С 1 марта 2023 года вступил в силу ряд изменений в Федеральный закон "О персональных данных" от 27.07.2006 № 152-ФЗ в отношении работы с персональными данными сотрудников организации и клиентов.

В каждой организации обязательно должна быть Политика в отношении обработки персональных данных. Она объясняет, как компания работает с данными работников, клиентов и других физлиц. Давайте подробнее разберем этот вопрос.

Как составить Политику обработки персональных данных

Что такое Политика обработки персональных данных

Каждый оператор персональных данных (ПД), то есть каждая организация, обязан издать документ, определяющий его политику в отношении обработки персональных данных (далее — Политика). Это же требование относится и к предпринимателям, у которых есть хотя бы один работник или которые в ходе своей деятельности имеют дело с ПД покупателей, клиентов и пр. ст. 3 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ) Следование Политике должно обеспечить конфиденциальность и безопасность обрабатываемых персональных данных.

Также организация обязана предоставить всем желающим неограниченный доступ к Политике. Проще всего выполнить это требование, разместив указанный документ на своем сайте ч. 1 ст. 18 Закона № 152-ФЗ.

Компания, кроме того, должна ознакомить с Политикой сотрудников, работающих с персональными данными, а также контролировать ее выполнение пп. 4, 6 ч. 1 ст. 18.1 Закона № 152-ФЗ. Несоблюдение этого требования может быть расценено как нарушение, за которое предусмотрен штраф. Организация может быть оштрафована на сумму от 25 000 до 50 000 руб., а ее руководитель — на сумму от 4000 до 10 000 руб. ч. 6 ст. 13.11 КоАП РФ Ведь именно оператор обязан обеспечить сохранность персональных данных и исключить несанкционированный доступ к ним.

Очевидно, что, поскольку именно в бухгалтерии собирается и обрабатывается большая часть персональных данных работников и клиентов, Политика должна быть составлена так, чтобы минимизировать риск претензий к работе бухгалтера с ПД.

Как составить Политику

Чтобы избежать претензий к содержанию Политики, оформите ее согласно Рекомендациям Роскомнадзора. Исходя из них в Политику нужно включить следующие разделы.

1. Общие положения.

В этом разделе рекомендуется описать назначение Политики и привести основные понятия, используемые в ней (например, такие как «обработка персональных данных», «объект персональных данных», «субъект персональных данных»), перечислить основные права и обязанности организации и субъектов персональных данных.

Для раскрытия понятий можно воспользоваться их определениями, приведенными в ст. 3 Закона № 152-ФЗ. А права и обязанности участников обработки данных перечислены в главах 3 и 4 Закона № 152-ФЗ.

В качестве назначения Политики можно указать: «Защита прав субъектов персональных данных (работников, клиентов и т. д.) при их обработке».

Обязательно укажите название юридического лица/ИП/Самозанятый/ФизЛицо, которому эта политика принадлежит!

2. Правовые основания обработки персональных данных.

В этом разделе следует перечислить акты, в соответствии с которыми и во исполнение которых работодатель обрабатывает персональные данные. Например, в качестве таких документов можно указать:

•законы и подзаконные акты, регулирующие отношения, связанные с деятельностью организации в области обработки ПД (например, ТК РФ; Закон от 27.07.2006 № 149-ФЗ; Указ Президента от 06.03.97 № 188);

•учредительные документы;

•трудовые договоры или иные соглашения между компанией и работником (например, коллективный договор) либо иным субъектом персональных данных;

•согласие субъекта персональных данных на обработку персональных данных.

Внимание. По мнению Роскомнадзора, Закон № 152-ФЗ не может служить правовым основанием обработки персональных данных, поскольку он регулирует отношения, связанные с обработкой, а также закрепляет требования, предъявляемые к операторам при их обработке. Но если включить Закон в перечень оснований, штрафа не будет.

3. Цели сбора персональных данных

Обработка ПД должна ограничиваться достижением конкретных и заранее определенных целей. Обработка, не соответствующая целям сбора персональных данных, недопустима ч. 2 ст. 5 Закона № 152-ФЗ. То есть, если цель обработки в Политике не указана, сбор персональных данных незаконен. Поэтому к заполнению этого раздела следует отнестись серьезно.

Сформулировать цели обработки, перечисляемые в этом разделе, можно на основе направлений деятельности организации и анализа нормативных актов, их регулирующих. Одни компании, формулируя цели сбора ПД, перечисляют их максимально подробно, другие, наоборот, чтобы ничего не упустить, указывают универсальные цели сбора персональных данных. Придерживайтесь правила: Цель должна быть сформулирована коротко, четко и понятно. Нельзя объединять все цели сбора данных в одну цель!

 

Например, некоторые компании довольствуются тем, что просто указывают следующее: «Компания собирает и обрабатывает персональные данные в целях ведения своей деятельности согласно законодательству Российской Федерации и Уставу Компании».

Более подробный перечень целей сбора ПД бухгалтерией может выглядеть следующим образом.

Персональные данные в Обществе обрабатываются в целях:

• обеспечения соблюдения законодательных и иных нормативных правовых актов РФ, локальных нормативных актов Общества;
• исполнения обязанностей, возложенных законодательством РФ на Общество, в том числе связанных с представлением персональных данных в налоговые органы, Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
• регулирования трудовых отношений с работниками Общества (трудоустройство, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
• предоставления работникам Общества и членам их семей дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, негосударственного пенсионного обеспечения и других видов социального обеспечения;
• подготовки, заключения, исполнения и прекращения договоров с контрагентами;
• исполнения судебных актов, актов других государственных органов или должностных лиц;
• реализации прав и законных интересов Общества в рамках ведения видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, или третьих лиц либо достижения общественно значимых целей;
• в иных законных целях.

4. Правовые основания обработки персональных данных

Обработка персональных данных требует законного основания, которое определяется согласно совокупности правовых документов и нормативных актов, соблюдение которых является обязательным для оператора при проведении такой обработки.

Примечание: 152 ФЗ О защите персональных данных не является правовым основанием

 

 

5. Объем и категории персональных данных, категории субъектов персональных данных.

Необходимо обеспечить соответствие объема обрабатываемых персональных данных изначально определенным целям обработки. В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также отдельно описать все случаи обработки специальных категорий персональных данных.

Допускается не указывать категории в Политике, но предоставлять информацию по первому требованию

Примечание: к категориям персональных данных относятся: ФИО, паспортные данные, дата рождения и прочее. Более полный список категорий вы можете посмотреть на сайте Роскомнадзора в Форме уведомления в Роскомнадзор

К категориям субъектов относятся:

•работники организации (в том числе бывшие), их родственники, кандидаты на замещение вакансий, стажеры и практиканты;

•клиенты и контрагенты, являющиеся физическими лицами;

•представители и работники клиентов и контрагентов, являющихся юридическими лицами.

В Политике следует прямо перечислить, ПД каких категорий субъектов и для каких целей вы собираете и обрабатываете. Например, выглядеть это может так.

Общество собирает и хранит персональные данные работников, посетителей сайта, заказчиков, а также персональные данные других субъектов персональных данных, полученные от контрагентов, необходимые для оказания услуги, исполнения соглашения или договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Поскольку содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, имеет смысл перечислить такие цели в рамках каждой категории субъектов. Например, в отношении работников это можно сформулировать так.

Объем обрабатываемых персональных данных работников Общества

При приеме на работу в Общество работник отдела кадров обрабатывает следующие данные работника:

• общие сведения (ф. и. о., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, паспортные данные, адрес места жительства);
• сведения о воинском учете;
• другие данные, необходимые при приеме на работу в соответствии с требованиями трудового законодательства.

В дальнейшем в личную карточку работника по форме Т-2 вносятся сведения:

• о переводах на другую работу;
• об аттестации, повышении квалификации, профессиональной переподготовке;
• о социальных льготах, на которые работник имеет право в соответствии с законодательством.

Цели обработки персональных данных работников Общества:

• ведение кадрового учета;
• учет рабочего времени работников;
• расчет заработной платы работников;
• ведение налогового учета;
• ведение воинского учета;
• представление отчетности в государственные органы;
• архивное хранение данных.

А чтобы исключить риск того, что Роскомнадзор признает объем обрабатываемых персональных данных избыточным, лучше прямо прописать, какие ПД вы обрабатывать не будете. Чаще всего указывают, что «в организации не собираются и не обрабатываются специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений». Если же какие-то из этих персональных данных вы планируете собирать, необходимо описать цели такого сбора. Иначе можно столкнуться с претензией со стороны Роскомнадзора.

Внимание. Для заполнения некоторых разделов Политики (например, «Цели обработки персональных данных» и «Правовые основания обработки персональных данных») может быть полезен сервис «Реестр операторов, осуществляющих обработку персональных данных» на сайте Роскомнадзора Реестр операторов, осуществляющих обработку персональных данных.

6. Принципы и условия обработки персональных данных.

В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

К действиям, совершаемым с ПД, относятся их сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение п. 3 ст. 3 Закона № 152-ФЗ. При составлении Политики следует выбрать те действия, которые совершаются с ПД в вашей организации. Чаще всего в Политике указывают все способы.

Способ обработки ПД может быть автоматизированным (с использованием средств вычислительной техники) и неавтоматизированным (только вручную). В Политике необходимо указать применяемый способ. Обычно указывают сразу оба.

Сроком обработки ПД считается период от начала обработки ПД до ее прекращения.

Начало этого срока для каждой категории субъектов ПД будет свое. Поэтому в Политике лучше разграничить начало течения срока обработки применительно к каждой категории субъектов. Например, началом срока обработки ПД клиентов будет дата заключения договора или дата регистрации на сайте, а датой начала обработки ПД работников — начало действия трудового договора.

Дата прекращения срока обработки персональных данных определяется наступлением одного из следующих событий. Организация прекращает обрабатывать ПД, если:

•достигнуты цели их обработки;

•истек срок действия согласия субъекта или он отозвал согласие на обработку персональных данных;

•обнаружена неправомерная обработка персональных данных;

•прекращена деятельность организации.

Если для обработки персональных данных приходится обращаться к третьим лицам, желательно указать условия передачи им персональных данных или получения этих сведений от них. Таким условием, например, может быть договор поручения на обработку персональных данных. Также нужно прописать:

•цели, с которыми ваша компания передает или получает ПД;

•объем ПД;

•действия по обработке ПД;

•способ защиты ПД.

В Политике желательно отразить право вашей организации передавать без письменного согласия субъекта его персональные данные органам дознания и следствия или иным уполномоченным органам по основаниям, предусмотренным законодательством.

Роскомнадзор рекомендует хранить персональные данные не дольше, чем того требуют цели обработки персональных данных. Поэтому, по его мнению, лучше указать конкретную дату (число, месяц, год) и основание, которое послужит причиной прекращения обработки ПД. Но чаще всего организации прописывают сроки хранения и обработки ПД следующим образом.

В Обществе устанавливаются следующие сроки обработки и хранения персональных данных:

— персональные данные, обрабатываемые в целях основной деятельности, — в течение срока действия гражданско-правового договора и срока исковой давности после его завершения;

— персональные данные, обрабатываемые в связи с трудовыми отношениями, — в течение действия трудового договора и 75 лет после завершения действия трудового договора;

— персональные данные кандидатов на вакантные должности, в том числе и тех, кто не был оформлен на работу, — 1 год с момента вынесения отрицательного решения.

Если вы коммерческая компания, не указывайте такое действие как Обезличивание данных – так как для коммерческих компаний нет описанных регламентов, а значит Обезличивание не законно!

Ни в коем случае не пишите, что обрабатываете персональные данные Бессрочно – так как это нарушение ч.1 ст. 13.11 КоАП, наказание в виде штрафа от 60 000 до 100 000 рублей

7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

В случае неточности персональных данных или неправомерности их обработки оператор должен актуализировать информацию или прекратить обработку ПД ч. 1 ст. 21 Закона № 152-ФЗ. Поэтому закрепите в Политике, что ваша организация обязана внести изменения, уничтожить или блокировать ПД, если субъект предоставит вам сведения о том, что данные устарели, недостоверны или получены незаконно. Также закрепите срок, в течение которого субъект должен сообщить эти сведения. Например, так.

В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Общество обязано внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.

В случае подтверждения факта неточности в персональных данных они подлежат актуализации оператором, а при неправомерности их обработки такая обработка должна быть прекращена.

Условия, при которых ПД подлежат уничтожению, Роскомнадзор рекомендует сформулировать так же, как это сделано в Законе № 152-ФЗ.

Когда цели обработки ПД достигнуты или субъект ПД отозвал свое согласие, персональные данные должны быть уничтожены, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта ПД на основаниях, предусмотренных Законом о ПД или иными федеральными законами;
• иное не предусмотрено иным соглашением между оператором и субъектом ПД.

Помимо этого, добавьте в раздел пункт о том, что «по запросу субъекта персональных данных (его представителя) организация обязуется сообщить о наличии у нее его персональных данных, а также предоставить возможность ознакомления с ними ч. 1 ст. 20 Закона № 152-ФЗ.

Также оператор обязан предоставить субъекту информацию о ходе обработки данных по его запросу. Либо ссылку на статью 20 Федерального закона «О персональных данных». Роскомнадзор рекомендует включить в Политику процедуры реагирования на запросы и обращения субъектов по вопросам неточности данных, незаконной обработки, отзыва согласия и доступа к собственным данным. Также полезно предоставить соответствующие образцы запросов и обращений.

Примечание: если у вас уже есть документ Политика, то обязательно проверьте сроки реагирования, так как срок изменился и теперь Оператор обязан ответить в течение 10 дней на запрос Субъекта Персональных данных

Роскомнадзор вправе проконтролировать исполнение организацией (ИП) обязанности по разработке, изданию и публикации Политики. По его требованию оператор обязан подтвердить принятие этого документа и предоставление доступа к нему ч. 4 ст. 18 Закона № 152-ФЗ.

Если Роскомнадзор установит, что организация не опубликовала или не обеспечила иным способом доступ к своей Политике, ей грозит штраф в размере от 15 000 до 30 000 руб. А ее генерального директора могут оштрафовать на сумму от 3000 до 6000 руб.

У фирмы 1С теперь есть сервис 1С:152DOC - удобный и интуитивно понятый конструктор локально-нормативных актов (ЛНА) для соблюдения требований 152-ФЗ операторами персональных данных (ПДн), с помощью которого можно разработать все эти документы.

Что такое 1С:152DOC и какие задачи он решает?

Специальный сервис-конструктор документации, который позволяет создавать ЛНА в соответствии с законодательством, а также хранить ее и вносить необходимые изменения. Сводит к минимуму трудозатраты на персонал и возможные ошибки при подготовке документации. Обеспечивает строгие соответствия требованиям закона и нормативных актов с учетом постоянно вносимых изменений. Автоматизирует процесс создания ЛНА и документов по эксплуатации СКЗИ в едином пространстве.

Возможности сервиса 1С:152DOC

Встроенный «Мастер-заполнения»

Упрощает процесс заполнения данных. Помогает поэтапно заполнить необходимые сведения об организации, подсвечивает незаполненные поля или те, в которых есть ошибки. Предоставляет данные об организации из официальных источников (ЕГРЮЛ).

Режим «одного окна»

Позволяет хранить данные, формировать новый пакет документов или вносить изменения в действующие документы — все в режиме одного окна.

Выгрузка документов

Автоматически генерирует комплект ЛНА в соответствии с требованиями закона и предоставляет их в редактируемом формате с возможностью выгрузки

Оповещения и обновления

Обновляет документы при изменении требований законодательства РФ и поддерживает их в актуальной форме.

Преимущества сервиса 1С:152DOC

• Сервис не требует установки и позволяет работать из любой точки мира
• Сервис создан и поддерживается ведущими экспертами отечественной ИБ-индустрии
• Подключение к сервису происходит через шифрованный по стандартам ГОСТ канал связи
• Все данные хранятся в геораспределенном ЦОДе на территории РФ в аттестованной информационной системе
• Подготовка документов происходит при поддержке команды специалистов
• Разработку документов можно осуществлять всей командой в едином удобном сервисе
• Все документы обновляются при любых изменениях законодательства РФ
• Профессионально подготовленные документы позволят избежать штрафов от контролирующих органов

Тарифы 1С:152DOC и функционал

Стоимость зависит от выбранного тарифа.