Как провести обязательный самоаудит персданных
Юлия Денисова
директор по персоналу Музея Победы
Если инспектор из Роскомнадзора придет с проверкой, предоставьте ему документы, которые подтвердят, что работодатель проводил аудит (п. 4 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).
Чтобы провести экспертизу документов по обработке персональных данных, поделите их на четыре группы:
- документы по организации обработки персональных данных;
- документы, которые определяют доступ сотрудников к персданным;
- согласия на обработку и распространение персданных;
- документы, которые определяют порядок хранения и уничтожения персданных.
1. Документы по организации обработки персональных данных. Есть обязательный минимум документов по обработке персональных данных, которые должны быть у всех работодателей (ст. 86 ТК, п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Полный перечень локальных актов, которые должны быть в каждой организации, смотрите в чек-листе ниже. Также смотрите чек-листы, как определить степень вреда и какие документы нельзя хранить в личном деле.
Чек-лист. Какие документы нужны для работы с персданными
Первый документ, который нужно проверить, – это локальный акт, который регулирует вопросы обработки персональных данных сотрудников. Например, положение о работе с персональными данными (ст. 86 ТК). Проверьте, чтобы в документе определили для каждой цели обработки:
Такие требования к содержанию положения о работе с персданными установили в пункте 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ.
Проверьте, чтобы в положении не было условий, которые ограничивают права работников или включают полномочия и обязанности, которых нет в законе. Например, нельзя указывать в положении обязанность работника в течение определенного срока предоставить паспорт, если он поменял фамилию (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Второй документ – это локальный акт, который устанавливает систему защиты персональных данных. Если в общем положении о работе с персональными данными прописали меры защиты, у работодателя должен быть отдельный локальный акт. Например, положение о защите персональных данных. Проверьте, чтобы в документе перечислили меры, которые принимаете, чтобы обеспечить защиту персданных сотрудников и предотвратить их утечку. Например, установка антивирусных программ, назначение ответственных за защиту персданных в организации. Выбор мер защиты зависит от того, каким способом работодатель обрабатывает персданные – вручную или через компьютерные программы. Подробнее о мерах защиты при каждом способе читайте в ответе.
Если обрабатываете персональные данные на официальном сайте организации, то в организации должен быть еще один локальный акт – Политика защиты и обработки персданных. Проверьте, чтобы документ был опубликован на сайте учреждения, если через свой сайт собираете контакты граждан.
Проверьте, чтобы перед началом обработки персональных данных или трансграничной передачи работодатель подал об этом уведомления в Роскомнадзор (ч. 3 ст. 12 Федерального закона от 14.07.2022 № 266-ФЗ, п. 3 Правил, утв. постановлением Правительства от 16.01.2023 № 24).
2. Документы, которые определяют доступ сотрудников к персданным. Работодатель обязан назначить сотрудника, который будет отвечать за организацию обработки персональных данных. Проверьте, чтобы такой сотрудник был назначен отдельным приказом (п. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Посмотрите содержание приказа – в нем должен быть только один ответственный. Роскомнадзор считает нарушением, если в организации назначили несколько ответственных за обработку персданных. Проверьте, чтобы в трудовом договоре или должностной инструкции сотрудника, ответственного за обработку персональных данных, были закреплены соответствующие обязанности.
Посмотрите документы, которые регулируют порядок доступа к персданным. Например, Регламент допуска работников к обработке персональных данных. В нем должен быть указан конкретный перечень сотрудников, которые имеют к доступ к персональным данным других сотрудников. Если отдельного документа нет, то такой перечень должен быть утвержден в отдельном приказе. В нем должны быть указаны должности и фамилии работников, а также закрепленные за ними объекты обработки (п. 13 положения, утв. постановлением Правительства от 15.09.2008 № 687).
Проверьте, чтобы с сотрудниками, которые занимаются обработкой персональных данных или имеют к ним доступ, подписали обязательство о неразглашении (п. 7 ст. 86 ТК). Поскольку такие сотрудники обязаны не разглашать персданные, которые стали им известны в ходе работы.
3. Согласия на обработку и распространение персданных. Проверьте, чтобы с каждым сотрудником учреждения работодатель оформил согласие на обработку персональных данных. Сверьте, чтобы в документе прописали конкретную цель обработки, перечень данных, которые обрабатывают, а также указали, чьи персданные обрабатывают и кто выступает оператором обработки (ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Проверьте, чтобы на форме согласия была подпись работника.
Если обрабатываете биометрические персональные данные сотрудников, проверьте, что упомянули о них в согласиях на обработку. Если нет – чтобы хранить фото и видеозаписи с сотрудником, должно быть отдельное согласие на обработку биометрических данных (ч. 3 ст. 11 Федерального закона от 17.07.2006 № 152-ФЗ).
Убедитесь, что согласия на распространение персданных оформили отдельно от согласий на их обработку. Кроме того, проверьте, что оформляли согласие каждый раз перед тем, как передать данные сотрудника (ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Проверьте в согласиях на распространение персданных сведения об информационных ресурсах работодателя, категории персональных данных, которые работник разрешил передать или установил запреты и ограничения, цели обработки и другие данные.
Используйте сервис проверки документов в Системе Культура, чтобы быстро оценить свой образец согласия на обработку персданных. Сервис проверит, все ли важные условия есть в вашем договоре, приказе, положении, и даст рекомендации, как нужно сформулировать недостающие. По существенным условиям, которые есть в документе, сервис предложит реперные точки, на которые надо обратить внимание.
Загрузите в сервис файл с документом в тестовом формате (не скан или картинку). Размер файла не должен превышать 5 МБ. Затем выберите тип документа и получите результат в виде светофора оценки рисков. В колонке выводятся все условия, которые сервис не нашел в тексте документа:
Вкладка «можно добавить» — условие ...
- категории и перечень персональных данных;
- категории субъектов персональных данных;
- способы и сроки обработки и хранения данных;
- порядок уничтожения персональных данных, когда достигли цели их обработки или наступили иные законные основания.
Такие требования к содержанию положения о работе с персданными установили в пункте 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ.
Проверьте, чтобы в положении не было условий, которые ограничивают права работников или включают полномочия и обязанности, которых нет в законе. Например, нельзя указывать в положении обязанность работника в течение определенного срока предоставить паспорт, если он поменял фамилию (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Второй документ – это локальный акт, который устанавливает систему защиты персональных данных. Если в общем положении о работе с персональными данными прописали меры защиты, у работодателя должен быть отдельный локальный акт. Например, положение о защите персональных данных. Проверьте, чтобы в документе перечислили меры, которые принимаете, чтобы обеспечить защиту персданных сотрудников и предотвратить их утечку. Например, установка антивирусных программ, назначение ответственных за защиту персданных в организации. Выбор мер защиты зависит от того, каким способом работодатель обрабатывает персданные – вручную или через компьютерные программы. Подробнее о мерах защиты при каждом способе читайте в ответе.
Если обрабатываете персональные данные на официальном сайте организации, то в организации должен быть еще один локальный акт – Политика защиты и обработки персданных. Проверьте, чтобы документ был опубликован на сайте учреждения, если через свой сайт собираете контакты граждан.
Проверьте, чтобы перед началом обработки персональных данных или трансграничной передачи работодатель подал об этом уведомления в Роскомнадзор (ч. 3 ст. 12 Федерального закона от 14.07.2022 № 266-ФЗ, п. 3 Правил, утв. постановлением Правительства от 16.01.2023 № 24).
2. Документы, которые определяют доступ сотрудников к персданным. Работодатель обязан назначить сотрудника, который будет отвечать за организацию обработки персональных данных. Проверьте, чтобы такой сотрудник был назначен отдельным приказом (п. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Посмотрите содержание приказа – в нем должен быть только один ответственный. Роскомнадзор считает нарушением, если в организации назначили несколько ответственных за обработку персданных. Проверьте, чтобы в трудовом договоре или должностной инструкции сотрудника, ответственного за обработку персональных данных, были закреплены соответствующие обязанности.
Посмотрите документы, которые регулируют порядок доступа к персданным. Например, Регламент допуска работников к обработке персональных данных. В нем должен быть указан конкретный перечень сотрудников, которые имеют к доступ к персональным данным других сотрудников. Если отдельного документа нет, то такой перечень должен быть утвержден в отдельном приказе. В нем должны быть указаны должности и фамилии работников, а также закрепленные за ними объекты обработки (п. 13 положения, утв. постановлением Правительства от 15.09.2008 № 687).
Проверьте, чтобы с сотрудниками, которые занимаются обработкой персональных данных или имеют к ним доступ, подписали обязательство о неразглашении (п. 7 ст. 86 ТК). Поскольку такие сотрудники обязаны не разглашать персданные, которые стали им известны в ходе работы.
3. Согласия на обработку и распространение персданных. Проверьте, чтобы с каждым сотрудником учреждения работодатель оформил согласие на обработку персональных данных. Сверьте, чтобы в документе прописали конкретную цель обработки, перечень данных, которые обрабатывают, а также указали, чьи персданные обрабатывают и кто выступает оператором обработки (ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Проверьте, чтобы на форме согласия была подпись работника.
Если обрабатываете биометрические персональные данные сотрудников, проверьте, что упомянули о них в согласиях на обработку. Если нет – чтобы хранить фото и видеозаписи с сотрудником, должно быть отдельное согласие на обработку биометрических данных (ч. 3 ст. 11 Федерального закона от 17.07.2006 № 152-ФЗ).
Убедитесь, что согласия на распространение персданных оформили отдельно от согласий на их обработку. Кроме того, проверьте, что оформляли согласие каждый раз перед тем, как передать данные сотрудника (ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Проверьте в согласиях на распространение персданных сведения об информационных ресурсах работодателя, категории персональных данных, которые работник разрешил передать или установил запреты и ограничения, цели обработки и другие данные.
Используйте сервис проверки документов в Системе Культура, чтобы быстро оценить свой образец согласия на обработку персданных. Сервис проверит, все ли важные условия есть в вашем договоре, приказе, положении, и даст рекомендации, как нужно сформулировать недостающие. По существенным условиям, которые есть в документе, сервис предложит реперные точки, на которые надо обратить внимание.
Загрузите в сервис файл с документом в тестовом формате (не скан или картинку). Размер файла не должен превышать 5 МБ. Затем выберите тип документа и получите результат в виде светофора оценки рисков. В колонке выводятся все условия, которые сервис не нашел в тексте документа:
- Красный колокольчик — условие важное и его нет в тексте.
- Зеленая галка — условие важное и оно есть в тексте.
- Серая галка — условие неважное, в тексте есть.
Вкладка «можно добавить» — условие ...
Информационный источник публикации Актион МЦФЭР
Источник изображения Freepik
