ПДн – персональные данные
НПА – нормативно-правовые акты
ЛНА – локальные нормативные акты
Ознакомление сотрудников с нормативными и локальными актами по обработке персональных данных — требование законодательства РФ. Работодатели обязаны не только предоставить доступ к таким документам, но и организовать процесс так, чтобы все сотрудники, имеющие доступ к персональным данным, понимали свои обязанности и права, а также знали, как правильно работать с данными.
В статье разберём, какие документы необходимо включить в процесс ознакомления и как на практике реализовать это требование в соответствии с законодательством.
Требование об ознакомлении с нормативно-правовыми и локальными актами по вопросам обработки ПДн встречается в законодательстве о ПДн неоднократно:
- Статья 18.1 152-ФЗ требует провести ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
- Пункт 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. ПП РФ от 15.09.2008 г № 687) требует, чтобы лица, осуществляющие обработку ПДн без использования средств автоматизации (в том числе, сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы:
- о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации;
- категориях обрабатываемых персональных данных;
- об особенностях и правилах осуществления такой обработки, установленных НПА, а также ЛНА организации (при их наличии).
- Пункт 8 ст. 86 ТК РФ требует, чтобы работники были ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области.
Если обобщить указанные требования, можно сделать следующие выводы:
- Всех работников нужно ознакомить с документом, в котором определен порядок работы с их ПДн, (как правило, это Положение об обработке ПДн работников или отдельный раздел Политики обработки ПДн).
- Работникам также нужно разъяснить их права и обязанности в области обработки ПДн (Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя, установлены ст. 89 ТК РФ, общие для всех субъектов ПДн права определены в главе 3 152-ФЗ).
- Лица, которые занимаются неавтоматизированной (в том числе смешанной) обработкой ПДн должны понимать, с какими данными они работают неавтоматизированно, какие есть особенности и правила такой обработки (они определены Положениям об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. ПП РФ от 15.09.2008 г № 687), а также иными актами, в том числе локальными).
- Все лица, допущенные до обработки ПДн, должны изучить Политику оператора в отношении обработки ПДн и другие локальные акты, а также законодательство РФ в данной сфере, в том числе требования к защите персональных данных.
Отметим, что НПА в области ПДн большое количество, но минимально достаточно будет ознакомить сотрудников с положениями следующих НПА:
- федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- трудовой кодекс Российской Федерации (глава 14);
- положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. ПП РФ от 15.09.2008 г № 687);
- требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. ПП РФ от 01.11.2012 № 1119).
Данный перечень не является закрытым, оператор может по своему усмотрению расширить список НПА, с которыми проведет ознакомление.
Процесс ознакомления можно разделить на основные блоки, такие как:
- донесение информации;
- фиксирование факта проведения ознакомления;
- актуализация и обновление базы знаний сотрудников;
- контроль полученных знаний.
Формы донесения информации могут быть абсолютно разными: беседа, обучающее мероприятие в формате лекции, консультация по телефону или рассылка на электронную почту, сообщение с обучающей презентацией в корпоративном чате, постановка задачи с использованием функционала ЭДО, вебинары и т.д.
На сегодняшний день, самым действенным способом все-таки остаются мероприятия в формате живого общения с сотрудниками – беседы, инструктажи, семинары и лекции с очным участием. Лучше всего проводить такие мероприятия сразу после трудоустройства.
Важно, чтобы сотрудники понимали, что процессы обработки персональных данных в компании регулируются и контролируются локально, а также знали, где можно ознакомиться с локальными нормативными актами и к кому обращаться в случае сомнений.
Закрепить знания помогут, например: тестирование, чек-листы, краткие памятки, и презентации по вопросам обработки ПДн.
В разделе «Академия» сервиса 152DOC доступны вебинары, которые помогут не только обучить сотрудников основам обработки и защиты персональных данных, но и следить за последними изменениями в законодательстве.
Для соблюдения требований об ознакомлении недостаточно просто провести соответствующие мероприятия и предоставить сотрудникам необходимый объем информации. У вас должно остаться подтверждение проведения такой работы.
Для начала разберем несколько ошибочных вариантов фиксации проведения ознакомления и подводные камни, с которыми можно столкнуться при их использовании.
1. Собрать совещание с работниками, рассказать обо всех требованиях и правилах, поставить себе «галочку», что вопрос закрыт.
Отметка о проведении мероприятия никаким образом не подтверждает факта ознакомления – остается непонятным, кто из сотрудников присутствовал на мероприятии и все ли нужные лица получили важную информацию.
2. Разослать всем работникам ссылку на ЛНА по ПДн для ознакомления с ними, подтверждением ознакомления с ЛНА будет являться сам факт рассылки.
Как и в предыдущем примере подтверждение того, что пользователь ознакомился и вообще открывал документы по ссылке, будет отсутствовать.
3. К каждому ЛНА в конце подшить лист ознакомления. Провести с сотрудниками обучающее занятие и попросить поставить подпись в листах ознакомления.
Казалось бы, что такой вариант вполне допустим. Однако, здесь упущена одна важная деталь – такой способ закрывает только вопрос об ознакомлении с ЛНА, но закон требует также ознакомить и с требованиями законодательства РФ по обработке ПДн и с требованиями к защите ПДн (ст. 18.1 152-ФЗ). Поэтому при таком способе требование будет выполнено только наполовину. С требованиями законодательства всё равно придётся ознакомиться отдельно.
4. Использовать возможности ЭДО: скинуть перечни и ссылки на НПА и ЛНА, с которыми нужно ознакомиться и поставить сотрудникам соответствующую задачу. Исполнение задачи с использованием функционала ЭДО и будет подтверждение факта ознакомления.
Это неплохой вариант, но п. 8 ст. 86 ТК РФ он не закрывает, так как здесь есть требование об ознакомлении сотрудников с определенным документом (определяющим порядок обработки их ПДн) под роспись. И это нужно будет учесть при применении такого варианта ознакомления (исполнять п. 8 ст. 86 ТК РФ дополнительным способом, реализовать подписание листа ознакомления к такому документу в ЭДО посредством электронной подписи, подготовить отдельный лист ознакомления для такого документа и т.д.)
Среди самых надежных способов ознакомления, которые позволят закрыть все требования по ознакомлению, отметим следующие:
- Подготовить листы ознакомления для каждого сотрудника. Сверху листа: имя, должность, далее – перечислить в них всё, что изучил пользователь (указать конкретные НПА и ЛНА), снизу: дата, подпись. При приеме на работу проводить первичный инструктаж по работе с ПДн и давать на подпись сотруднику такой лист.
- Сделать единый Журнал ознакомления: перечислить в нем НПА и ЛНА, с которыми проведено ознакомление, и по мере проведения мероприятий каждый сотрудник ставит подпись в Журнале (ФИО, дата ознакомления, подпись).
Подтверждающие ознакомление документы нужно хранить таким образом, чтобы при необходимости вы могли быстро найти необходимые документы по сотруднику, по теме, по периоду или по иному критерию.
Например, листы ознакомления по каждому сотруднику удобно хранить в его личном деле, если оно ведется в организации, или подшить в отдельную папку. Такую папку, как и Журнал ознакомления, можно хранить отдельно у ответственного за организацию обработки ПДн (ведь проведение ознакомления – это одна из обязанностей именно ответственного по ч. 4 ст. 22.1 152-ФЗ).
При проведении ознакомления нужно не забывать, что это длящийся, а не единоразовый процесс:
- нужно проводить индивидуальное ознакомление вновь прибывших на работу сотрудников, а также сотрудников, переведенных на работу из должности, которая ранее не предусматривала обработку персональных данных, и фиксировать данный факт;
- при утверждении или обновлении ЛНА в сфере обработки ПДн нужно проводить с ним ознакомление (добавлять к нему лист ознакомления или отдельно дополнять списки ЛНА в Журналах ознакомления/Листах ознакомления сотрудников);
- при изменении законодательства проводим ознакомление с актуальными требованиями всех причастных к обработке ПДн лиц. Дополняем Журнал и листы ознакомления;
- через длительное время, когда понимаем, что различных дополнений становится больше, чем листов ознакомления, разрабатываем новую единую форму и начинаем процесс ознакомления заново.
Процесс ознакомления с правилами обработки и защиты ПДн не должен ограничиваться только первичным инструктажем и формальным проставлением подписей в листах и журналах ознакомления. Важно вести работу в нескольких направлениях.
Например, проводить повторные мероприятия в случае выявления нарушений и инструктажи увольняющихся (для профилактики разглашения конфиденциальной информации, ставшей известной работнику в процессе осуществления трудовых обязанностей).
Плюсом будет периодическая организация участия сотрудников в различных вебинарах или очных обучающих мероприятиях, направление отдельных сотрудников на обучающие курсы по данному направлению и т.д.
Не забывайте про контроль полученных знаний – периодически проверяйте соблюдения сотрудниками требований законов и локальных актов компании, проводите тестирования и опросы сотрудников на понимание основных требований в области обработки ПДн.
Делайте это в первую очередь не для того, чтобы наказать сотрудников, а для того, чтобы выявить и проработать слабые места. От этого напрямую завит уровень безопасного обращения и защиты ПДн в вашей компании.
Помните, что сотрудникам зачастую сложно самостоятельно разобраться со всеми требования законодательства в области ПДн, помогайте им:
- акцентируйте внимание на общих требованиях при обработке ПДн, фиксируйте ключевые точки, которые важно усвоить всем сотрудникам;
- отмечайте важные аспекты обработки ПДн для каждого конкретного сотрудника в сфере их трудовых функций;
- используйте вспомогательные визуальные материалы (таблицы, памятки, чек-листы);
- рассказывайте не только про требования закона и ЛНА компании, но и о том, как работники могут защитить свои ПДН и личные устройства, давайте им полезные советы для обеспечения безопасности своих ПДн (через личную заинтересованность порой легче всего донести актуальность и важность предоставляемой информации).
Нужно иметь в виду, что процесс обучения и ознакомления сотрудников должен быть непрерывным. С развитием технологий, изменением угроз и появлением новых требований, важно регулярно обновлять знания и адаптировать методы работы, чтобы оставаться на шаг впереди, и обеспечивать надежную защиту персональных данных.