Какие документы нужны для защиты персональных данных работников
Для защиты персональных данных работников создайте комплект следующих основных документов:
- приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных).
Ответственного за обработку персональных данных назначьте приказом. Им может быть любой работник вашей организации, например специалист отдела по управлению персоналом. Главное, чтобы он смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.
Например, он должен доводить до сведения работников положения законодательства о персональных данных, а также ваших локальных актов об обработке персональных данных (п. 2 ч. 4 ст. 22.1 Закона о персональных данных).
Если вы поручили обработку персональных данных другому лицу по договору с ним, учтите требования, перечисленные в ч. 3 ст. 6 Закона о персональных данных;
- положение о защите персональных данных работников или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных. Учтите требования и ограничения к содержанию такого документа. В нем не должно быть положений, ограничивающих права работников, а также возлагающих на вас полномочия и обязанности, не предусмотренные законом (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных);
- приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.
Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных, учитывая абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных.
Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета персональных данных, их выдачи и передачи другим лицам, представителям сторонних организаций и государственным органам.
Если речь идет о защите информации ограниченного доступа, не составляющей гостайну, объекты информатизации (например, государственные информационные системы персональных данных) подлежат аттестации на соответствие требованиям по защите такой информации. Состав и содержание работ по аттестации, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов определены Порядком, утвержденным Приказом ФСТЭК России от 29.04.2021 N 77.