Правильная организация работы с персональными данными — это не только требование закона, но и важный элемент корпоративной культуры. Когда каждый сотрудник знает свои права и понимает ответственность, компания минимизирует риски штрафов, судебных исков и сохраняет доверие коллектива.
Алгоритм работы с персональными данными работников:
1. Создание локальных нормативных актов (ЛНА) по работе с ПДнОператор обязан зафиксировать правила обработки в документальной форме (ч. 1 ст. 18.1 № 152-ФЗ). Минимальный пакет включает:
Политику в отношении обработки ПД;
Положения о порядке получения, хранения, использования и уничтожения ПДн;
Инструкции для сотрудников, имеющих доступ к ПДнн;
Формы согласий и уведомлений.
Важно: ЛНА утверждаются приказом руководителя, а работники знакомятся с ними под подпись. Акты должны регулярно пересматриваться при изменении законодательства или бизнес-процессов.
2. Назначение лица, ответственного за организацию обработки ПДн
Согласно ч. 1 ст. 22.1 № 152-ФЗ, каждый оператор обязан назначить ответственного. Это не номинальная должность, а сотрудник с реальными полномочиями, знаниями в области 152-ФЗ, ТК РФ и информационной безопасности.
Рекомендация: Издать приказ, скорректировать должностную инструкцию, обеспечить регулярное повышение квалификации. Ответственный координирует все этапы алгоритма и выступает точкой контакта с контролирующими органами.
3. Разграничение прав доступа к ПДн
Принцип «минимально необходимого доступа» закреплён в ст. 18, 19 № 152-ФЗ и Постановлении Правительства РФ № 1119. Доступ предоставляется только тем сотрудникам, которым ПДн необходимы для исполнения трудовых функций.
Практика: Составить матрицу доступа, настроить ролевую модель в ИТ-системах, вести журнал выдачи/изъятия прав, проводить пересмотр не реже 1 раза в год.
4. Принятие мер по обеспечению защиты ПДн
Защита должна быть комплексной: организационной и технической (ч. 1 ст. 19 № 152-ФЗ).
Организационные: обучение персонала, подписание обязательств о конфиденциальности, регламент реагирования на инциденты, запрет на использование личных устройств без MDM/шифрования.
Технические: классификация информационных систем (УЗ-1–УЗ-4), антивирусная защита, контроль целостности, резервное копирование, логирование действий.
Нюанс: Отсутствие мер защиты ─ одно из оснований для привлечения к ответственности даже без факта утечки.
5. Получение согласия на обработку и распространение ПДн
Частая ошибка: требовать согласие на всё подряд. Для исполнения трудового договора, ведения кадроучёта, начисления зарплаты и обеспечения безопасности согласие не требуется (п. 5 ч. 1 ст. 6 № 152-ФЗ).
Согласие необходимо только для:
передачи данных третьим лицам (например, ДМС, фитнес-программы, маркетинг);
обработки специальных или биометрических категорий;
распространения ПДн (публикация на сайте, в корпоративных СМИ, соцсетях).
Требования к согласию: конкретное, информированное, сознательное, оформленное отдельно, с возможностью отзыва без негативных последствий.
6. Оценка вреда, который может быть причинён субъектам ПДн
Оценка вреда ─ обязательный элемент внутреннего контроля (ч. 1 ст. 18.1 № 152-ФЗ, методика Роскомнадзора). Проводится до начала обработки новых категорий данных или внедрения новых ИТ-решений.
Что фиксировать: характер данных, каналы передачи, вероятные угрозы, уровень потенциального ущерба правам и свободам работников, запланированные меры снижения рисков. Документ хранится в архиве оператора и предоставляется по запросу регулятора.
7. Контроль сроков хранения документов
ПДн не должны храниться дольше, чем этого требуют цели обработки или законодательство (ч. 5 ст. 5, ч. 1 ст. 21 № 152-ФЗ). Сроки определяются ТК РФ, Налоговым кодексом, Перечнем типовых управленческих документов (Росархив), а также внутренними ЛНА.
Практика: внедрить график уничтожения/архивирования, составлять акты об уничтожении, настраивать автоматическое удаление в ИС. Хранение «на всякий случай» ─ прямое нарушение закона.
8. Внутренний контроль (аудит) соответствия обработки ПДн законодательству
Согласно ст. 22.1 № 152-ФЗ, оператор обязан проводить внутренний контроль не реже 1 раза в год (для определённых категорий операторов ─ чаще). Аудит включает проверку ЛНА, журналов доступа, согласий, журналов инцидентов, соответствия ИС требованиям безопасности.
Результат: отчёт с выявленными нарушениями, план корректирующих мероприятий, фиксация исполнения. Документы аудита ─ первое, что запрашивает Роскомнадзор при проверке.
9. Взаимодействие с Роскомнадзором
Включает:
уведомление об обработке ПДн (ст. 22 № 152-ФЗ) и своевременное внесение изменений;
исполнение предписаний и запросов регулятора;
уведомление об инцидентах утечки в установленные сроки (в т.ч. в течение 72 часов по новым правилам уведомления);
размещение политики обработки на сайте (при наличии).
Рекомендация: назначить канал официальной коммуникации, вести реестр обращений, отслеживать изменения в подзаконных актах и разъяснительных письмах ведомства.
10. Взаимодействие с субъектами персональных данных
Работники имеют право на доступ к своим данным, их уточнение, блокирование, уничтожение и отзыв согласия (ст. 14–17 № 152-ФЗ). Оператор обязан отвечать на запросы в течение 30 дней, предоставлять информацию в понятной форме и не создавать искусственных барьеров.
Бизнес-преимущество: прозрачные каналы коммуникации снижают количество жалоб в Роскомнадзор и трудовые споры, формируют культуру доверия внутри компании.
Построение работы с ПДн по данному алгоритму ─ это не разовое мероприятие, а непрерывный управленческий процесс. Правильно выстроенная система:
- снижает риск административных штрафов
- защищает компанию от репутационных потерь и исков работников
В следующем выпуске: «Временный перевод сотрудника к другому работодателю на период простоя»
Информация подготовлена Правовой инспекцией труда Псковского областного Совета профессиональных союзов на основе Трудового кодекса Российской Федерации и актуальных изменений в законодательстве.
Телефон: 8 (8112) 72-74-57
- Комментарии
Загрузка комментариев...
