Документ

Письмо Роскомнадзора от 29.05.2023 № 08-44457

Комментарий

Утверждать политику обработки персональных данных в виде отдельного документа необязательно.

Работодатель должен обеспечить конфиденциальность персональных данных работников. В связи с этим закон возлагает на оператора персональных данных (работодателя) следующие обязанности (ч. 1 ст. 18.1 Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных"):

• назначение лица, ответственного за организацию обработки персональных данных;
• издание документов, определяющих политику работодателя в отношении обработки персональных данных работников, локальных актов по вопросам обработки персональных данных, ознакомление работников с ними;
• внутренний контроль и (или) аудит соответствия обработки персональных данных законам и локальным актам работодателя;
• оценка вреда, который может быть причинен работникам в случае нарушения требований по защите персональных данных;
• применение правовых, организационных и технических мер по защите персональных данных.

Подробнее читайте об этом в статье.

Роскомнадзор пояснил, что работодатель может урегулировать вопросы, связанные с обработкой персональных данных работников, в одном или нескольких локальных нормативных актах.

Закон № 152-ФЗ не конкретизирует, какой именно документ должен определять политику работодателя в отношении обработки персональных данных. Это может быть, например, Положение о персональных данных или Политика обработки персональных данных.

Подробнее о таком Положении читайте в статье.