Какие документы о порядке обработки персональных данных должны быть в учреждении
Проверьте, возможно для вашего учреждения разработаны специальные документы о порядке обработки персональных данных или установлены требования к составлению таких документов. Например, если ваше учреждение подведомственно Роспотребнадзору, руководствуйтесь специальным Положением об обработке и защите персональных данных в Роспотребнадзоре. А если учреждение подведомственно Рособразованию, при подготовке документов учтите Рекомендации, приведенные в Письме Рособразования от 22.10.2009 N 17-187.
Конкретный перечень документов, регламентирующих порядок обработки персональных данных работников, законом не установлен.
Как правило, организации издают положение о персональных данных или иной локальный нормативный акт по вопросам их обработки. В таком документе описывают все связанные с ней действия (хранение, использование данных и т.д.). Для каждой цели обработки документ должен определять в том числе категории и перечень персональных данных, способы, сроки их обработки и хранения и др. (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных).
Также создайте документ, определяющий политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Его структуру и содержание вы можете установить самостоятельно (Письмо Роскомнадзора от 19.10.2021 N 08-71063). При этом целесообразно руководствоваться Рекомендациями, изданными Роскомнадзором.
Такой документ должен включать в себя, в частности, сведения о цели сбора персональных данных, правовых основаниях их обработки, объеме и категориях обрабатываемых данных, порядке и условиях их обработки.
Если у вас нет документа, определяющего политику в отношении обработки персональных данных, разработайте и утвердите его (п. 2 ч. 1 ст. 18.1 Закона о персональных данных).
Как ознакомить работников с документами о порядке обработки персональных данных в организации
Ознакомьте работников с документами, которые у вас в организации регламентируют порядок обработки персональных данных, под подпись (п. 8 ст. 86, ч. 2 ст. 22 ТК РФ).
Вы можете использовать такой же порядок ознакомления, что и при ознакомлении с Правилами внутреннего трудового распорядка (например, с помощью листа ознакомления, составленного в свободной форме).
А документ, определяющий политику в отношении обработки персональных данных, дополнительно опубликуйте (ч. 2 ст. 18.1 Закона о персональных данных). Например, разместите на сайте организации.
Если это сделать невозможно, нужно сделать политику доступной каким-то иным способом (ч. 2 ст. 18.1 Закона о персональных данных). Например, повесьте распечатанную на бумаге политику на стенде в офисе. Главное, обеспечьте неограниченный доступ к документу (Письмо Роскомнадзора от 19.10.2021 N 08-71063).
Более подробно с данным материалом Вы можете ознакомиться в СПС КонсультантПлюс