Персональные данные в компании: документы для их корректной обработки

Практически каждая компания страны является оператором персональных данных, поскольку занимается обработкой как минимум данных о своих работниках. В связи с этим важно понимать, какие документы следует подготовить для корректного обращения с ПД. Пренебрежение нормами действующего в этой части законодательства способно привести к крупным штрафам – которые, к слову, с завидной регулярностью увеличиваются.

Компании, собирающие и хранящие информацию о работниках и клиентах, подпадают под определение «оператор персональных данных» в силу положений ст. 3 ФЗ №152. Данный нормативно-правовой акт также определяет перечень документации, которую необходимо завести и оформить каждому оператору ПД для корректного обращения с личной информацией об указанных категориях лиц.

Документы для работы с ПД: чего требует закон 152 ФЗ?

Указанный выше нормативный акт устанавливает, что в организации должны быть представлены следующие виды документации для целей обработки персональных данных:

1. Согласие лица на то, что его личные сведения будут подлежать обработке. Данная форма устанавливается статьей 9 приведенного выше федерального закона.
2. Получение одобрения на обработку личной информации лица, не достигшего совершеннолетия.
3. Согласие лица на то, что его персональные данные будут распространены. Документ подготавливается отдельно от приведенных выше бумаг. В нем закрепляется определенный перечень информации по каждой категории, распространение которых лицо одобряет. В случае не подписания подобного документа организация имеет право заниматься обработкой сведений без их дальнейшего распространения.
4. Одобрение лица на то, что его данные могут быть переданы третьим лицам.
5. Свод правили или положений по обработке персональных данных. В документе следует указать категории сведений, которые подлежат обработке, а также же порядок их уничтожения и хранения.
6. Приказ о том, что в организации определено лицо, на которое возложена ответственность по обработке персональных сведений.
7. Приказ о допущении к обработке данных – документ фиксирует, какие работники организации имеют доступ к взаимодействию с ПД в рамках осуществления своих обязанностей на предприятии.
8. Политика оператора в части обрабатывания сведений.
9. Политика конфиденциальности данных людей, совершивших визит на портал организации в сети Интернет.
10. Приказ об утверждении политики оператора в отношении обрабатывания персональных сведений.

Обращаем ваше внимание, что приведенный выше список – не исчерпывающий. Здесь приведены лишь основные виды документов, на деле обязательных бумаг в несколько раз больше (порядка 60 штук).

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Нововведения в документации для обработки ПД

В 2023 году РКН обратил особое внимание на утечки персональных данных, которые с завидной регулярностью происходят в сети. В своем Приказе №187 надзорный орган определил порядок взаимодействия оператора ПД и РКН при свершении подобной утечки.

С марта 2023 года компания должно осуществлять оценку предполагаемого урона субъекту персональных данных. Требования к ее проведения определяются Приказом РКН №178. Оценка масштабов урона может быть проведена специальной комиссией или работником, ответственным за обработку личных сведений. По итогам проведения мероприятия необходимо оформить акт – его содержание и форму определяют пункты 4 и 5 упомянутого в данном абзаце Приказа. Данный документ тоже является обязательным – и его наличие может проверить Роскомнадзор.

Также федеральный закон №152 определяет случаи, при которых необходимо уничтожать персональные данные:

1. Обработка осуществлялась неправомерно, допустим, без получения одобрения самого лица на это.
2. Цели, в рамках которых осуществлялся сбор ПД, были достигнуты.
3. Субъект ПД отозвал свое одобрение на их обработку.

Факт уничтожения сведений необходимо подтвердить специальным актом. После уничтожения электронной информации необходимо подготовить выгрузку из журнала регистрации событий в информационной системе ПД.

Последствия нарушения правил обращения с персональными данными

Ответственность за пренебрежение нормами законодательства предусматривается ст. 13.11 КоАП РФ. Например, невыполнение требований об уничтожении сведений может обернуться для юридического лица штрафом до 90 тысяч рублей.

Обработка сведений без получения на это предварительного одобрения лица может обернуться для компании наложением санкции в размере до 150 тысяч рублей.

Если оператор при сборе сведений не обеспечивает запись, систематизацию, накопление, хранение ПД граждан россии с применением баз данных, находящихся в пределах границы РФ, следуя законам, на должностное лицо могут наложить штраф до 200 тысяч рублей, на ИП — до 40 тысяч, на компанию — до 6 млн рублей.

Пренебрежение нормами законодательства в части персональных данных может обернуться для организации серьезными последствиями. Исполняйте требования законодательства надлежащим образом!