Правда, что «Любая информация об определяемом или определенном лице будет персональными данными»?
18.03.2020
Если база была взята из открытых источников (например с 2GIS), можем ли мы обрабатывать такие персональные данные? Роскомнадзору будет все равно?
19.03.2020
Показать все

Документы по персональным данным: организация учета и хранения ПДн в организации

Немного о ПД

Персональные данные (ПД, ПДн) — сведения об определенном или определяемом физическом лице, которые прямо или косвенно имеют к нему отношение. Определение, которое нам дает ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», достаточное расплывчатое и не дает ясного представления, что же попадает под ПД. Роскомнадзор дает простую рекомендацию по определению ПДН: если по набору представленных сведений удается определить лицо без предоставления иных идентификаторов или документов, значит мы имеем дело с персональными данными; если же для отнесения сведений к конкретному человеку требуется дополнительная информация, такие сведения нельзя считать персональными.

152-ФЗ "О персональных данных"
152-ФЗ «О персональных данных»

Образец персональных данных:

    • ФИО.
    • Номер телефона.
    • Паспортные данные.
    • Биометрические данные.
    • Страховой номер (СНИЛС).
    • Личный номер налогоплательщика(ИНН).
    • Пароли для доступа к социальным сетям.
    • Пароли к электронным банковским, социальным и медицинским кабинетам.

Под обработкой персональных данных стоит понимать любую операцию или их совокупность, выполняемых с использованием средств автоматизации или без применения таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

Обработка персональных данных

Каждая организация должна задать себе вопрос: а являюсь ли я оператором обработки персональных данных? Ответ будет утвердительным в случае, если:

Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2;
Вы собираете данные клиентов для заключения договоров/выполнения заказов;
на Вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

В случае, если хотя бы один пункт из указанных присутствует в жизни Вашей компании, стоит позаботиться о документах по персональным данным.

Документы по персональным данным

В своей работе организация должна использовать три вида документов по защите персональных данных: организационные, технологические и методические. Первые определяют задачи, функции и ответственность структур, которые отвечают за защиту персональных данных работников. Это должностные инструкции, уведомления, положения, акты, письма, приказы.

Документы по персональным данным
Документы по персональным данным

Технологическая документация по защите данных в любой компании отражает систему защиты персональных данных о работниках. К ним относят: перечни, инструкции по обработке и защите персональных данных.

Методические файлы конкретизируют процесс защиты персональных данных работниках, определяют порядок работы с документами, содержащими приватные данные о сотрудниках, в стандартных ситуациях. Таким документом являются правила работы с ПДн.

Сформированные документы по персональным данным утверждает глава компании. На каждом экземпляре визируется согласование на обработку персональных данных с заинтересованными лицами. Некоторые файлы из пакета представляются субъектам персональных данных для ознакомления под роспись.

В первую очередь стоит обратить внимание на создание политики конфиденциальности в отношении хранения и обработки персональных данных. Как правило, ее закрепляют приказом об утверждении персональных данных в локальном документе, чаще именуемом Положением о персональных данных.

Положение обязательно содержит следующие сведения:

    • перечень обрабатываемых ПД;
    • цели их обработки;
    • список действий с ПД;
    • перечень действий с ними;
    • права и обязанности сотрудников при работе с ПДн;
    • порядок обработки ПД, в том числе хранения, использования и передачи;
    • возможная ответственность сотрудников за несоблюдения порядка работы с персональными данными.

Обязательным для организаций документом является приказ о назначении ответственного за обработку персональных данных. В качестве такого лица может выступить любой сотрудник компании, поскольку закон не предъявляет требования к его квалификации.

Работодатель должен получить от своего сотрудника согласие на обработку персональных данных в случаях, когда требуется передача данных третьим лицам. Например, когда бухгалтерский учет ведет сторонняя организация или банк запрашивает данные о факте трудоустройства сотрудника для выдачи кредита. В случаях, когда ПД сотрудника используются внутри организации, при оформлении доверенностей, в случаях сдачи отчетности по работнику в государственные структуры, при оформлении полиса ДМС и договоров, где субъект данных будет выгодоприобретателем, при обработке общедоступных персональных данных или сведений о соискателе разрешение на обработку персональных данных не требуется.

Перед началом обработки ПДн оператор обработки персональных данных направляет в Роскомнадзор уведомление об обработке персональных данных. Однако стоит знать: работодатель от такой обязанности освобожден несмотря на то, каким способом им обрабатываются сведения сотрудников. Даже если это происходит в автоматизированном режиме, нормы 152-ФЗ не действуют, но только если Вы не обрабатываете данные иных лиц.

Нередки случаи, когда должностные данные работников передаются третьим лицам — аутсорсинговым компаниям. В этой ситуации с третьей стороной заключается договор на оказание услуг, в котором нужно указать:

    • перечень делегированных ему действий с ПД;
    • его цели обработки персональных данных;
    • его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
    • требования к защите им ПД.

Круг лиц, которые имеют доступ к персональным данным, должен быть ограничен. Он утверждается дополнительным приказом об обработке персональных данных, подписанным руководителем. Обычно в такой список попадают сам руководитель организации и его заместители, сотрудники отдела кадров и бухгалтерии (как правило, это специалист в одном лице), юрист и представители службы безопасности, а также секретарь, в обязанности которого может входить бронирование отелей и билетов для сотрудников, которых направляют в командировку. Уполномоченные на доступ к ПД работники должны подписать обязательство о неразглашении персональных данных либо такая обязанность может быть заранее включена в условия трудового договора. При необходимости доступа лицам не из списка уполномоченных нужно завести журнал и фиксировать в нем каждое обращение к ПНд.

Отдельно стоит обратить внимание на необходимость в особых документах по персональным данным в случае использования в компании информационной системы и обработку персональных данных через персональный сайт компании) Это целый пакет файлов, требующих время и квалификацию, которыми обладает команда «ПД Мастера».

Подготовка документации по персональным данным — весьма трудозатратный процесс. Начав с Положения о ПД, Вы определите, какие личные сведения придется собирать, как их после этого хранить, обрабатывать и защищать.

Помните, что это касается ПД всех категорий граждан: как работников организации, так и ее клиентов. Раскрытие персональных данных их носителей недопустимо как с законной, так и с этической точки зрения. Поэтому, если Вы не уверены в своих силах в подготовке организационно-распорядительной документации, такой процесс стоит доверить набившим руку на этом специалистам, заполнив форму записи на консультации ниже.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *