Положение об обработке персональных данных (далее – Положение о персональных данных) – это локальный нормативный акт оператора персональных данных. В нем содержится подробное описание порядка обработки персональных данных, а также мер, которые предпринимаются оператором персональных данных по их защите.
Задачей такого документа является обеспечение соответствия деятельности оператора персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ) и подзаконных актов. Кроме того, Положение о персональных данных применяется для информирования субъектов персональных данных и других заинтересованных лиц о правилах и принципах обработки персональных данных оператором.
Кто должен составлять Положение о персональных данных
Разработать и утвердить положение о персональных данных обязан любой оператор персональных данных. Это следует из ст. 87 ТК РФ (для операторов, у которых есть работники) и п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ (для других организаций и ИП, которые осуществляют обработку персональных данных физических лиц).
Поскольку под оператором персональных данных подразумеваются все государственные и муниципальные органы, юридические и физические лица, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, все перечисленные лица и организации должны утвердить Положение о персональных данных.
Форма и содержание Положения о персональных данных
Закон не содержит четкого перечня сведений, которые должны содержаться в этом документе, поэтому конкретные положения придется определить самостоятельно. Положение является общим документом, определяющим политику организации в области обработки персональных данных.
Согласно п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ, оператор определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим федеральным законом или другими федеральными законами.
К таким мерам может, в частности, относиться издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ и устранение последствий таких нарушений.
В Положение о персональных данных рекомендуется включить следующие сведения:
- Общие положения:
- наименование оператора, его адрес;
- основные термины и определения, используемые в документе (например, "персональные данные", "обработка персональных данных", "субъект персональных данных" и т. д.);
- цель разработки Положения;
- законодательная основа обработки персональных данных (Закон № 152-ФЗ и другие нормативные акты).
- Принципы обработки персональных данных:
- перечисление и описание принципов, изложенных в ст. 5 Закона № 152-ФЗ: законность и справедливость, соответствие целей обработки целям, заранее определенным и заявленным при сборе персональных данных, недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, и т. д.
- Цели обработки персональных данных:
- указание целей, для которых осуществляется обработка персональных данных (например, заключение и исполнение договоров, обработка обращений граждан, ведение клиентской базы, обеспечение функционирования веб-сайта, проведение маркетинговых акций и т. д.).
- Категории обрабатываемых персональных данных:
- перечень категорий персональных данных, которые оператор обрабатывает (например, фамилия, имя, отчество, паспортные данные, адрес электронной почты, номер телефона, данные о местоположении, IP-адрес и т.д.);
- указание на наличие или отсутствие обработки специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) и биометрических персональных данных.
- Субъекты персональных данных:
- перечисление категорий субъектов, чьи персональные данные обрабатываются (например, работники, пользователи сайта, клиенты, партнеры, кандидаты на вакансии и т.д.).
- Порядок и условия обработки персональных данных:
- способы обработки персональных данных (с использованием или без использования средств автоматизации);
- срок обработки персональных данных (его следует определить исходя из целей обработки персональных данных);
- условия прекращения обработки персональных данных (достижение целей обработки, отзыв согласия субъектом, истечение срока хранения и т. д.);
- порядок получения согласия субъекта на обработку персональных данных;
- условия трансграничной передачи персональных данных (если таковая осуществляется).
- Права субъектов персональных данных:
- описание прав субъектов, предусмотренных ст. 14–17 Закона № 152-ФЗ: право на получение информации, на уточнение, блокирование или уничтожение персональных данных, право на отзыв согласия, право на обжалование действий или бездействия оператора;
- указание порядка реализации этих прав (например, путем направления запроса в письменной форме).
- Меры по обеспечению безопасности персональных данных:
- общее описание мер, принимаемых оператором для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Эти меры могут включать:
- o назначение ответственного за организацию обработки персональных данных;
- o применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- o оценку вреда, который может быть причинен субъектам персональных данных;
- o ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных и локальных актов по вопросам обработки персональных данных;
- o определение угроз безопасности персональных данных.
- o применение средств защиты информации;
- o обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
- o восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- o контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
- общее описание мер, принимаемых оператором для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Эти меры могут включать:
- Ответственность:
- общие положения об ответственности оператора и его сотрудников за нарушение требований законодательства о персональных данных.
- Заключительные положения, определяющие:
- порядок пересмотра и актуализации Положения;
- дата вступления Положения в силу.
Приведенный перечень сведений является лишь ориентировочным и может быть использован в качестве примера. В Положении о персональных данных рекомендуется максимально подробно прописать все аспекты их получения, хранения и обработки.
Помимо Положения о персональных данных, у работодателя должны быть такие документы, как:
- политика обработки персональных данных. Она может быть оформлена в виде отдельного документа или закреплена в Положении о персональных данных (ч. 2 ст. 18.1 Закона № 152-ФЗ, письмо Роскомнадзора от 29.05.2023 № 08-44457);
- приказ о назначении ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона № 152-ФЗ).
Иные документы
Законодательство не конкретизирует перечень документов, которые следует составить работодателю, обрабатывающему персональные данные сотрудников. Помимо общего Положения о персональных данных, рекомендуем составить также следующие документы (они могут быть приложением к нему):
- инструкцию о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
- приказы о возложении персональной ответственности за защиту персональных данных;
- перечень персональных данных, обрабатываемый оператором. В него включается категория данных, объем и срок хранения, способ обработки (автоматизированный и неавтоматизированный), перечень должностей сотрудников, их обрабатывающих, наличие согласия на обработку;
- регламент допуска сотрудников к обработке персональных данных;
- перечень допущенных сотрудников к обработке персональных данных;
- перечень информационных систем, обрабатывающих персональные данные с указанием места расположения;
- должностные инструкции сотрудников, имеющих отношение к обработке персональных данных.
Утверждение Положения о персональных данных и иных документов
Положение о персональных данных и иные документы, определяющие порядок обработки персональных данных оператором следует утвердить приказом руководителя организации или иного уполномоченного работодателем лица (например, заместителя генерального директора, директора по персоналу и т. п.). При наличии в организации представительного органа работников (например, профсоюза) эти локальные акты должны приниматься с учетом его мнения в порядке ст. 372 ТК РФ.
Индивидуальный предприниматель может утвердить документы личным решением.
Ознакомление работников оператора с Положением о персональных данных и другими документами
В соответствии с требованиями п. 8 ст. 86 ТК РФ, а также п. 6 ч. 1 ст. 18.1 Закона № 152-ФЗ работники оператора персональных данных и их представители должны быть ознакомлены с документами, устанавливающими порядок обработки персональных данных, а также с правами и обязанностями в этой области. Поэтому с вышеперечисленными документами следует ознакомить своих сотрудников под подпись.
При этом закон не устанавливает конкретной формы ознакомления, и оператор вправе самостоятельно решить, каким образом фиксировать это в своих документах. Например, распространена практика оформления журнала ознакомления с локальными нормативными актами. Для подтверждения факта ознакомления работник должен поставить подпись в соответствующей графе. Возможны и иные варианты. Например, подтверждение в виде отдельного документа, включение соответствующего пункта в трудовой договор и т. д.
Если у оператора применяется кадровый электронный документооборот (ст. 22.1–22.2 ТК РФ), то работников можно ознакомить с локальными нормативными актами в электронной форме.
Публикация информации о порядке обработки персональных данных
Согласно закону, операторы персональных данных обязаны опубликовать или иным способом предоставить всем желающим неограниченный доступ к документу, определяющему их политику в отношении обработки персональных данных. Если сбор персональных данных осуществляется через интернет, оператор обязан опубликовать такой документ в интернете (например, на своем сайте) (ч. 2 ст. 18.1 Закона № 152-ФЗ). Закон № 152-ФЗ не конкретизирует, что это за документ. Это может быть и Положение о персональных данных, и любой другой аналогичный документ. Эту информацию можно разместить, например, на информационном стенде, доступном всем желающим, на интернет-сайте и т. д.
Исполнение этих требований может быть проверено Роскомнадзором в любое время. Если от него поступил соответствующий запрос, необходимо представить указанные выше документы, а также (при необходимости) доказательства выполнения требований закона о публикации таких документов (ч. 4 ст. 18.1 Закона № 152-ФЗ).
Обратите внимание!
Для разработки и оформления набора документов, регламентирующих обработку и охрану персональных данных конкретным оператором персональных данных с учетом специфики его деятельности, рекомендуется обращаться в организации, которые специализируются на аудите и консалтинге в области информационной безопасности и защиты персональных данных.