Правда, что «Любая информация об определяемом или определенном лице будет персональными данными»?
18.03.2020
Если база была взята из открытых источников (например с 2GIS), можем ли мы обрабатывать такие персональные данные? Роскомнадзору будет все равно?
19.03.2020
Показать все

Документы по персональным данным: организация учета и хранения ПДн в организации

Одна из обязанностей компании согласно ст. 18.1 Закона о персональных данных №152 — своевременно подготовить документы по персональным данным (локальные акты). С другой стороны, не менее важно  провести мероприятия по подготовке документов и грамотно организовать учет и хранение персональных данных.

На практике мы часто сталкиваемся с непониманием двух моментов:  какие сведения относить к категории обрабатываемых персональных данных? Какие сведения персональными данными не являются. Давайте разбираться.

Что такое персональные данные в организации?

Персональные данные (ПД, ПДн) — сведения об определенном или определяемом физическом лице, которые прямо или косвенно имеют к нему отношение. Как видим, определение, которое нам дает ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», достаточное расплывчатое и не дает ясного представления, что же попадает под персональные данные.

Между тем, Роскомнадзор дает простую рекомендацию по определению персональных данных:

  • во-первых, если по набору представленных сведений удается определить лицо без предоставления иных идентификаторов или документов, значит мы имеем дело с персональными данными
  • во-вторых, если для отнесения сведений к конкретному человеку требуется дополнительная информация, такие сведения нельзя считать персональными.
152-ФЗ "О персональных данных"
152-ФЗ «О персональных данных»

К примеру, к персональным данным можно отнести:

    • ФИО.
    • Номер телефона.
    • Паспортные данные.
    • Биометрические данные.
    • Страховой номер (СНИЛС).
    • Личный номер налогоплательщика(ИНН).
    • Пароли для доступа к социальным сетям.
    • Пароли к электронным банковским, социальным и медицинским кабинетам и др.

Дополнительно, хотелось бы коснуться и определения «обработка персональных данных». Под обработкой персональных данных стоит понимать любую операцию или их совокупность, выполняемых операций с использованием средств автоматизации или без применения таковых с персональными данными. Например:  сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

Как определить обрабатывает ли организация персональные данные?

 Каждая организация должна задать себе вопрос: «а являюсь ли я оператором обработки персональных данных»?

Прежде всего, ответ будет утвердительным в случаях, если:

  • Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  • Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  • На Вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

В случае, если хотя бы один пункт из указанных присутствует в жизни Вашей компании — стоит подготовить документы по персональным данным.

Какие виды документов по персональным данным бывают?

В своей работе организация должна использовать три вида документов по защите персональных данных.  К ним относятся: организационные, технологические и методические.

Следовательно, первые определяют задачи, функции и ответственность структур, которые отвечают за защиту персональных данных работников. Это должностные инструкции, уведомления, положения, акты, письма, приказы. Подробнее о форме согласия на обработку персональных данных  мы говорили в цикле статей по данной теме.

Документы по персональным данным
Документы по персональным данным

Между тем, технологическая документация по защите данных в любой компании отражает систему защиты персональных данных о работниках. К ним относят: перечни, инструкции по обработке и защите персональных данных.

В свою очередь, методические файлы конкретизируют процесс защиты персональных данных работниках, определяют порядок работы с документами, содержащими приватные данные о сотрудниках, в стандартных ситуациях. Таким документом являются правила работы с ПДн.

Сформированные документы по персональным данным утверждает руководитель компании. На каждом экземпляре визируется согласование на обработку персональных данных с заинтересованными лицами. Некоторые файлы из пакета представляются субъектам персональных данных для ознакомления под роспись.

С чего начать подготовку документов по персональным данным?

В первую очередь стоит обратить внимание на создание политики конфиденциальности.  Как правило, ее закрепляют приказом об утверждении персональных данных в локальном документе. Документ носит название «Положение о персональных данных».

Положение обязательно содержит следующие сведения:

    • перечень обрабатываемых ПДн;
    • цели их обработки;
    • список действий с ПДн;
    • перечень действий с ними;
    • права и обязанности сотрудников при работе с ПДн;
    • порядок обработки ПДн, в том числе хранения, использования и передачи;
    • возможная ответственность сотрудников за несоблюдения порядка работы с персональными данными.

Какие еще обязательные документы по персональным данным стоит подготовить?

Дополнительно обязательным для организаций документом является приказ о назначении ответственного за обработку персональных данных. В качестве такого лица может выступить любой сотрудник компании. Закон не предъявляет требований к его квалификации.

Кроме того, работодатель должен получить от своего сотрудника согласие на обработку персональных данных в случаях, когда требуется передача данных третьим лицам. Например, когда бухгалтерский учет ведет сторонняя организация или банк запрашивает данные о факте трудоустройства сотрудника для выдачи кредита. В случаях, когда персональные данные сотрудника используются внутри организации, при оформлении доверенностей, в случаях сдачи отчетности по работнику в государственные структуры, при оформлении полиса ДМС и договоров, где субъект данных будет выгодоприобретателем, при обработке общедоступных персональных данных или сведений о соискателе разрешение на обработку персональных данных не требуется.

Перед началом обработки ПДн оператор обработки персональных данных направляет в Роскомнадзор уведомление об обработке персональных данных. Однако стоит знать: работодатель от такой обязанности освобожден несмотря на то, каким способом им обрабатываются сведения сотрудников. Даже если это происходит в автоматизированном режиме, нормы 152-ФЗ не действуют, но только если Вы не обрабатываете данные иных лиц.

Нередки случаи, когда должностные данные работников передаются третьим лицам — аутсорсинговым компаниям. Поэтому в этой ситуации с третьей стороной заключается договор на оказание услуг, в котором нужно указать:

    • перечень делегированных ему действий с ПД;
    • его цели обработки персональных данных;
    • его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
    • требования к защите им ПД.

Ограничение круга лиц, имеющих доступ к персональным данным

Круг лиц, которые имеют доступ к персональным данным, должен быть ограничен. Как правило, он утверждается дополнительным приказом об обработке персональных данных. Приказ подписывается руководителем. Обычно в такой список попадают сам руководитель организации и его заместители. В некоторых случаях сотрудники отдела кадров и бухгалтерии, юрист и представители службы безопасности.

Кроме того в список может попасть секретарь, в обязанности которого входит бронирование отелей и билетов для сотрудников. Уполномоченные на доступ к ПД работники должны подписать обязательство о неразглашении персональных данных. В некоторых случаях такая обязанность может быть заранее включена в условия трудового договора. При необходимости доступа лицам не из списка уполномоченных нужно завести журнал и фиксировать в нем каждое обращение к ПНд.

Подытожим — какие же действия должны быть предприняты организацией по учету и хранению персональных данных в организации:
  1. Во-первых, должен быть издан локальный акт, регулирующий порядок хранения и использования персональных данных. Обычно этим документом является «Положение о персональных данных».
  2. Во-вторых, должен быть утвержден документ, содержащий перечень персональных данных, которые используются в деятельности организации.
  3. В-третьих, отдельным приказом должны быть назначены ответственные за работу с персональными данными. Отдельным приказом назначаются и ответственные за обеспечение безопасности персональных данных.
  4. В-четвертых, должны быть подготовлены: заявления о согласии на обработку персональных данных; журналы учета персональных данных, их выдачи, передачи другим лицам; журналы проверок наличия документов содержащих персональные данные.
  5. В-пятых, отдельным приказом должны быть установлены места хранения документации, а так же меры, необходимые для обеспечения сохранности персональных данных . Как правило, такими местами являются сейфы, которые запираются на замок или опечатываются.

Отдельно стоит обратить внимание на необходимость в особых документах по персональным данным в случае использования в компании информационной системы и обработку персональных данных через персональный сайт компании.Это целый пакет файлов, требующих время на подготовку и обладание соответствующей квалификацией людей их подготавливающих. Именно такими качествами и обладает команда «ПД Мастера».

Подготовка документации по персональным данным — весьма трудозатратный процесс. Начав с Положения о персональных данных, Вы определите, какие личные сведения придется собирать, как их после этого хранить, обрабатывать и защищать.

В заключение: помните, что процесс касается персональных данных всех категорий граждан. Как работников организации, так и ее клиентов. Раскрытие персональных данных их носителей недопустимо как с законной, так и с этической точки зрения. Поэтому, если Вы не уверены в своих силах в подготовке  документации, такой процесс стоит доверить набившим руку на этом специалистам. Для этого заполните форму записи на консультации ниже.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *