Согласно требованиям ст.87 ТК РФ каждый работодатель обязан утвердить порядок хранения и использования персональных данных своих работников. Для этого необходимо утвердить соответствующий документ, например, Положение о персональных данных и их защите (политику).

Положение о персональных данных и их защите

Это локальный нормативный акт, который регламентирует порядок получения, использования и хранения персональных данных сотрудников работодателя (общие положения). Форма Положения о персональных данных законом не утверждена, поэтому его придется составить самостоятельно. Закон не содержит четкого перечня сведений, которые должны содержаться в этом документе, конкретные положения придется определить самостоятельно. Положение является общим документом, определяющим политику организации в области обработки персональных данных. Рекомендуем включить в него разделы, содержащие информацию:

• цель и задачи организации в области обработки и защиты персональных данных;
• понятие и состав персональных данных (Перечень персональных данных может быть отдельным приложением);
• порядок сбора, обработки, использования и передачи персональных данных;
• на каких носителях (электронных, бумажных) и где они хранятся;
• права работника, связанные с защитой его персональных данных;
• обязанности работодателя-оператора персональных данных;
• перечень мер по защите персональных данных работника от неправомерного их использования или утраты;
• ответственность работодателя за несанкционированный доступ и разглашение персональных данных сотрудника;
• перечень лиц, имеющих доступ к персональным данным (это может быть отдельное приложение).

Приведенный перечень сведений является лишь ориентировочным и может быть использован в качестве примера. В Положении о персональных данных рекомендуется максимально подробно прописать все аспекты их получения, хранения и обработки.

Данное Положение следует утвердить приказом руководителя организации или иного уполномоченного работодателем лица (например, заместителя генерального директора, директора по персоналу и т.п.). При наличии в организации представительного органа работников (например, профсоюза) локальные акты должны приниматься с учетом его мнения в порядке ст.372 ТК РФ.

Помимо Положения о персональных данных у работодателя должны быть:

• Политика обработки персональных данных. Она может быть оформлена в виде отдельного документа или закреплена в Положении о персональных данных (ч.2 ст. 18.1 Закона № 152-ФЗ, письмо Роскомнадзора от 29.05.2023 № 08-44457);
• Приказ о назначении ответственного за организацию обработки персональных данных у работодателя (п.1 ч.1 ст. 18.1, ч.1 ст. 22.1 Закона № 152-ФЗ).

Иные документы

Закон не конкретизирует перечень документов, которые следует составить работодателю, обрабатывающему персональные данные сотрудников. Помимо общего Положения о персональных данных (на основании №266-ФЗ от 14.07.2022г., ПП РФ №1119 от 01.11.2012г., ПП РФ №687 от 15.09.2008г., Приказа ФСТЭК России №21 от 18.02.2013г., Приказа ФСБ России №378 от 10.07.2014г., Методических рекомендаций по разработке нормативно правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утв. №149/7/6-432 от 31.03.2015, Приказа ФСБ России №66 от 09.02.2005г., Методики оценки угроз безопасности информации, утвержденной ФСТЭК России от 05.02.2021, ПП РФ №211 от 21.03.2012г., Приказов РКН №178 от 27.10.2022г. и №179 от 28.10.2022г.) рекомендуем составить также следующие документы (перечень является примерным и может быть расширен в зависимости от рода деятельности организации/учреждения):

• Приказ о назначении ответственных исполнителей за организацию защиты ПДн;
• Приказ о назначении комиссии для проведения работ по защите ПДн;
• Приказ о назначении ответственных исполнителей за эксплуатацию СКЗИ (утверждении функциональных обязанностей);
• Приказ об утверждении должностных лиц, допущенных к работе с ПДн;
• Приказ об утверждении должностных лиц, ответственных за хранение материальных носителей;
• Акт определения уровня защищенности ПДн;
• Акт классификации АС;
• Перечень ПДн субъектов ПДн;
• Перечень ИСПДн;
• Частное техническое задание;
• Частная модель угроз безопасности (ФСТЭК, ФСБ);
• Политика удаленного доступа; 
• Правила рассмотрения запросов  субъектов ПДн (Порядок действия с обращениями субъектов персональных данных);
• Правила осуществления внутреннего контроля соответствия  обработки ПД требованиям к ЗПДн;
• Правила оценки вреда субъктам ПДн;
• Разъяснения субъекту ПДн  последствий  отказа предоставить свои ПДн;
• Меры обеспечения сохранности материальных носителей ПДн;
• Инструкция ответственного за организацию обработки  ПДн;
• Инструкция администратора информационной безопасности;
• Инструкция пользователя  по работе с ПДн;
• Инструкция  по допуску лиц в помещения где ведётся обработка ПДн;
• Инструкция по проведению антивирусного контроля;
• Инструкция  по безопасности эксплуатации сертифицированных средств криптографических  ЗИ  (СКЗИ);
• Инструкция о порядке резервирования и восстановления  работоспособности  ТС и ПО;
• Инструкция по смене паролей;
• Инструкция по заполнению журналов;
• Пользовательское соглашение для сайта (в случае сбора данных через сайт организации/учреждения);
• Положение о системе видеонаблюдения;
• Инструкция по учету и хранения материальных носителей;
• Порядок доступа работников в помещения в рабочее и нерабочее время, а также при возникновении внештатной ситуации;
• Инструкция о порядке проведения внутренних расследований нарушения законодательства, допущенных при обработке персональных данных;
• Акт оценки вреда субъектам ПДн;
• Уведомление  в РОСКОМНАДЗОР (внесение изменений);                
• Приказа об утв. форм акта на списание и уничтожение  электронных носителей информации, акта на уничтожение материальных носителей (в электронном виде);
• Декларация соответствия  ИСПДн;
• План мероприятий по обеспечению защиты ИС.

Ознакомление сотрудников с Положением о персональных данных и другими документами

В соответствии с требованиями п.8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены с документами, устанавливающими порядок обработки персональных данных, а также с правами и обязанностями в этой области. Поэтому с вышеперечисленными документами следует ознакомить сотрудников под подпись.

При этом закон не устанавливает конкретной формы ознакомления – работодатель вправе сам решить, каким образом фиксировать это в своих документах. Например, распространена практика оформления журнала ознакомления с локальными нормативными актами. Для подтверждения факта ознакомления работник должен поставить подпись в соответствующей графе. Возможны и иные варианты, например, подтверждение в виде отдельного документа, включение соответствующего пункта в трудовой договор и т.д.

Публикация информации о порядке обработки персональных данных

Согласно закону операторы персональных данных обязаны опубликовать или иным способом предоставить всем желающим неограниченный доступ к документу, определяющему их политику в отношении обработки персональных данных. Если сбор персональных данных осуществляется через интернет, оператор обязан опубликовать такой документ в интернете (например, на своем сайте) (ч. 2 ст. 18.1 Закона №152-ФЗ).  Эту информацию можно разместить, например, на информационном стенде, доступном всем желающим, на интернет-сайте и т.д.

Исполнение этих требований может быть проверено Роскомнадзором в любое время. Если от него поступил соответствующий запрос, необходимо представить указанные выше документы, а также (при необходимости) доказательства выполнения требований закона о публикации таких документов (ч. 4 ст. 18.1 Закона № 152-ФЗ).