Закон предъявляет достаточно жесткие требования к работе с персональными данными, в том числе данными работников, и предусматривает серьезную ответственность за их нарушение. С 1 сентября 2022 года эти требования были распространены на всех работодателей.
Предлагаем провести ревизию документации по персональным данным, оформить недостающие бумаги, проверить на соответствие действующим правилам имеющиеся ЛНА и шаблоны документов и доработать их, если потребуется.
В этом вам помогут примеры и образцы от «КонсультантПлюс», посмотреть и скачать которые вы можете бесплатно, оформив пробный доступ к системе. Смотрите нужный документ по соответствующей ссылке/картинке ниже или поищите другой подходящий вам образец в Подборке форм по персональным данным.
Итак, прежде всего, в организации должен иметься локальный нормативный акт по персональным данным.
ВАЖНО! Рекомендации от «КонсультантПлюс»
Как правило, организации издают положение о персональных данных или иной локальный нормативный акт по вопросам их обработки. В таком документе описывают все связанные с ней действия (хранение, использование данных и т.д.). Для каждой цели обработки документ должен определять в том числе категории и перечень персональных данных, способы, сроки их обработки и хранения и др. (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных).
Также создайте документ, определяющий политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Его структуру и содержание вы можете установить самостоятельно (Письмо Роскомнадзора от 19.10.2021 N 08-71063). При этом целесообразно руководствоваться Рекомендациями, изданными Роскомнадзором.
Подробнее читайте в Готовом решении, пробный доступ бесплатный.
См. образец Положения об обработке и защите персональных данных работников от «КонсультантПлюс»:
С таким положением работники должны быть ознакомлены под роспись. На практике для этого составляют специальный Лист ознакомления.
Что значит обработка персональных данных, см. здесь.
Во-вторых, в организации должны быть назначены лица, ответственные за работу с персональными данными. Для этого издают соответствующие приказы:
В третьих, с 1 сентября всем работодателям необходимо числиться в реестре операторов персональных данных Роскомнадзора. Для этого в РКН подается Уведомление о намерении осуществлять обработку персональных данных (если не регистрировались ранее):
В какой срок нужно подать уведомление, см. здесь.
И наконец, от каждого работника в обязательном порядке должно быть получено Согласие на обработку персональных данных:
Это минимальный набор документов, необходимых для работы с персональными данными сотрудников. Больше документации см. в Подборке форм от «КонсультантПлюс». Напоминаем, смотреть любые материалы системы можно бесплатно по пробному демо-доступу.
Также учитывайте, что с 01.03.2023 Роскомнадзор ввел требования к подтверждению уничтожения персональных данных. О них мы рассказывали здесь.
Читайте также про проверки Роскомнадзора по защите персональных данных.