Оператор ПД
Все компании, работающие с персональными данными сотрудников, должны быть зарегистрированы в Роскомнадзоре и иметь статус — оператор персональных данных (оператор ПД). Чтобы разобраться, какие нужны внутренние документы — исходите из специфики и целей компании.
В этой статье:
Общие определения
Персональные данные — это любая информация о человеке, которая позволяет его идентифицировать (имя, адрес, паспортные данные, видео в интернете, фото, отпечатки пальцев и т.д.). Неправомерное использование данных может скомпрометировать их владельца и нанести вред его частной, личной и семейной жизни.
Оператор персональных данных (оператор ПД) — это ИП или юридическое лицо, которое в рамках своей деятельности собирает, хранит и обрабатывает данные о своих клиентах, потребителях, пациентах с помощью автоматизированных и (или) неавтоматизированных средств. Также к операторам относятся физические лица, государственные и муниципальные учреждения, работающие с персональными данными.
Роскомнадзор — это контрольный орган в сфере персональных данных, который следит за деятельностью операторов и защищает права и интересы субъектов ПД.
Закон от 27.07.2006 N 152 «О персональных данных» — это основной закон, регулирующий взаимодействие всех сторон процесса: субъектов ПД, операторов, контрольных органов. Иначе говоря, закон N 152-ФЗ — это свод правил о том, как работать с персональными данными без нарушений, штрафов и предписаний.
Виды персональных данных
закон N 152-ФЗ разделяет персональные данные на несколько категорий — общие и специальные (ст. 10 закона N 152-ФЗ).
Общие персональные данные
К общей категории ПД относится «обычная» информация о человеке — образование, место жительства, адрес электронной почты, ИНН и т.п.
Специальная категория персональных данных
В ст. 10 закона N 152-ФЗ перечислены данные физлиц, которые относятся к категории специальных. Например, это национальность, религия, медицинские показания, политические убеждения и т.д.
Компании, в том числе работодатели, не могут обрабатывать персональные данные из специальной категории — это общее правило, которое следует из п. 4 ст. 86 ТК РФ. Но есть исключения: например, работодатель может обрабатывать данные о здоровье работника, полученные после прохождения обязательной медкомиссии (ст. 69 ТК РФ). И некоторых других случаях (ч. 2 ст. 10 закона N 152-ФЗ):
- получено согласие в письменном виде от владельца ПД;
- данные необходимы для защиты здоровья и жизни человека;
- в судебных разбирательствах для установления правосудия и защиты прав граждан;
- при осуществлении прокурорских проверок и т.д.
Также операторы могут обрабатывать специальные категории ПД, если владелец сам сделал их доступными для широких масс.
Биометрические ПД
Биометрические данные — это уникальные характеристики человека, относящиеся к внешности и физиологическим особенностям (ч. 1 ст. 11 закона N 152-ФЗ). Например, особенности лица (форма носа, расстояние между глазами), результаты дактилоскопии, тембр голоса.
Компании, в том числе работодатели, могут собирать и использовать биометрические данные только с согласия их владельцев. За исключением некоторых случаев (ч. 2 ст. 11 закона N 152-ФЗ):
- при обязательном сборе дактилоскопических данных;
- для вынесения справедливых судебных решений и установления правосудия;
- при необходимости противодействия терроризму и обеспечения транспортной безопасности и т.д.
Работодателям важно разбираться в категориях персональных данных, чтобы при трудоустройстве корректно запрашивать только необходимую информацию и правильно составлять внутреннюю документацию и локальные акты.
Количество и состав документов для оформления работы с персональными данными может отличаться в зависимости от направления и целей компании. На сайте Роском Онлайн вы можете скачать чек-лист с перечнем необходимых документов (более 60 форм и регламентов) и ссылками на НПА. На сайте можно проверить регистрацию компании в Роскомнадзоре, подобрать список документов и получить бесплатную консультацию.
Полномочия Роскомнадзора
Требования Роскомнадзора направлены на то, чтобы организации соблюдали нормы закона N 152-ФЗ и не нарушали права граждан. в том числе это относится к компаниям, которые обрабатывают данные своих сотрудников и собирают информацию для трудоустройства.
Регистрация в Роскомнадзоре
Если компания в рамках своей деятельности собирает персональную информацию (с клиентов, пациентов, сотрудников), то она относится к операторам персональных данных (ОПД).
Необходимо направить уведомление в РКН до начала работы с персональными данными (ч. 1 ст. 22 закона N 152-ФЗ). Роскомнадзор вносит сведения о компаниях в реестр операторов в течение 30 дней после получения уведомления.
В отдельных случаях компания может осуществлять обработку данных без уведомления Роскомнадзора (ч. 2 ст. 22 закона N 152-ФЗ). Таких случаев всего три:
- Компания входит в ГИС по обеспечению государственной безопасности и общественного порядка.
- Для обработки ПД не используются автоматизированные средства.
- При обеспечении безопасности в сфере транспортного комплекса.
Если вы не подходите ни под одну из этих категорий, то регистрироваться в Роскомнадзоре обязательно.
Как подать уведомление
Уведомление в Роскомнадзор о начале работы с ПД можно подать одним из трёх способов:
- На бумаге. Форма заполняется на сайте Роскомнадзора, затем её необходимо распечатать, подписать и отправить по почте в территориальное подразделение РКН.
- В электронном виде. Форма заполняется на сайте Роскомнадзора и подписывается усиленной квалифицированной электронной подписью (УКЭП).
- На «Госуслугах». Для заполнения формы потребуется подтвержденная учетная запись.
А саму форму уведомления Роскомнадзор утвердил в своём приказе от 28.10.2022 N 180.
Что указать в уведомлении
Заполняйте уведомление с учётом требований, описанных в ч. 3 ст. 22 закона N 152-ФЗ. Оно должно содержать:
- название и адрес компании (работодателя);
- для каких целей собираются ПД;
- меры и средства защиты при работе с данными;
- имена и контакты сотрудников, ответственных за работу с ПД в компании;
- дата, когда компания начала собирать и обрабатывать данные;
- когда или при каком условии компания прекращает работу с ПД;
- информация о трансграничной передаче данных (используется в процессе обработки или нет);
- где находится информационная база компании, применяемая для обработки и хранения ПД;
- лица, которым открыт доступ к государственным и муниципальным системам, содержащим данные;
- подтверждение того, что компания соблюдает правительственные требования по защите ПД.
Кроме этого, компания должна указать категории персональных данных в соответствии со своими целями, а также основания для работы с ПД и способы обработки (ч. 3.1 ст. 22 закона N 152-ФЗ).
Уточнения РКН
Если компания указала в уведомлении неполные или недостоверные сведения, то Роскомнадзор вправе запросить уточнения (ч. 6 ст. 22 закона N 152-ФЗ).
На ответ компании дается до 10 рабочих дней. При наличии мотивированных оснований компания может продлить этот срок еще на пять рабочих дней (ч. 6 ст. 22 закона N 152-ФЗ и ч. 4 ст. 20 закона N 152-ФЗ).
Что делать при прекращении работы с ПД
При прекращении работы с персональными данными компания обязана сообщить в Роскомнадзор — по закону на это отводится 10 рабочих дней (ч. 7 ст. 22 закона N 152-ФЗ).
Если необходимо внести изменения в уведомление о начале работы с персональными данными, то действуют другие сроки — до 15 числа следующего месяца. Например, изменения произошли в феврале, значит, подать сведения нужно не позднее 15 марта.
Какие нужны документы
Перед началом работы с персональными данными компания определяет цели такой работы и строит свои процессы, в том числе подготовку документов, на основании сформированных целей. Собирать и обрабатывать данные вне этих целей запрещено.
Например, при трудоустройстве работодатель может запросить диплом, трудовую книжку, результаты медкомиссии. Но узнавать про вероисповедание или интимную жизнь — это уже нарушение прав граждан и несоответствие цели (приёму на работу).
Список целей для обработки персональных данных сотрудников даётся в ст. 86 ТК РФ:
- приём на работу;
- обучение и повышение квалификации работников;
- подготовка отчётов для надзорных органов;
- контроль качества работы;
- обеспечение безопасности сотрудников.
Положение о персональных данных
Положение о ПД — это один из ключевых локальных документов, который регулирует работу с данными, в том числе с данными сотрудников. в нём указывается информация с учётом целей деятельности:
- категории ПД и группы субъектов;
- способы обработки и хранения данных;
- порядок уничтожения данных, когда они больше не нужны компании.
Приложение необходимо утвердить приказом руководителя. Принять документ можно на собрании профсоюза или в выборном органе первичной профсоюзной организации (ст. 372 ТК РФ).
Политика обработки персональных данных
Политика обработки ПД необходима компаниям, которые собирают данные на своём сайте (анкеты, формы заказа, сбор адресов). Документ должен быть опубликован на сайте компании и открыт для всех заинтересованных лиц (ч. 2 ст. 18.1 закона N 152-ФЗ).
В Политике указываются следующие сведения:
- понятия, используемые в документе;
- цели работы с ПД;
- законные основания, позволяющие компании обрабатывать данные;
- права и обязанности владельцев ПД и т.д.
Положение о защите данных
В локальных документах компания прописывает меры, которые она проводит для защиты персональных данных. Эти меры защищают ПД от неправомерного разглашения.
Обязательство о неразглашении персональных данных
Для работы с персональными данными назначаются ответственные сотрудники. Они получают полный или частичный доступ к данным в зависимости от своего функционала.
Например, менеджеру может быть открыта информация об адресах и именах, но ему незачем знать о зарплатах работников.
С ответственными сотрудниками подписывается обязательство о неразглашении. Некоторые компании прикладывают допсоглашение к трудовому договору, в котором указывают условие о неразглашении.
Регламент допуска
Список сотрудников, имеющих доступ к персональным данным, указывается в специальном регламенте. Чаще всего ответственными назначают кадровиков, бухгалтеров, секретарей.
Доступ выдается только на ту часть персональных данных, которая необходима ответственному для выполнения его обязанностей (ст. 88 ТК РФ).
Вместе с регламентом необходимо издать приказ со списком уполномоченных лиц и их зонами ответственности при работе с персональными данными (постановление Правительства от 15.09.2008 N 687).
Документы внутреннего контроля
При работе с персональными данными компания должна максимально обезопасить себя в случае проверок. Такую защиту дают документы внутреннего контроля — результаты аудита, протоколы и т.д. Проверяющие органы могут запросить эти документы в ходе проверок.
Заключение
Регистрация в Роскомнадзоре — это обязательный шаг для всех организаций, которые работают с персональными данными. Несоблюдение этого требования может привести к штрафам и проверкам (ч. 3 ст. 13.11 КоАП РФ).
Кроме того, важно подготовить полный пакет документов, включая положение о защите данных, политику обработки персональных данных и регламент доступа сотрудников к информации.
Кадровикам стоит помнить: грамотно оформленные документы и выстроенные процессы не только защищают компанию от штрафов, но и укрепляют доверие сотрудников и клиентов. Для упрощения работы используйте чек-листы Роском Онлайн, регулярно обновляйте документацию и обращайтесь за консультацией к профессионалам.
Если у вас есть сотрудники в штате, клиенты или работаете с персональными данными физлиц, то ваша компания должна быть зарегистрирована в Роскомнадзоре.
В своих статьях мы используем только первоисточники: материалы и обзоры справочной правовой системы «КонсультантПлюс», информационно-правового портала«Гарант.Ру», а также материалы и обзоры сайтов ФНС России, Социальный фонд России, Банка России, официального канала Минтруда России, Федеральной службы судебных приставов, Новости с сайта kdelo.ru, Онлайн журнала «Главбух», сайта nalog-nalog.ru, сайта klerk.ru, сайта kontur.ru, сайта www.buhonline.ru, а также материалы и обзоры из их телеграм‑каналов.
Владельцам бизнеса
Штрафов и конфликтов с контролирующими организациями вы можете избежать полностью, если заключите с нами Договор на Аутсорсинг бухгалтерских услуг
ООО «Аврора Консалт» — команда аттестованных специалистов, которая готова взять на себя: бухгалтерский и налоговый учёт,кадровый учёт и расчёт заработной платы, воинский учёт, составление необходимых форм отчётности, ведение 1С, а также юридическую поддержку.
Мы обеспечим учёт в полном соответствии с законодательством РФ, защиту базы данных и предоставим страховку от штрафов.
В настоящее время ООО «Аврора Консалт» заключает договоры аутсорсинга бухгалтерских услуг с ООО, ИП, ТСЖ, ЖСК и СНТ зарегистрированными и ведущими свою деятельность на территории Санкт-Петербурга и Ленинградской области.
Отзывы о нашей компании вы можете прочитать на странице Отзывы и на соответствующих сервисах Google и Яндекса по ссылкам на странице Отзывов.
Для заключения договора проводится предварительная встреча в офисе вашей или нашей компании, по договорённости достигнутой накануне.
Все возникающие вопросы вы можете задать, связавшись с нами любым удобным для вас способом: позвонить по телефону (812) 209-02-00, воспользоваться альтернативными способами связи, например, мессенджерами:
или оставить заявку в чате.