Перечень документов, необходимых для обработки персональных данных

Все организации, которые хоть раз взаимодействовали с физическими лицами, автоматически становятся операторами персональных данных (ПД). Это связано с тем, что они осуществляют обработку данных клиентов, сотрудников и других частных лиц. Для того чтобы вести деятельность с персональными данными в соответствии с законодательством, необходимо подготовить и подать пакет документов для регистрации в Роскомнадзоре.

Политика оператора персональных данных

Закон о персональных данных требует от операторов разработки и утверждения документа, который будет регламентировать политику обработки персональной информации для соблюдения принципов законности, конфиденциальности и защиты этих данных (ст. 18.1 закона от 27.07.2006 № 152-ФЗ, далее — закон о персональных данных).

Этот документ называется Политикой обработки персональных данных и должен быть размещён таким образом, чтобы каждый гражданин мог с ним ознакомиться. Кроме того, необходимо обеспечить подписание этого документа сотрудниками, которые непосредственно работают с персональными данными, подтверждая их ознакомление (п. 1 ст. 18.1 закона о персональных данных).

Локальные акты по обработке персональных данных

Политика обработки ПД — это важный элемент, но его недостаточно. Необходимо разработать пакет локальных актов, которые будут регулировать конкретные аспекты работы с персональными данными и обеспечивать подтверждение ознакомления сотрудников с этими требованиями. Основная цель таких документов — свести к минимуму или полностью исключить риск нарушений законодательства о персональных данных.

В комплект документов входят:

1. Положения — касающиеся обработки ПД, обеспечения их безопасности и других аспектов.
2. Перечни — список сотрудников и руководителей, которые имеют доступ к обработке персональных данных.
3. Инструкции — описывающие права, обязанности и требования к работникам на определённых должностях.
4. Регламенты — детальное описание процессов и процедур, обязательных для всех сотрудников, вне зависимости от их должностного уровня.

Подобные акты внутри компании должны быть подписаны всеми сотрудниками – это залог того, что каждый из работников ознакомился с этими важными документами и описанными в них принципами.

Извещение об обработке персональных данных

Перед началом обработки персональных данных оператор обязан уведомить субъекта об этом (ст. 22 закона о ПД). Однако есть случаи, когда уведомление не требуется, и оператор может обрабатывать данные без него:

• Обработка персональных данных ведется в соответствии с трудовым законодательством.
• Персональные данные получены в рамках заключённого договора, где субъект является одной из сторон, и используются исключительно для исполнения его условий (не будут передаваться иным субъектам).
• Персональные данные относятся к членам общественных или религиозных организаций и не будут передаваться без согласия субъекта.
• Субъект самостоятельно сделал свои данные публичными.
• Обрабатываются только фамилия, имя и отчество субъекта.
• Персональные данные нужны для однократного пропуска на территорию оператора или в аналогичных ситуациях.
• Данные включены в государственные информационные системы.
• Персональные данные обрабатываются в целях обеспечения транспортной безопасности и других подобных случаях.

Приказ о назначении ответственного лица

Каждое юридическое лицо, являющееся оператором персональных данных, обязано назначить сотрудника, который будет отвечать за организацию обработки ПД. Для этого необходимо оформить приказ или распоряжение о назначении данного ответственного лица (ст. 22.1 закона о ПД).

Согласие на обработку персональных данных

Субъект ПД с помощью этого документа свободно и добровольно выражает свое согласие на предоставление и обработку своих данных в собственных интересах (ст. 9 закона о ПД).

Оператор ПД обязан всегда иметь возможность доказать, что субъект принял решение и дал согласие на обработку. В связи с этим необходимо разработать и внедрить форму, с помощью которой субъект может официально выразить своё согласие на обработку данных.

Получить бесплатную консультацию по регистрации в Роскомнадзоре или подготовке документов для работы с персональными данными

Консультация

Если персональные данные получены от третьей стороны

Часто оператор получает данные не напрямую от субъекта, а от другого лица. В таких случаях, согласно ст. 18 закона о ПД, перед началом обработки оператор обязан уведомить субъект о следующем:

• наименование оператора или его представителя, а также их адрес;
• цель обработки данных и правовые основания для этого;
• предполагаемые пользователи данных;
• права субъекта, установленные законом;
• источник, откуда были получены персональные данные.

О мерах безопасности

Закон обязывает оператора принимать меры для защиты персональных данных (п. 1 ст. 19 закона о ПД), охватывающие правовые, организационные и технические аспекты. Эти меры должны предотвратить риски намеренного, незаконного или случайного:

• доступа;
• уничтожения;
• изменения;
• блокировки;
• копирования;
• предоставления;
• распространения,

а также любых иных неправомерных действий в отношении персональных данных.

Кроме того, ответственное за организацию обработки данных лицо обязано контролировать процесс, а также рассматривать обращения субъектов персональных данных (п. 4 ст. 22.1 закона о ПД).

Необходим документ, регулирующий выполнение этих задач, а также регламенты автоматизированной обработки данных, касающиеся использования, обновления, распространения и уничтожения информации.

Разобрать все локальные акты, требуемые для обеспечения безопасной обработки персональных данных, в рамках одной статьи невозможно. Однако стоит помнить, что административные штрафы за нарушение правил работы с ПД (ст. 13.11 КоАП) могут составлять до 100 000 рублей.