Ознакомление сотрудников с нормативными актами по обработке персональных данных: что нужно знать работодателям

Ознакомление сотрудников с нормативными и локальными актами по обработке персональных данных — требование законодательства РФ. При этом работодатели обязаны не только предоставить доступ к документам. Кроме того, организовать процесс так, чтобы сотрудники, работающие с ПДн, понимали свои обязанности и права. А также знали, как правильно работать с данными.

В статье разберём, какие документы необходимо включить в процесс ознакомления и как на практике реализовать это требование в соответствии с законодательством.

Требование об ознакомлении с нормативно-правовыми и локальными актами по вопросам обработки ПДн встречается в законодательстве неоднократно. В частности:

  • Статья 18.1 152-ФЗ требует ознакомить работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о персональных данных. В том числе — с требованиями к защите персональных данных документами, определяющими политику оператора в отношении обработки персональных данных. А также с локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
  • Пункт 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. ПП РФ от 15.09.2008 г № 687) требует, чтобы лица, осуществляющие обработку ПДн без использования средств автоматизации (в том числе, сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы:
    • о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации;
    • категориях обрабатываемых персональных данных;
    • об особенностях и правилах осуществления такой обработки, установленных НПА, а также ЛНА организации (при их наличии).
  • Пункт 8 ст. 86 ТК РФ требует ознакомить работников под роспись с документами работодателя, которые устанавливают порядок обработки ПДн работников. Кроме того, работников нужно ознакомить с их правами и обязанностями в этой области.
Таким образом, если обобщить указанные требования, можно сделать следующие выводы:
  • Всех работников нужно ознакомить с документом, в котором определен порядок работы с их ПДн. Как правило, это Положение об обработке ПДн работников или отдельный раздел Политики обработки ПДн.
  • Работникам также нужно разъяснить их права и обязанности в области обработки ПДн. При этом права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя, установлены ст. 89 ТК РФ. А общие права для всех субъектов ПДн определены в главе 3 152-ФЗ.
  • Лица, которые занимаются неавтоматизированной (в том числе смешанной) обработкой ПДн, должны понимать, с какими данными они работают. Кроме того, они должны знать особенности и правила такой обработки. Эти правила определены Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. ПП РФ от 15.09.2008 г № 687), а также иными актами, в том числе локальными.
  • Все лица, допущенные до обработки ПДн, должны изучить Политику оператора в отношении обработки ПДн и другие локальные акты, а также законодательство РФ в данной сфере, в том числе требования к защите персональных данных.
Отметим, что НПА в области ПДн большое количество, но минимально достаточно будет ознакомить сотрудников с положениями следующих НПА:
  • федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • трудовой кодекс Российской Федерации (глава 14);
  • положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. ПП РФ от 15.09.2008 г № 687);
  • требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. ПП РФ от 01.11.2012 № 1119).

Данный перечень не является закрытым, оператор может по своему усмотрению расширить список НПА, с которыми проведет ознакомление.

Процесс ознакомления можно разделить на основные блоки, такие как:

  • донесение информации;
  • фиксирование факта проведения ознакомления;
  • актуализация и обновление базы знаний сотрудников;
  • контроль полученных знаний.

Формы донесения информации могут быть разными. Например, это беседа или обучающее мероприятие (лекция, семинар). Также подойдут консультация по телефону, рассылка на электронную почту, сообщение с презентацией в корпоративном чате, постановка задачи с использованием функционала ЭДО, вебинары и т.д.

На сегодняшний день самым действенным способом остаются мероприятия в формате живого общения: беседы, инструктажи, семинары и лекции с очным участием. Поэтому лучше всего проводить их сразу после трудоустройства.

Важно, чтобы сотрудники понимали: процессы обработки персональных данных в компании регулируются и контролируются локально. Кроме того, они должны знать, где можно ознакомиться с локальными нормативными актами. И к кому обращаться в случае сомнений.

Закрепить знания помогут, например: тестирование, чек-листы, краткие памятки, и презентации по вопросам обработки ПДн.

В разделе «Академия» сервиса 152DOC доступны вебинары. Они помогут не только обучить сотрудников основам обработки и защиты персональных данных, но и следить за последними изменениями в законодательстве.

Для соблюдения требований об ознакомлении недостаточно просто провести мероприятия и предоставить сотрудникам необходимый объём информации. Важно, чтобы у вас осталось подтверждение проведения такой работы.

Для начала разберем несколько ошибочных вариантов фиксации проведения ознакомления и подводные камни, с которыми можно столкнуться при их использовании.

1. Собрать совещание с работниками, рассказать обо всех требованиях и правилах, поставить себе «галочку», что вопрос закрыт.

Отметка о проведении мероприятия не подтверждает факт ознакомления. Во-первых, остаётся непонятным, кто из сотрудников присутствовал. Во-вторых, неясно, все ли нужные лица получили важную информацию.

2. Разослать всем работникам ссылку на ЛНА по ПДн для ознакомления с ними, подтверждением ознакомления с ЛНА будет являться сам факт рассылки.

Как и в предыдущем примере подтверждение того, что пользователь ознакомился и вообще открывал документы по ссылке, будет отсутствовать.

3. К каждому ЛНА в конце подшить лист ознакомления. Провести с сотрудниками обучающее занятие и попросить поставить подпись в листах ознакомления.

Казалось бы, такой вариант допустим. Однако здесь упущена важная деталь: этот способ закрывает только вопрос об ознакомлении с ЛНА. При этом закон требует также ознакомить с требованиями законодательства РФ по обработке ПДн и с требованиями к защите ПДн (ст. 18.1 152-ФЗ). Поэтому при таком подходе требование будет выполнено только наполовину. С требованиями законодательства всё равно придётся ознакомиться отдельно.

4. Использовать возможности ЭДО: скинуть перечни и ссылки на НПА и ЛНА, с которыми нужно ознакомиться и поставить сотрудникам соответствующую задачу. Исполнение задачи с использованием функционала ЭДО и будет подтверждение факта ознакомления.

Это неплохой вариант, но п. 8 ст. 86 ТК РФ он не закрывает, так как здесь есть требование об ознакомлении сотрудников с определенным документом (определяющим порядок обработки их ПДн) под роспись. И это нужно будет учесть при применении такого варианта ознакомления (исполнять п. 8 ст. 86 ТК РФ дополнительным способом, реализовать подписание листа ознакомления к такому документу в ЭДО посредством электронной подписи, подготовить отдельный лист ознакомления для такого документа и т.д.)

Среди самых надежных способов ознакомления, которые позволят закрыть все требования по ознакомлению, отметим следующие:
  • Подготовить листы ознакомления для каждого сотрудника. Вверху указать имя и должность. Далее перечислить всё, что изучил сотрудник (конкретные НПА и ЛНА). Внизу поставить дату и подпись. Затем при приёме на работу проводить первичный инструктаж по работе с ПДн и давать такой лист на подпись.
  • Сделать единый журнал ознакомления. Сначала перечислить в нём НПА и ЛНА, с которыми проведено ознакомление. Затем по мере проведения мероприятий каждый сотрудник ставит подпись в Журнале (ФИО, дата ознакомления, подпись).

Подтверждающие ознакомление документы нужно хранить таким образом, чтобы при необходимости вы могли быстро найти необходимые документы по сотруднику, по теме, по периоду или по иному критерию.

Например, листы ознакомления по каждому сотруднику удобно хранить в его личном деле, если оно ведется в организации, или подшить в отдельную папку. Такую папку, как и Журнал ознакомления, можно хранить у ответственного за организацию обработки ПДн. Это логично, потому что проведение ознакомления — одна из обязанностей ответственного по ч. 4 ст. 22.1 152-ФЗ.

При проведении ознакомления нужно не забывать, что это длящийся, а не единоразовый процесс:
  • нужно проводить индивидуальное ознакомление вновь прибывших на работу сотрудников, а также сотрудников, переведенных на работу из должности, которая ранее не предусматривала обработку персональных данных, и фиксировать данный факт;
  • при утверждении или обновлении ЛНА в сфере обработки ПДн нужно проводить с ним ознакомление (добавлять к нему лист ознакомления или отдельно дополнять списки ЛНА в Журналах ознакомления/Листах ознакомления сотрудников);
  • при изменении законодательства проводим ознакомление с актуальными требованиями всех причастных к обработке ПДн лиц. Дополняем Журнал и листы ознакомления;
  • через длительное время, когда понимаем, что различных дополнений становится больше, чем листов ознакомления, разрабатываем новую единую форму и начинаем процесс ознакомления заново.
Процесс ознакомления с правилами обработки и защиты ПДн не должен ограничиваться только первичным инструктажем и формальным проставлением подписей в листах и журналах ознакомления. Важно вести работу в нескольких направлениях.

Например, проводить повторные мероприятия в случае выявления нарушений и инструктажи увольняющихся (для профилактики разглашения конфиденциальной информации, ставшей известной работнику в процессе осуществления трудовых обязанностей).

Плюсом будет периодическая организация участия сотрудников в различных вебинарах или очных обучающих мероприятиях, направление отдельных сотрудников на обучающие курсы по данному направлению и т.д.

Не забывайте про контроль полученных знаний. Например, периодически проверяйте соблюдение сотрудниками требований законов и локальных актов компании. Также проводите тестирования и опросы на понимание основных требований в области обработки ПДн.

Делайте это в первую очередь не для того, чтобы наказать сотрудников, а для того, чтобы выявить и проработать слабые места. От этого напрямую завит уровень безопасного обращения и защиты ПДн в вашей компании.

Помните, что сотрудникам зачастую сложно самостоятельно разобраться со всеми требования законодательства в области ПДн, помогайте им:
  • акцентируйте внимание на общих требованиях при обработке ПДн, фиксируйте ключевые точки, которые важно усвоить всем сотрудникам;
  • отмечайте важные аспекты обработки ПДн для каждого конкретного сотрудника в сфере их трудовых функций;
  • используйте вспомогательные визуальные материалы (таблицы, памятки, чек-листы);
  • рассказывайте не только про требования закона и ЛНА компании, но и о том, как работники могут защитить свои ПДН и личные устройства, давайте им полезные советы для обеспечения безопасности своих ПДн (через личную заинтересованность порой легче всего донести актуальность и важность предоставляемой информации).

Нужно иметь в виду, что процесс обучения и ознакомления сотрудников должен быть непрерывным. С развитием технологий, изменением угроз и появлением новых требований, важно регулярно обновлять знания и адаптировать методы работы, чтобы оставаться на шаг впереди, и обеспечивать надежную защиту персональных данных.

Читайте также:

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять