- Локальные акты при обработке персональных данных: что обязаны иметь компания и ИП
- Правовая база: какими законами руководствоваться
- Обязанности организации и ИП: в чём разница
- Обязательный перечень локальных актов
- Политика обработки персональных данных
- Положение об обработке и защите персональных данных
- Технические и организационные требования
- Работа с сотрудниками: подписи и обязательства
- Ответственность за нарушения
- Практический чек-лист: с чего начать
- Вывод
Локальные акты при обработке персональных данных: что обязаны иметь компания и ИП #
Локальные акты при обработке персональных данных — это обязательный пакет внутренних документов, без которого ни одна организация, ни один индивидуальный предприниматель не вправе легально работать с персданными своих сотрудников, клиентов и контрагентов. Требования установлены прежде всего Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также главой 14 Трудового кодекса РФ.
В этой статье мы разберём: какие документы нужны, чем отличаются обязанности организации и ИП, какая ответственность грозит за нарушения и как правильно выстроить систему защиты персональных данных внутри компании.
Правовая база: какими законами руководствоваться #
Основной нормативный документ — Федеральный закон № 152-ФЗ «О персональных данных». При организации работы с персональными данными ключевое значение имеют статьи 18, 18.1, 19 и 22.1 этого закона. Помимо этого, если в компании есть наёмные работники, необходимо учитывать главу 14 Трудового кодекса РФ, которая также предъявляет требования к локальным актам в данной сфере.
Важно понимать: сам 152-ФЗ не является правовым основанием для обработки персональных данных — он лишь устанавливает правила. Основанием служат другие нормативные акты. Например, обработка персданных работников ведётся на основании Трудового кодекса, поскольку именно трудовое законодательство обязывает работодателя собирать эти сведения.
К подзаконным актам, которые необходимо учитывать при составлении локальных документов, относятся:
- Постановление Правительства РФ № 1119 — требования к защите персональных данных при обработке в информационных системах;
- Постановление Правительства РФ № 512 — требования к материальным носителям биометрических персональных данных;
- Приказ Роскомнадзора № 179 — порядок уничтожения персональных данных;
- Приказ ФСБ № 378 — требования к безопасности носителей персональных данных, в том числе съёмных.
Обязанности организации и ИП: в чём разница #
Закон разграничивает обязанности юридических лиц и индивидуальных предпринимателей. Три задачи возложены исключительно на организации:
- Назначить ответственного за обработку персональных данных — должностное лицо, которое коммуницирует с Роскомнадзором и другими операторами, инструктирует сотрудников, разрабатывает и актуализирует локальные акты. Назначение оформляется соответствующим приказом.
- Разработать политику в отношении обработки персональных данных.
- Сделать эту политику общедоступной — разместить на сайте, в социальных сетях, в корпоративной информационной системе или ином доступном ресурсе.
Индивидуальные предприниматели данные три обязанности не несут — закон их на ИП не возлагает. Тем не менее всё остальное — ознакомление сотрудников с локальными актами, получение согласий субъектов, обеспечение программно-аппаратной защиты, взаимодействие с Роскомнадзором, хранение баз данных в РФ — обязательно как для организаций, так и для ИП.
Обязательный перечень локальных актов #
Ориентиром для формирования пакета документов служит письмо Минкомсвязи России. С учётом требований закона рекомендуется иметь не менее семи базовых документов:
| # | Документ | Для кого обязателен |
|---|---|---|
| 1 | Политика оператора в отношении обработки персональных данных | Организация (обязательно); ИП (рекомендуется) |
| 2 | Положение об обработке персональных данных и их защите | Организация и ИП |
| 3 | Обязательство о соблюдении режима конфиденциальности персональных данных | Организация и ИП |
| 4 | Перечень должностей сотрудников, участвующих в обработке персональных данных | Организация и ИП |
| 5 | Приказ о назначении ответственного лица за обработку персональных данных | Организация |
| 6 | Приказ об утверждении мест хранения носителей персональных данных | Организация и ИП |
| 7 | Положение о внутреннем контроле и внутреннем аудите в сфере обработки персональных данных | Организация и ИП |
Это минимальный джентльменский набор. В зависимости от специфики деятельности компании перечень может быть расширен. Ряд документов допускается объединить в один.
Политика обработки персональных данных #
Политика — ключевой и обязательный для организаций документ. В ней должны быть отражены:
- категории обрабатываемых персональных данных;
- правовые основания для их обработки;
- перечень действий с данными: сбор, систематизация, хранение, изменение, обезличивание, уничтожение;
- сроки и место хранения персональных данных;
- порядок обращения субъекта за информацией о его данных;
- порядок отзыва согласия субъектом;
- случаи, когда согласие субъекта не требуется.
Политика обязательно размещается там, где происходит сбор данных: если данные собираются через сайт — на этом сайте.
⚠️ Внимание: За отсутствие опубликованной политики обработки персональных данных предусмотрен штраф по ч. 3 ст. 13.11 КоАП РФ: для должностного лица — от 6 000 до 12 000 рублей, для организации — до 60 000 рублей. Нарушение легко выявляется Роскомнадзором дистанционно, без проверки на месте.
Положение об обработке и защите персональных данных #
Это более широкий документ, который включает вопросы взаимодействия с Роскомнадзором и иными операторами, порядок обращения субъектов за защитой своих прав, контроль законности обработки персданных, а также организацию программно-аппаратной защиты.
Оба документа — Политика и Положение — должны быть доведены до каждого работника под роспись согласно п. 8 ст. 86 Трудового кодекса РФ. Это можно сделать как в бумажном виде, так и через системы кадрового электронного документооборота.
Технические и организационные требования #
Согласно Приказу ФСБ № 378:
- съёмные носители персональных данных должны храниться в сейфах с опечатанной замочной скважиной либо с кодовым замком;
- необходимо вести журнал учёта носителей персональных данных с использованием заводских серийных номеров;
- должен быть утверждён перечень лиц, имеющих право доступа к персданным и аппаратным средствам их обработки.
Компания обязана использовать только лицензионное ПО и сертифицированные средства защиты информации. Базы данных с персональными данными должны храниться исключительно на территории Российской Федерации.
Работа с сотрудниками: подписи и обязательства #
С каждым сотрудником, имеющим доступ к персональным данным других лиц (кадровики, бухгалтеры, менеджеры, охрана и др.), необходимо:
- заключить обязательство о соблюдении режима конфиденциальности персональных данных;
- ознакомить под роспись с локальными актами (ст. 88 ТК РФ);
- разъяснить, что использование персданных за пределами служебных целей может повлечь дисциплинарную ответственность вплоть до увольнения, а в ряде случаев — уголовную.
Минтруд России в письме 2024 года подтвердил: увольнение сотрудника за нарушение режима персональных данных правомерно при условии, что обработка персданных входила в его должностные обязанности.
Ответственность за нарушения #
- Ч. 3 ст. 13.11 КоАП РФ (отсутствие публичной политики): штраф на должностное лицо — 6 000–12 000 руб., на организацию — до 60 000 руб.;
- Другие части ст. 13.11 КоАП РФ — санкции до нескольких миллионов рублей за незаконную обработку, передачу данных без согласия и т. д.;
- Уголовная ответственность (ст. 137, 272 УК РФ) — за неправомерное разглашение или неправомерный доступ к персональным данным.
Практический чек-лист: с чего начать #
- ☐ Назначить ответственного за обработку персональных данных, оформить приказ.
- ☐ Разработать Политику обработки персональных данных и опубликовать её на сайте.
- ☐ Разработать Положение об обработке и защите персональных данных.
- ☐ Ознакомить всех работников с обоими документами под роспись.
- ☐ Составить перечень должностей сотрудников, допущенных к обработке персданных.
- ☐ Подписать с указанными сотрудниками обязательства конфиденциальности.
- ☐ Издать приказ об утверждении мест хранения носителей персональных данных.
- ☐ Разработать Положение о внутреннем контроле и аудите.
- ☐ Обеспечить техническую защиту: антивирусы, защищённые каналы, сейфы, журнал учёта носителей.
- ☐ Убедиться, что базы данных хранятся только на серверах в РФ.
- ☐ Уведомить Роскомнадзор об обработке персональных данных.
Вывод #
Локальные акты при обработке персональных данных — это не бюрократическая формальность, а реальный инструмент защиты как субъектов персональных данных, так и самой компании. Требования 152-ФЗ существуют уже давно, и проверяющие органы вправе применять санкции в любой момент.
