Положение об обработке персональных данных: что должен содержать документ

Для любого бизнеса Положение об обработке персональных данных (ПДн) — не просто формальный документ, а защита от штрафов, репутационных потерь и судебных исков. Неправильная работа с данными клиентов и сотрудников может обернуться потерей до 500 млн рублей. Но главное — это доверие: клиенты уходят от тех, кто не гарантирует безопасность их ПДн. Разберемся, для чего нужно Положение и как правильно его составить.

Что такое Положение об обработке ПДн

Положение об обработке и защите персональных данных — это развернутый документ, конкретизирующий Политику работы с ПДн. В нем должны быть зафиксированы:

1. Порядок доступа — правила, по которым работники или сторонние лица получают доступ к данным.
2. Передача третьим лицам — условия и процедура раскрытия данных другим организациям или государственным органам.
3. Уничтожение данных — способы и сроки удаления ПДн, утративших актуальность.
4. Реагирование на инциденты — действия компании в случае утечки или иного нарушения безопасности.

Документ делает обработку ПДн более прозрачной и понятной, и помогает компании соблюдать требования законодательства в области защиты данных.

Важно! Положение об обработке ПДн и Политика обработки данных — это разные документы. В Политике описываются общие правила работы с ПДн и она публикуется на сайте, в то время как Положение предназначено для внутреннего пользования и раскрывает детально особенности обработки данных. Сотрудники, допущенные к работе с данными, должны быть ознакомлены с ним под роспись.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Содержание Положения об обработке

Унифицированной формы Положения об особенностях обработки персональных данных нет, но оно должно соответствовать требованиям ФЗ №152-ФЗ.

Какие сведения рекомендуется в него включить:

1. Цели и задачи обработки и защиты ПДн.
   Основная цель организации — обеспечение законной, безопасной и прозрачной обработки ПДн сотрудников, клиентов и иных субъектов.
   Задачи:
   • соблюдение требований законодательства (ФЗ №152-ФЗ, ТК РФ и др.);
   • минимизация рисков утечек и неправомерного использования данных;
   • обеспечение конфиденциальности и целостности сведений;
   • предоставление субъектам данных возможности реализовать свои права;
2. Понятие и состав персональных данных.
   ПДн — информация, по которой можно понять, что она принадлежит конкретному человеку.
   Основные категории ПДн:
   • общие (ФИО, дата рождения, паспортные данные, адрес и прочее);
   • специальные (медицинские данные, биометрия, национальность, религия;
   • иные данные, необходимые для трудовых отношений (образование, стаж, ИНН, СНИЛС, банковские реквизиты).
3. Порядок сбора, обработки, использования и передачи ПДн:
   • сбор — только с согласия субъекта (если иное не предусмотрено законом);
   • обработка — в рамках заявленных целей (кадровый учет, налогообложение и т. д.);
   • использование — исключительно для достижения целей;
   • передача третьим лицам — только при необходимости (госорганы, банки, контрагенты) с соблюдением требований закона.
4. Способы хранения:
   • электронные носители — в защищенных базах данных с ограниченным доступом;
   • бумажные носители — в сейфах или запираемых шкафах;
   • места хранения — серверы в РФ, архивы, кадровая служба.
5. Права работника в отношении своих ПДн:
   • знакомиться со своими ПДн и запрашивать копии документов;
   • требовать уточнения, блокирования или удаления данных при их некорректности;
   • отзывать согласие на обработку (если обработка основана на согласии);
   • обжаловать неправомерные действия оператора в контролирующие органы.
6. Обязанности работодателя как оператора ПДн:
   • обеспечивать конфиденциальность и защиту данных;
   • не запрашивать избыточную информацию, не связанную с трудовым договором;
   • уничтожать ПДн после достижения целей обработки или по требованию субъекта (если нет законных оснований для хранения);
   • оповещать субъектов о фактах утечек в установленные сроки.
7. Меры защиты ПДн:
   • организационные: назначение ответственных, инструктаж сотрудников, разграничение доступа;
   • технические: антивирусы, шифрование, резервное копирование, пароли;
   • физические: охрана помещений, видеонаблюдение, сейфы для бумажных документов.
8. Ответственность за нарушения:
   • дисциплинарная (выговор, увольнение);
   • административная (штрафы по ст. 13.11 КоАП РФ);
   • уголовная (ст. 137 УК РФ — при нарушении неприкосновенности частной жизни);
   • гражданско-правовая (компенсация морального вреда по ст.24 ФЗ №152-ФЗ).

Заключение

Положение об обработке персональных данных клиентов и сотрудников — ключевой документ, который защищает бизнес от юридических и финансовых рисков. В нем должны быть четко прописаны правила работы с данными, меры защиты и ответственность за нарушения. Грамотно составленное Положение убережет вашу организацию от штрафов и репутационных потерь. Не откладывайте — внедрите все правила и документы сейчас, чтобы избежать проблем в будущем.