Перечень документов, необходимых для обработки персональных данных

Все организации, которые хоть раз взаимодействовали с физическими лицами, автоматически становятся операторами персональных данных (ПД). Это связано с тем, что они осуществляют обработку данных клиентов, сотрудников и других частных лиц. Для того чтобы вести деятельность с персональными данными в соответствии с законодательством, необходимо подготовить и подать пакет документов для регистрации в Роскомнадзоре.

Политика оператора персональных данных

Закон о персональных данных требует от операторов разработки и утверждения документа, который будет регламентировать политику обработки персональной информации для соблюдения принципов законности, конфиденциальности и защиты этих данных (ст. 18.1 закона от 27.07.2006 № 152-ФЗ, далее — закон о персональных данных).

Этот документ называется Политикой обработки персональных данных и должен быть размещён таким образом, чтобы каждый гражданин мог с ним ознакомиться. Кроме того, необходимо обеспечить подписание этого документа сотрудниками, которые непосредственно работают с персональными данными, подтверждая их ознакомление (п. 1 ст. 18.1 закона о персональных данных).

Локальные акты по обработке персональных данных

Политика обработки ПД — это важный элемент, но его недостаточно. Необходимо разработать пакет локальных актов, которые будут регулировать конкретные аспекты работы с персональными данными и обеспечивать подтверждение ознакомления сотрудников с этими требованиями. Основная цель таких документов — свести к минимуму или полностью исключить риск нарушений законодательства о персональных данных.

В комплект документов входят:

  1. Положения — касающиеся обработки ПД, обеспечения их безопасности и других аспектов.
  2. Перечни — список сотрудников и руководителей, которые имеют доступ к обработке персональных данных.
  3. Инструкции — описывающие права, обязанности и требования к работникам на определённых должностях.
  4. Регламенты — детальное описание процессов и процедур, обязательных для всех сотрудников, вне зависимости от их должностного уровня.

Подобные акты внутри компании должны быть подписаны всеми сотрудниками – это залог того, что каждый из работников ознакомился с этими важными документами и описанными в них принципами.

Извещение об обработке персональных данных

Перед началом обработки персональных данных оператор обязан уведомить субъекта об этом (ст. 22 закона о ПД). Однако есть случаи, когда уведомление не требуется, и оператор может обрабатывать данные без него:

  • Обработка персональных данных ведется в соответствии с трудовым законодательством.
  • Персональные данные получены в рамках заключённого договора, где субъект является одной из сторон, и используются исключительно для исполнения его условий (не будут передаваться иным субъектам).
  • Персональные данные относятся к членам общественных или религиозных организаций и не будут передаваться без согласия субъекта.
  • Субъект самостоятельно сделал свои данные публичными.
  • Обрабатываются только фамилия, имя и отчество субъекта.
  • Персональные данные нужны для однократного пропуска на территорию оператора или в аналогичных ситуациях.
  • Данные включены в государственные информационные системы.
  • Персональные данные обрабатываются в целях обеспечения транспортной безопасности и других подобных случаях.

Приказ о назначении ответственного лица

Каждое юридическое лицо, являющееся оператором персональных данных, обязано назначить сотрудника, который будет отвечать за организацию обработки ПД. Для этого необходимо оформить приказ или распоряжение о назначении данного ответственного лица (ст. 22.1 закона о ПД).

Согласие на обработку персональных данных

Субъект ПД с помощью этого документа свободно и добровольно выражает свое согласие на предоставление и обработку своих данных в собственных интересах (ст. 9 закона о ПД).

Оператор ПД обязан всегда иметь возможность доказать, что субъект принял решение и дал согласие на обработку. В связи с этим необходимо разработать и внедрить форму, с помощью которой субъект может официально выразить своё согласие на обработку данных.

Если персональные данные получены от третьей стороны

Часто оператор получает данные не напрямую от субъекта, а от другого лица. В таких случаях, согласно ст. 18 закона о ПД, перед началом обработки оператор обязан уведомить субъект о следующем:

  • наименование оператора или его представителя, а также их адрес;
  • цель обработки данных и правовые основания для этого;
  • предполагаемые пользователи данных;
  • права субъекта, установленные законом;
  • источник, откуда были получены персональные данные.

О мерах безопасности

Закон обязывает оператора принимать меры для защиты персональных данных (п. 1 ст. 19 закона о ПД), охватывающие правовые, организационные и технические аспекты. Эти меры должны предотвратить риски намеренного, незаконного или случайного:

  • доступа;
  • уничтожения;
  • изменения;
  • блокировки;
  • копирования;
  • предоставления;
  • распространения,

а также любых иных неправомерных действий в отношении персональных данных.

Кроме того, ответственное за организацию обработки данных лицо обязано контролировать процесс, а также рассматривать обращения субъектов персональных данных (п. 4 ст. 22.1 закона о ПД).

Необходим документ, регулирующий выполнение этих задач, а также регламенты автоматизированной обработки данных, касающиеся использования, обновления, распространения и уничтожения информации.

Разобрать все локальные акты, требуемые для обеспечения безопасной обработки персональных данных, в рамках одной статьи невозможно. Однако стоит помнить, что административные штрафы за нарушение правил работы с ПД (ст. 13.11 КоАП) могут составлять до 100 000 рублей.

Остались вопросы?

Наш менеджер вас проконсультирует

Номер телефона
E-mail
Ваш вопрос
Обязательно отметьте поля ниже*
Нажимая кнопку "Задать вопрос", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Политикой конфиденциальности. *
Нажимая кнопку "Задать вопрос", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности. *
Спасибо за заявку, наш специалист перезвонит вам в течение 15 минут!

Подобрать пакет документов

Спасибо за заявку, наш специалист перезвонит вам в течение 15 минут!
Извините, произошла ошибка, попробуйте снова