Перечень документов, необходимых для обработки персональных данных
Все организации, которые хоть раз взаимодействовали с физическими лицами, автоматически становятся операторами персональных данных (ПД). Это связано с тем, что они осуществляют обработку данных клиентов, сотрудников и других частных лиц. Для того чтобы вести деятельность с персональными данными в соответствии с законодательством, необходимо подготовить и подать пакет документов для регистрации в Роскомнадзоре.
Политика оператора персональных данных
Закон о персональных данных требует от операторов разработки и утверждения документа, который будет регламентировать политику обработки персональной информации для соблюдения принципов законности, конфиденциальности и защиты этих данных (ст. 18.1 закона от 27.07.2006 № 152-ФЗ, далее — закон о персональных данных).
Этот документ называется Политикой обработки персональных данных и должен быть размещён таким образом, чтобы каждый гражданин мог с ним ознакомиться. Кроме того, необходимо обеспечить подписание этого документа сотрудниками, которые непосредственно работают с персональными данными, подтверждая их ознакомление (п. 1 ст. 18.1 закона о персональных данных).
Локальные акты по обработке персональных данных
Политика обработки ПД — это важный элемент, но его недостаточно. Необходимо разработать пакет локальных актов, которые будут регулировать конкретные аспекты работы с персональными данными и обеспечивать подтверждение ознакомления сотрудников с этими требованиями. Основная цель таких документов — свести к минимуму или полностью исключить риск нарушений законодательства о персональных данных.
В комплект документов входят:
- Положения — касающиеся обработки ПД, обеспечения их безопасности и других аспектов.
- Перечни — список сотрудников и руководителей, которые имеют доступ к обработке персональных данных.
- Инструкции — описывающие права, обязанности и требования к работникам на определённых должностях.
- Регламенты — детальное описание процессов и процедур, обязательных для всех сотрудников, вне зависимости от их должностного уровня.
Подобные акты внутри компании должны быть подписаны всеми сотрудниками – это залог того, что каждый из работников ознакомился с этими важными документами и описанными в них принципами.
Извещение об обработке персональных данных
Перед началом обработки персональных данных оператор обязан уведомить субъекта об этом (ст. 22 закона о ПД). Однако есть случаи, когда уведомление не требуется, и оператор может обрабатывать данные без него:
- Обработка персональных данных ведется в соответствии с трудовым законодательством.
- Персональные данные получены в рамках заключённого договора, где субъект является одной из сторон, и используются исключительно для исполнения его условий (не будут передаваться иным субъектам).
- Персональные данные относятся к членам общественных или религиозных организаций и не будут передаваться без согласия субъекта.
- Субъект самостоятельно сделал свои данные публичными.
- Обрабатываются только фамилия, имя и отчество субъекта.
- Персональные данные нужны для однократного пропуска на территорию оператора или в аналогичных ситуациях.
- Данные включены в государственные информационные системы.
- Персональные данные обрабатываются в целях обеспечения транспортной безопасности и других подобных случаях.
Приказ о назначении ответственного лица
Каждое юридическое лицо, являющееся оператором персональных данных, обязано назначить сотрудника, который будет отвечать за организацию обработки ПД. Для этого необходимо оформить приказ или распоряжение о назначении данного ответственного лица (ст. 22.1 закона о ПД).
Согласие на обработку персональных данных
Субъект ПД с помощью этого документа свободно и добровольно выражает свое согласие на предоставление и обработку своих данных в собственных интересах (ст. 9 закона о ПД).
Оператор ПД обязан всегда иметь возможность доказать, что субъект принял решение и дал согласие на обработку. В связи с этим необходимо разработать и внедрить форму, с помощью которой субъект может официально выразить своё согласие на обработку данных.
Если персональные данные получены от третьей стороны
Часто оператор получает данные не напрямую от субъекта, а от другого лица. В таких случаях, согласно ст. 18 закона о ПД, перед началом обработки оператор обязан уведомить субъект о следующем:
- наименование оператора или его представителя, а также их адрес;
- цель обработки данных и правовые основания для этого;
- предполагаемые пользователи данных;
- права субъекта, установленные законом;
- источник, откуда были получены персональные данные.
О мерах безопасности
Закон обязывает оператора принимать меры для защиты персональных данных (п. 1 ст. 19 закона о ПД), охватывающие правовые, организационные и технические аспекты. Эти меры должны предотвратить риски намеренного, незаконного или случайного:
- доступа;
- уничтожения;
- изменения;
- блокировки;
- копирования;
- предоставления;
- распространения,
а также любых иных неправомерных действий в отношении персональных данных.
Кроме того, ответственное за организацию обработки данных лицо обязано контролировать процесс, а также рассматривать обращения субъектов персональных данных (п. 4 ст. 22.1 закона о ПД).
Необходим документ, регулирующий выполнение этих задач, а также регламенты автоматизированной обработки данных, касающиеся использования, обновления, распространения и уничтожения информации.
Разобрать все локальные акты, требуемые для обеспечения безопасной обработки персональных данных, в рамках одной статьи невозможно. Однако стоит помнить, что административные штрафы за нарушение правил работы с ПД (ст. 13.11 КоАП) могут составлять до 100 000 рублей.
Наш менеджер вас проконсультирует