Общие требования к защите персональных данных

Интеркомп напоминает о внутренних документах, которые необходимо разработать и утвердить каждой организации-работодателю в области защиты персональных данных.

1. Положение о персональных данных работников

Данный документ предусмотрен ст. ст. 86-88 Трудового кодекса РФ и должен устанавливать порядок обработки, хранения и использования персональных данных работников, права и обязанности работников в этой области.

В положении или отдельным приказом должно быть назначено лицо, ответственное за обработку персональных данных [1].

2. Согласие на обработку персональных данных

Согласие на обработку персональных данных от физического лица необходимо получать до начала обработки. В определенных случаях согласие не требуется, например, для заключения и исполнения трудового договора[2].

Вместе с тем, если работодатель передает данные работников третьим лицам, согласия рекомендуется получать, несмотря на то, что передача может осуществляться для целей, связанных с исполнением трудового договора.

В отдельных случаях согласие должно быть получено в письменной форме и содержать обязательные элементы [3]. Например, к таким случаям относится получение согласия на трансграничную передачу, если получатель данных не входит в перечень стран с адекватным уровнем защиты данных [4].

3. Поручение оператора

В случае, если работодатель передает персональные данные третьим лицам, например, в банки или страховые компании, ему необходимо дать поручение получателю данных, в котором должны быть определены: перечень действий (операций) с персональными данными, которые будут совершаться, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных [5]. Поручение может содержаться в любом договоре с получателем данных или оформлено отдельным договором.

4. Уведомление Роскомнадзора

По общему правилу перед началом обработки персональных данных необходимо уведомить Роскомнадзор [6]. Закон содержит перечень исключений, когда уведомление не требуется. К такому исключению, в частности, относится обработка персональных данных в соответствии с трудовым законодательством.

В этой связи, как правило, работодателям не требуется уведомлять Роскомнадзор об обработке персональных данных работников.

Ответственность

Законом предусмотрена ответственность за нарушение порядка обработки персональных данных в виде штрафов для должностного лица в размере до 20 000 рублей, для юридического лица в размере до 75 000 рублей [7].

Ответственность может быть наложена отдельно за каждое нарушение в области защиты персональных данных.

Рекомендации

Работодателям рекомендуется:

  • проверить наличие утвержденных документов в области персональных данных;
  • убедиться, что эти документы соблюдаются на практике.

Специалисты Интеркомп будут рады оказать Вам следующие виды услуг:

  • Разработка положения о персональных данных работников;
  • Разработка согласия на обработку персональных данных;
  • Разработка договоров с элементами поручения оператора;
  • Заполнение и подача уведомления Роскомнадзора;
  • Аудит документов в области персональных данных.

[1] ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» 
[2] ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»
[3] ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»
[4] ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»
[5] ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» 
[6] ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» 
[7] ст. 13.11 Кодекса РФ об административных правонарушениях