Разработка документов по персональным данным в 2023 году. Подготовка документов по защите персональных данных
Ни дня без инструкций
×
Поиск
Ни дня без инструкций
Распечатать
Кадры

Документы по персональным данным: сроки подготовки и кто за них отвечает

Требование о разработке документов по защите персональных данных знают все. Но кто и в какие сроки их обязан разработать, ответят единицы. Все потому, что четких требований законодатель не установил.

Содержание

Какие НПА обязывают иметь документы по персданным

Независимо от формы собственности и вида деятельности любая организация и ИП сталкивается с персональными данными (ПД), их сбором, обработкой, хранением. Чтобы владельцы этих сведений не пострадали, власти утвердили пакет нормативных актов, регулирующих разработку документации по персданным сторонней организацией или самим оператором.

Основные НПА, которые вошли в этот пакет:

  • Федеральный закон № 152-ФЗ от 27.07.2006 — основной закон о персональных данных, способах их обработки, требованиях к владельцам, операторам, контролирующим органам;
  • Трудовой кодекс РФ;
  • Постановление Правительства РФ № 1046 от 29.06.2021, где содержатся требования к контролю за обработкой ПД;
  • ПП РФ № 1119 от 01.11.2012 и Приказ ФСТЭК № 21 от 18.02.2013 оговаривают требования к защите ПД, если они обрабатываются в информационных системах. Дополнительно для разработки локального правового акта, определяющего угрозы безопасности персданных, рекомендуем изучить утвержденную ФСТЭК РФ 15.02.2008 базовую модель таких рисков и методику оценки угроз (утв. ФСТЭК РФ 05.02.2021). Полезным будет и Приказ ФСБ РФ № 378 от 10.07.2014, где рассказано о мерах безопасности персональных данных, если они обрабатываются в информационных системах с использованием криптографических средств защиты;
  • ПП РФ № 687 от 15.09.2008 прописывает нюансы работы с ПД без средств автоматизации;
  • рекомендации Роскомнадзора по составлению политики в отношении персданных, утв. 27.07.2017.
ВАЖНО!
Перечисленные НПА — основные, но не единственные. В некоторых областях есть и более детальные разъяснения и требования. Но даже если при подготовке документов по защите персональных данных вы ориентируетесь на наш список, учитывайте, что законодательство постоянно меняется, берите за основу только действующие редакции законов, постановлений и приказов.
Подробнее: какие документы регулируют защиту и обработку персональных данных

Кто отвечает за подготовку документации по ПД

В законе № 152-ФЗ не уточняется, кто отвечает за разработку пакета документов по персональным данным: кадровик или бухгалтер, юрист или сам руководитель. Конкретное лицо определяет руководство. Допустимо сформировать отдельное подразделение, которое займется этим направлением. В таком случае ответственным лицом станет его начальник.

В любом случае в законе прописаны требования к лицу, ответственному за организацию обработки ПД. В частности, такой работник обязан:

  • контролировать соблюдение оператором законодательства о ПД;
  • информировать о требованиях закона, нормах, установленных во внутренней документации;
  • принимать, обрабатывать, контролировать прием и обработку обращений и запросов от субъектов персональных сведений, реагировать на них в установленные сроки.

Эксперты КонсультантПлюс разобрали, какие существуют требования к обработке персональных данных работников организации. Используйте эти инструкции бесплатно.

Получите бесплатный доступ, чтобы прочитать.

В какие сроки подготовить документы по ПД

И руководителю, и тому лицу, кто должен заниматься разработкой документов по персональным данным, важно понимать, в какие сроки необходимо обзавестись документацией на предприятии. В законе № 152-ФЗ сказано, что еще до начала обработки ПД оператор обязан подать уведомление в Роскомнадзор о ее начале (намерении ее начать), целях и способах получения и работы с личной информацией граждан. На основании такого уведомления оператор попадает в специальный реестр. Если что-то меняется, в ведомство подают уведомление об изменениях. Поля этих уведомлений заполняют таким образом, будто у оператора уже имеется вся требуемая документация. Но какие-либо сроки подачи уведомлений или разработки документов не установлены.

Форма уведомления о начале обработки персональных данных, стр.1
Форма уведомления о начале обработки персональных данных, стр.2
Может пригодиться: как оформить согласие на обработку персональных данных

По логике закона, компания еще не начала работать, у нее еще нет ни работников, ни клиентов, ни их персданных, но уже есть назначенное ответственное лицо и утвержденная документация. Ситуация странная и противоречивая. Осознавая это, власти пока не вводят ограничений по срокам для разработки необходимых бумаг. Единственное, что есть, — штраф за непредоставление уведомления и передачу неполных или неверных сведений по ст. 19.7 КоАП РФ. Его размер для должностных лиц не превышает 500 рублей, а для организаций — 5000 рублей.

Наказание применят только после проверки сотрудников Роскомнадзора. Но если проверяющие выявят и отсутствие необходимых документов, а не только отсутствие в реестре операторов из-за неподачи уведомления, то санкции будут уже с учетом ст. 13.11 КоАП РФ. А размеры штрафов по ней выше.

Надо знать: ответственность за избыточный сбор персданных
Об авторе статьи
Мотрой Алена
Мотрой Алена
Распечатать
Задавайте вопросы, и мы дополним статью ответами и пояснениями!
Поделитесь с друзьями:
Вместе с эти материалом часто ищут:
Кадры
Для чего в школе собирают персональные данные детей

Любая обработка персональных данных, детей в школе, в том числе, происходит на основе соответствующего федерального закона и других нормативных актов. И нюансов в этом деле множество. Разбираемся.

17 мая 2023
Кадры
Инструкция: увольнение в связи с приговором суда

Совершение преступления повлечет не только наступление ответственности по Уголовному кодексу, но иногда и потерю работы. Разберем, как произвести увольнение по приговору суда и в какой срок.

29 мая 2023
Кадры
Инструкция: отказываемся от обработки персональных данных в школе

В последние годы практически при каждом обращении в какое-либо учреждение гражданам перед оказанием услуг дают на подпись документ, подписанием которого он соглашается на обработку своих личных данных. Не являются исключением и образовательные учреждения. На вопрос родителей, что будет, если отказаться от подписи, администрация образовательных учреждений грозит отказом в предоставлении образовательных услуг. Разберемся, возможен ли отказ от обработки персональных данных в школе, как его оформить и какие возникнут последствия.

29 мая 2023
Кадры
Разрешено ли совместителя отправлять в командировку

Совместительство означает, что у работника есть еще одно рабочее место, являющееся для него основным. Что делать, если производственная необходимость вынуждает отправить совместителя в другое город? Возможна ли командировка совместителя? Посмотрим, что говорит законодательство.

31 мая 2023