Доброго дня.
Организация относится к микропредприятиям. Они могут принимать сотрудников по типовому трудовому договор и не разрабатывать локальные акты.
Но как быть в плане персональных данных, если микропредприятие выбрало принимать сотрудников по типовому договору? Должны ли они все равно разрабатывать положение о персональных данных или нет?
Также верно ли я понимаю. что с 01.09.2022 года у компании должно быть:
Положение о перс данных
Приказ об утверждении положения о перс данных
Приказ о назначении лица, ответственного за обработк перс данных
Приказ об утверждении списка лиц, имеющих доступ к перс данным работников
Согласия работников на обработку перс данных
Организация должна подать уведомление в Росконадзор о намерении осуществлять обработку перс данных
Это основной список, верно?
Плюс еще вопрос. Если кадровый учет и расчет заработной платы ведет аутсорсинговая организация, нужно ли дополнительно какие-то документы на обработку перс данных третьим лицом или достаточно того. что сама организация берет с сотрудника согласие на обработку данных и между организацией и аутсорсинговой фирмой заключен договор обслуживания?
Или аутсорсинговая фирма тоже должна брать согласия с работников организации об обработке их перс данных?
Специальные разъяснения по этому вопросу отсутствуют. Но для снижения рисков, обычно предлагаю клиентам подготовить положение о персональных данных и все иные документы касательно перс.данных, независимо от статуса компании.
Согласна с перечисленными Вами документами, только приказ об утверждении положения необязательно, достаточно гриф «Утверждаю». Однако перечень этот недостаточен, на мой взгляд, ещё требуются документы по внутреннему аудиту работы с перс.данными, документы касательно уничтожении документов, журнал обращения работников, приказы о местах обработки и хранения данных, с также документы касательно информационных систем (это уже ИТ-специалисты должны знать).
Организация должна в этом случае получить у работников согласие о передачи данных третьим лицам с указанием названия и адреса аутсорсинговой компании. Также в договоре с аутсорсинговой компанией должен быть пункт о обязанностях работы с перс.данными и о защите перс.данных работников клиента
Просто пункт о том, что аутсорсинговая компания обязана соблюдать законодательство о защите персональных данных работников вашей организации.
Но вообще у таких компаний стандартные договоры на обслуживание и там все у них обычно прописано.
Нужно включить несколько положений, т.е. несколько пунктов.
Чтобы атсуорсинговая компания (далее - “компания”) обеспечила сохранность персональных данных (ПД) в соответствии с законодательством РФ, причем немедленно удаляла ПД о работниках и отчитывалась вам, по работникам, по которым вы пришлете информацию. Дело в том, что любой работник может в любой момент отозвать свое согласие на передачу ПД третьим лицам, ограничить просто так вы его не можете, в этом случае компания обязана удалить все сведения об этом работнике, а вы долдоны иметь подтверждение.
Нужно также чтобы компания компенсировала бы убытки или выплачивала штрафы (неустойки), если не обеспечит надлежащий режим хранения ПД. У вас могут возникнуть убытки (например контролёры наложат штрафы), чтобы компания вам эти убытки полностью компенсировала и дополнительно выплатила бы неустойку, т.к. нарушения будут с их стороны. Т.е. такой пункт нужно максимально подробно прописать.
Также нужно включить пункт о том, что если работник (например после увольнения) подал иск против вас в связи с тем, что его ПД были разглашены компанией в нарушение закона, чтобы компания выступала с вашей стороны. Просто согласно ГПК РФ они могут быть и против вас, но владея множеством информации, они могут в сговоре с бывшим работником, например, требовать хорошую сумму в рамках иска. В этом случае разумно чтобы компания оплачивала все судебные и юридические издержки, т.к. по их вине произошли нарушения, приведшие к судебному иску. Иск может долго рассматриваться потребуется экспертиза и т.д., идеально, чтобы эти расходы несла бы компания, как минимум, вы должны нести расходы вместе. Конечно, полным этическим нарушением будет, если они вступят против вас, именно поэтому тут нужно все прописать. Конечно, они могут и отказаться, но тогда в договор нужно включить неустойки и штрафы в случае их отказа выступать на вашей стороне, а также возможность опубликовать об этом сведения публично, т.к. обычно предприятие заказчик связана положениями договора о конфиденциальности. Но вот если они нарушат, то этот запрет нужно снимать.