Какие изменения нужно внести во внутренние документы по 152-ФЗ в 2025 году
Закон 152-ФЗ коснулся практически всех работодателей без исключения. Коммерческие и некоммерческие компании, получающие личную информацию обычных граждан, обязаны разработать и утвердить полный комплект внутренней документации по работе с такими данными. Более того, бизнес должен постоянно отслеживать изменения в законодательстве и приводить свои документы в соответствие с текущими нормативными требованиями.
Рассмотрим, какие внутренние акты по персданным (персональным данным) могут потребовать актуализацию по 152-ФЗ.
Содержание статьи
Коротко об обязанностях по уведомлению РКН
Всем операторам необходимо утвердить собственную политику по работе с персданными и опубликовать этот документ (обеспечить к ней неограниченный доступ). В противном случае штраф составит 30 000-60 000 ₽.
Юрлица, как операторы персданных, дополнительно обязаны разработать локальные акты:
a) по работе с данными своих сотрудников и клиентов;
b) по защите полученных от граждан сведений.
Эти документы указываются оператором в уведомлении о начале работы с персданными как правовое основание для обработки личных сведений граждан.
Также операторы-юрлица должны обязательно назначить ответственного за работу с персданными.
Сведения об ответственном лице указываются в уведомлении РКН. При смене ответственного лица в Роскомнадзор подается корректирующее уведомление (информационное письмо).
Про требования к внутренним документам индивидуальных предпринимателей в законе ничего конкретного не сказано.
Пакет локальных документов по персданным каждый работодатель устанавливает самостоятельно, исходя из требований закона и особенностей своей работы.
Определенные внутренние документы по персданным могут потребовать согласования с профсоюзом.
Если РКН в результате проверки выявит несоответствие внутренней документации требованиям законодательства, оператор получит крупные штрафы.
Стандартный набор внутренних документов по персданным
Основные обязанности операторов персданных устанавливаются федеральным законом №152. Во исполнение указанных обязанностей операторы должны осуществлять комплекс достаточных мероприятий. Что именно следует сделать, каждый оператор решает самостоятельно с учетом законодательных требований.
В статье 18.1 приводится такой список необходимых мероприятий.
- Операторы-юрлица (ООО, АО, НКО) должны подготовить и утвердить локальные акты по следующим направлениям:
- назначение ответственного за работу с персданными лица;
- политика (принципы) обработки персданных;
- правила работы с персданными своих сотрудников и клиентов;
- порядок защиты полученных от граждан сведений.
- Сотрудники оператора, работающие с персданными, должны быть ознакомлены с локальными документами и правилами обработки данных по 152-ФЗ.
- Все операторы обязаны разместить на сайте (опубликовать) свою политику в отношении работы с личной информацией субъектов.
- Также операторы должны оценивать потенциальный вред, который могут получить субъекты при несоблюдении 152-ФЗ.
- Каждый оператор на регулярной основе должен проводить аудит и проверять соответствие применяемых мер требованиям закона и собственным локальным документам.
Комплект локальных документов по работе с персональными данными должен отражать все вышеперечисленные меры, которые осуществляет оператор. Также в документах непременно должны быть прописаны конкретные цели сбора личных сведений, категории субъектов и их данных, способы работы с такой информацией, порядок ее защиты, сроки хранения и правила уничтожения. Еще оператору необходимо продумать мероприятия по выявлению нарушений и устранению наступивших последствий.
Таким образом, стандартный перечень документации по персданным обычно включает:
- политику оператора в отношении обработки персональной информации;
- положение о правилах работы с личными данными сотрудников и иных граждан (клиентов);
- документ, перечисляющий способы защиты личной информации и действия в случае ее компрометации (положение);
- приказ об определении ответственных лиц,
- должностные инструкции ответственных сотрудников, имеющих доступ к персданным;
- приказы или иные акты об ограничении доступа к персданным, об организации мест хранения этих данных;
- регламенты, инструкции или иные документы, утверждающие план внутреннего контроля, порядок уничтожения персданных, правила рассмотрения запросов и др.;
- формы различных документов (акт об уничтожении персданных, обязательства о неразглашении, согласия субъектов, журналы инструктажа/учета и др.).
Что должно быть отражено в локальных актах по 152-ФЗ
Во-первых, оператор персданных должен проверить, чтобы ни один локальный документ не содержал пункты, которые могут ограничить права граждан или, наоборот, предоставить оператору излишние полномочия. Например, незаконно выяснять при найме сотрудника, какого он вероисповедания. Недопустимо отказывать в обслуживании потребителю, который не захотел предоставить свою биометрию.
Во-вторых, теперь операторы обязаны оформить с каждым субъектом отдельные согласия:
- на получение и обработку персданных;
- на публикацию этих данных (распространение среди неопределенного числа лиц).
Согласие на распространение персданных нужно оформлять, даже если эти сведения получены из общедоступного источника, например, если оператор взял их из соцсетей. При этом субъекты вправе устанавливать определенные ограничения на использование своих данных, а также отзывать оформленные ранее согласия.
В-третьих, во внутренних документах, где операторы устанавливают основные правила работы с персданными (политика, положения), обязательно нужно соблюдать следующие требования:
- для каждой (!) конкретной цели получения персданных следует указать категорию субъектов и их данных, точный перечень этих данных, способы обработки, сроки хранения и правила уничтожения информации;
- сроки ответа оператора на запросы необходимо привести в соответствие с законом (10 дней дается, чтобы ответить Роскомнадзору, предоставить информацию субъекту по его запросу или прекратить обработку его личных сведений);
- в числе обязанностей оператора обязательно следует прописать, что он должен разъяснить субъекту, какие данные о нем он получает у третьих лиц, и каковы последствия отказа субъекта от предоставления этих данных;
- также обязанностью оператора является извещение РКН в течение суток о компрометации личной информации граждан с предоставлением отчета о результатах расследования утечки (в течение 3-х суток).
Если оператор передает функции по обработке персданных иному лицу (аутсорсеру например), то в поручении обязательно нужно прописать полный перечень персданных и конкретные действия с этой информацией, цели ее обработки, обязанности аутсорсера сохранять конфиденциальность и подтверждать реализацию мер по защите персданных.
Несоблюдение установленных нормативных требований несет за собой серьезные риски, в том числе крупные административные штрафы, назначаемые по результатам проверок Роскомнадзора. Поэтому необходимо регулярно проводить проверку внутренней документации на предмет соответствия закону 152-ФЗ.
Профессионально провести аудит внутренней документации по персональным данным помогут эксперты «Консалт-групп».