе с персданными сотрудников (положение об обработке персональных данных работников). Это внутренний документ, который устанавливает порядок работы юрлица с личными данными персонала из кадрового состава. Следует ознакомить с указанным документом всех лиц при приеме на работу на основании трудового договора.
3. Локальные акты, утверждающие способы защиты персданных и порядок действий при компрометации (положения, регламенты инструкции).
4. Специальные документы, определяющие правила проведения внутреннего контроля, уничтожения персданных, рассмотрения запросов и обращений и т. п.
5. Документы, устанавливающие ограничения на доступ к персданным: приказы об определении уполномоченных (ответственных) лиц, об организации мест хранения полученных данных и их носителей, а также должностные инструкции ответственных сотрудников, обязательства о неразглашении, журналы учета, инструктажа и др.

В указанных документах должны быть прописаны все обязательные положения согласно 152-ФЗ: конкретные цели сбора персданных, категории данных и субъектов, все способы автоматизированной работы с такими сведениями, порядок обработки и защиты, сроки хранения и уничтожения.

Более того, при работе с персданными оператору потребуется получать с субъектов согласия на различные действия: на сбор и обработку персданных, на ее передачу третьим лицам (в том числе публикацию) и т. д. Причем такие согласия нужно оформлять отдельно от других документов с каждым субъектом (в бумажном или цифровом виде).

Административная ответственность за серьезные нарушения в сфере работы с персданными составляет многомиллионные штрафы — до 3% от годового оборота или 500 млн рублей (в соотв. с пунктом 18 статьи 13.11 КоАП).

Отдельные составы нарушений по КоАП.

Также возможно уголовное преследование руководителя и сотрудников по статьям 137, 272.1 УК.

Субъекты персданных имеют право потребовать у нарушителей возместить весь причиненный вред, материальный и даже моральный, согласно ст. 24 152-ФЗ.

1. Проверьте наличие обязательных внутренних документов по 152-ФЗ.
2. Оцените содержание документов с точки зрения соответствия новым требованиям закона: для каждой цели обработки и получения персданных должны быть указаны категории субъектов и информации, способы обработки, сроки хранения, правила уничтожения персональных данных и пр.
3. Убедитесь, что принятые вами правила не ограничивают прав субъектов персональных данных и не предоставляют вам излишние полномочия.
4. Просмотрите утвержденные формы согласий для субъектов. На обработку и распространение персданных оформляются разные согласия. Причем письменная форма должна позволять субъекту устанавливать определенные ограничения и запреты.
5. Если передаете персданные по кадрам аутсорсеру, проследите, чтобы в поручении был указан перечень информации, список действий с ней и цели обработки. Аутсорсер должен обеспечить конфиденциальность и принять меры по обеспечению безопасности полученных от вас данных.