Персональные данные работников: какие документы должны быть в организации и как правильно их оформлять?

Документы по персональным данным в организации

Какие документы по персональным данным обязательно должны быть в организации?

Проанализируем статьи Федерального закона от 27.07.2006 № 152-ФЗ[1] и главу 14 ТК РФ и выделим все нормы, которые указывают на какие-либо документы оператора[2]:

* Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
** ИТС— информационно-телекоммуникационная сеть.
*** Приказ Роскомнадзора «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» от 24.02.2021 № 18. Далее — Приказ Роскомнадзора № 18.

ПРИМЕЧАНИЕ НАУЧНОГО РЕДАКТОРА
Оператор также обязан осуществлять внутренний контроль и (или) аудит соответствия обработки ПД Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике оператора в отношении обработки ПД, ЛНА оператора (п. 4 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ). Соответственно, при проверках Роскомнадзор затребует ЛНА о внутреннем контроле, который составляется в произвольной форме (может быть просто раздел в ЛНА о ПД) и акт (акты) проведения внутреннего контроля.

В случае проверки работодатели должны документально подтвердить, что выполняют обязанности, установленные в Федеральном законе № 152-ФЗ[3]:

• предоставляют работникам по их просьбе информацию о целях и способах обработки их ПД, иную информацию[4];

• осуществляют внутренний контроль соответствия обработки ПД требованиям законодательства, политике, ЛНА работодателя;

• оценивают вред, который может быть причинен работникам в случае нарушений[5].

То есть кроме основных документов, указанных в таблице, может возникнуть необходимость оформить и иные документы, связанные с учетом и защитой ПД:

• дополнительные локальные акты (правила рассмотрения запросов субъектов ПД, правила осуществления внутреннего контроля и т. п.);

• приказы (о назначении ответственного за безопасность ПД, о хранении бумажных носителей ПД, об утверждении перечня ПД и т. д.);

• инструкции (по учету и хранению съемных носителей, по резервному копированию и восстановлению ПД, при возникновении нештатной ситуации и т. д.);

• журналы учета (запросов субъектов ПД, выдачи сведений и т. п.);

• акты (определения уровня защищенности ПД, оценки потенциального вреда субъектам ПД и т. д.).