Уведомление в Роскомнадзор
Первый документ, который необходимо направить в Роскомнадзор – это уведомление. Оно подтверждает намерение обрабатывать, накапливать, хранить и использовать персональные данные (ПД). Уведомление подает оператор (любое лицо, совершающее действия с личной информацией граждан – субъектов ПД).
Уведомление является обязательным, за исключением случаев, когда персональные данные:
- используются в информационных системах для безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации;
- обеспечивают безопасность в сфере транспортного комплекса.
В остальных случаях о начале работы с ПД необходимо уведомлять Роскомнадзор. Документ составляется в соответствии с приказом от 28.10.2022 № 180.
Помимо уведомления в Роскомнадзор нужно предоставить пакет документов по персональным данным. Сюда входят локальные акты и формы, подписанные непосредственно субъектом ПД.
Согласие на обработку персональных данных
Данный документ обязательно должен быть у каждого оператора персональных данных. Он дает возможность на законных основаниях собирать и использовать сведения о лице. Согласие составляется в соответствии с требованиями, утвержденными приказом Роскомнадзора от 24.02.2021 № 18.
В документе необходимо указать следующую информацию:
- ФИО и контакты субъекта;
- данные об операторе;
- сведения об информационных ресурсах, посредством которых неограниченному кругу лиц предоставляется доступ к персональным данным;
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- период действия согласия.
Важно обратить внимание на то, что 1 сентября 2025 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ. Так, в ч. 1 ст. 9 появилась формулировка: «Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.». В соответствии с данной нормой теперь вышеуказанное согласие запрещено включать в состав каких-либо документов (например: в трудовые договоры, соглашения на оказание услуг, заявления и прочие формы) – оно всегда должно подписываться субъектом отдельно от остальных бумаг.
Согласие на распространение персональных данных
Второе согласие, которое обязательно нужно получить от субъекта, предусмотрено ч. 9 ст. 9 Федерального закона № 152-ФЗ. Требования к нему также утверждены Роскомнадзором еще в 2021 году приказом № 18.
Под ПД, разрешенными для распространения, подразумевается информация, доступ к которой можно предоставлять неограниченному кругу лиц с согласия субъекта.
В соответствии с требованиями, в данном документе указываются те же сведения, что и в согласии на обработку персональных данных. И здесь важно обратить внимание на категории личной информации субъекта, поскольку распространять разрешается только те ПД, которые четко прописаны в согласии.
Образец согласия работника на обработку персональных данных, разрешенных им для распространения, вы можете бесплатно скачать в КонсультантПлюс. Пробный доступ к системе предоставляется бесплатно. Если вы хотите пользоваться системой на постоянной основе, уточните ее стоимость.
Приказ о назначении ответственного лица
В организации, обрабатывающей персональные данные, должен быть назначен человек, отвечающий за соблюдение правил закона «О персональных данных» № 152-ФЗ от 27.07.2006 и требований Роскомнадзора. Ответственность должностного лица фиксируется в приказе, подписываемом руководителем.
Документ должен содержать информацию о должности и ФИО ответственного лица, его обязанностях (контроль за безопасностью, ограничение доступа, своевременное обновление) и дате вступления приказа в силу.
Приказ о допуске
Не менее важный документ предназначен для определения зоны ответственности и работников, которые могут работать с ПД других физлиц. Данный приказ призван ограничить доступ к персональным данным для посторонних людей.
В нем необходимо обозначить:
- список сотрудников, имеющих доступ к ПД;
- категории сведений, с которыми им можно работать;
- конкретные действия (редактирование, просмотр, загрузка в информационную систему и т.д.);
- ответственность за допущенные нарушения.
У каждого ответственного лица может быть допуск к разным категориям персональных данных. Например, менеджеру по продажам достаточно иметь доступ к сведениям, необходимым для заключения договора с покупателями, а начальнику отдела кадров необходимо работать со всеми ПД действующих и потенциальных работников.
Соглашение о неразглашении информации
Защита личной информации от утечек внутри организации тоже имеет большое значение. Для ее обеспечения нужно составить соглашение, которое подписывается работниками и иными лицами, имеющими доступ к ПД.
В документе важно отразить
- список данных, относящихся к персональным,
- обязанности по их защите,
- ответственность за нарушения
- период времени, в течение которого сведения запрещено разглашать, даже если человек, работающий с ПД, уволится из организации.
Правила осуществления внутреннего контроля
В соответствии со ст. 19 ФЗ «О персональных данных» оператор обязан принимать меры по защите конфиденциальной информации от неправомерных действий третьих лиц. Поэтому обязательным локальным актом организации, который потребуется предоставить в Роскомнадзор, являются Правила, включающие:
- периоды проведения проверки соблюдения законодательства о персональных данных;
- перечень лиц, ответственных за проведение аудита;
- порядок действий в случае выявления нарушений;
- обязательные меры по предотвращению утечки данных.
Законодательство не устанавливает периодичность аудита. Однако практика показывает, что проводить его нужно не реже 1 раза в год, чтобы своевременно выявить нарушения, проанализировать ситуацию и выработать эффективные решения по недопущению утечки данных.
Акт об уничтожении персональных данных
ПД не могут храниться в организации постоянно. В любой момент необходимость в них может пропасть, и в этом случае сведения нужно удалить, составив соответствующий акт. Он подтвердит корректность уничтожения сведений и невозможность их восстановления.
В акте нужно прописать дату и место уничтожения ПД, перечень документов (заявления, копии паспортов, трудовых книжек и т.д.) и способ удаления (посредством шредера, сжигания, удаления с электронного носителя). Подписывается документ всеми членами комиссии, проводившей уничтожение, куда обязательно должны быть включены лица, ранее назначенные ответственными за обработку этих персональных данных.
Дополнительные документы
При проведении проверок Роскомнадзор может запросить у оператора иные бумаги, связанные с персональными данными. Сюда относятся:
- правила рассмотрения обращений субъектов, предусматривающие порядок регистрации запросов и предоставления ответов на них;
- приказ об утверждении информационных систем, предназначенных для работы с ПД;
- приказ о хранении бумажных носителей, определяющий порядок хранения и ответственных лиц;
- инструкция по работе с автоматизированными системами, включающая ответственность за нарушения;
- акт оценки потенциального вреда, который может быть нанесен в случае утечки информации или взлома базы данных.
Узнать обо всех мерах, которые необходимы организации-оператору персональных данных для работы с персданными, можно в Готовом решении системы КонсультантПлюс. Откройте систему в режиме бесплатного пробного доступа на 2 дня или подключите ее на платной постоянной основе (стоимость подключения можно узнать здесь).
Итоги
Таким образом, самым важным документом, разрешающим оператору обрабатывать персональные данные субъектов, является уведомление. Вместе с ним в Роскомнадзор требуется подавать ряд иных бумаг, подтверждающих соблюдение законодательства оператором и его ответственное отношение к своей деятельности.