Приветствую вас, Наталья, на форуме клерка!
Конкретного перечня документов, регламентирующих порядок обработки персональных данных (ПД) работников, законом не установлен.
Как правило, организации издают положение о персональных данных (или иной локальный нормативный акт). В таком документе описывают все действия, связанные с обработкой персональных данных (их хранение, использование и так далее) (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) “О персональных данных” - далее “Закона о персональных данных”).
Также нужно создать документ, определяющий политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Его структуру и содержание вы можете установить самостоятельно (Письмо Роскомнадзора от 19.10.2021 № 08-71063). При этом целесообразно руководствоваться документом: "Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ “О персональных данных”, этот документ издан Роскомнадзором в 2017 г.
Политика в отношении обработки персональных данных должна включать в себя, в частности:
- сведения о цели сбора персональных данных,
- правовых основаниях их обработки,
- объеме и категориях обрабатываемых данных,
- порядке и условиях их обработки.
Если у вас нет документа, определяющего политику в отношении обработки персональных данных, разработайте и утвердите его (п. 2 ч. 1 ст. 18.1 Закона о персональных данных).
Ознакомьте работников с документами, которые у вас в организации регламентируют порядок обработки персональных данных, под подпись (п. 8 ст. 86, ч. 2 ст. 22 ТК РФ).
Вы можете использовать такой же порядок ознакомления, что и при ознакомлении с Правилами внутреннего трудового распорядка (например, с помощью листа ознакомления, составленного в свободной форме).
А документ, определяющий политику в отношении обработки персональных данных, дополнительно опубликуйте (ч. 2 ст. 18.1 Закона о персональных данных). Например, разместите на сайте организации, тем более, если вы собираетесь через сайт собирать какую-то информацию о физических лицах, тогда размещение такого документа на сайте обязательно.
Если это сделать невозможно, нужно сделать политику доступной каким-то иным способом (ч. 2 ст. 18.1 Закона о персональных данных). Например, повесьте распечатанную на бумаге политику на стенде в офисе. Главное, обеспечьте неограниченный доступ к документу (Письмо Роскомнадзора от 19.10.2021 № 08-71063).
Также лучше заранее создать бланки согласия на обработку ПД для разных ситуаций, формы согласия оформляется с учетом требований ч. 4 ст. 9 Закона о персональных данных. Они должны включать, в частности:
- Ф.И.О., адрес работника, реквизиты паспорта или иного документа, удостоверяющего его личность, кем и когда выдан;
- наименование и адрес вашей организации;
- перечень персональных данных, на получение которых дает согласие работник;
- срок, в течение которого действует согласие;
- порядок отзыва согласия и уничтожения ПД.
Нужно убеждаться, что работники или клиенты подписали согласия.
Относительно размещения фото на сайте, читайте, пожалуйста, публикацию на нашем сайте: Фото сотрудника на сайте: биометрические персональные данные. Как с этим быть?