Одна из обязанностей компании согласно ст. 18.1 Закона о персональных данных №152 — своевременно подготовить документы по персональным данным (локальные акты)а так же проводить систематическую внутреннюю проверку защиты персональных данных. С другой стороны, не менее важно  провести мероприятия по подготовке документов и грамотно организовать учет и хранение персональных данных.

На практике мы часто сталкиваемся с непониманием двух моментов:  какие сведения относить к категории обрабатываемых персональных данных? Какие сведения персональными данными не являются. Давайте разбираться.

Что такое персональные данные в организации?

Персональные данные (ПД, ПДн) — сведения об определенном или определяемом физическом лице, которые прямо или косвенно имеют к нему отношение. Как видим, определение, которое нам дает ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», достаточное расплывчатое и не дает ясного представления, что же попадает под персональные данные.

Между тем, Роскомнадзор дает простую рекомендацию по определению персональных данных:

  • во-первых, если по набору представленных сведений удается определить лицо без предоставления иных идентификаторов или документов, значит мы имеем дело с персональными данными
  • во-вторых, если для отнесения сведений к конкретному человеку требуется дополнительная информация, такие сведения нельзя считать персональными.
152-ФЗ «О персональных данных»

К примеру, к персональным данным можно отнести:

    • ФИО.
    • Номер телефона.
    • Паспортные данные.
    • Биометрические данные.
    • Страховой номер (СНИЛС).
    • Личный номер налогоплательщика(ИНН).
    • Пароли для доступа к социальным сетям.
    • Пароли к электронным банковским, социальным и медицинским кабинетам и др.

Дополнительно, хотелось бы коснуться и определения «обработка персональных данных». Под обработкой персональных данных стоит понимать любую операцию или их совокупность, выполняемых операций с использованием средств автоматизации или без применения таковых с персональными данными. Например:  сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

Как определить обрабатывает ли организация персональные данные?

Каждая организация должна задать себе вопрос: «а являюсь ли я оператором обработки персональных данных»?

Прежде всего, ответ будет утвердительным в случаях, если:

  • Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  • Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  • На Вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

В случае, если хотя бы один пункт из указанных присутствует в жизни Вашей компании — стоит подготовить документы по персональным данным.

Какие виды документов по персональным данным бывают?

В своей работе организация должна использовать три вида документов по защите персональных данных.  К ним относятся: организационные, технологические и методические.

Следовательно, первые определяют задачи, функции и ответственность структур, которые отвечают за защиту персональных данных работников. Это должностные инструкции, уведомления, положения, акты, письма, приказы. Подробнее о форме согласия на обработку персональных данных  мы говорили в цикле статей по данной теме.

Документы по персональным данным

Между тем, технологическая документация по защите данных в любой компании отражает систему защиты персональных данных о работниках. К ним относят: перечни, инструкции по обработке и защите персональных данных.

В свою очередь, методические файлы конкретизируют процесс защиты персональных данных работниках, определяют порядок работы с документами, содержащими приватные данные о сотрудниках, в стандартных ситуациях. Таким документом являются правила работы с ПДн.

Сформированные документы по персональным данным утверждает руководитель компании. На каждом экземпляре визируется согласование на обработку персональных данных с заинтересованными лицами. Некоторые файлы из пакета представляются субъектам персональных данных для ознакомления под роспись.

С чего начать подготовку документов по персональным данным?

В первую очередь стоит обратить внимание на создание политики конфиденциальности.  Как правило, ее закрепляют приказом об утверждении персональных данных в локальном документе. Документ носит название «Положение о персональных данных».

Положение обязательно содержит следующие сведения:

  • перечень обрабатываемых ПДн;
  • цели их обработки;
  • список действий с ПДн;
  • перечень действий с ними;
  • права и обязанности сотрудников при работе с ПДн;
  • порядок обработки ПДн, в том числе хранения, использования и передачи;
  • возможная ответственность сотрудников за несоблюдения порядка работы с персональными данными.

Специалисты ПД Мастер готовы помочь и поддержать Вас на каждом этапе разработки документации в соответствии с 152-ФЗ. Поделитесь подробностями о стоящих задачах в области безопасности персональных данных, и наша команда найдет для Вас решение

Какие еще обязательные документы по персональным данным стоит подготовить?

Дополнительно обязательным для организаций документом является приказ о назначении ответственного за обработку персональных данных. В качестве такого лица может выступить любой сотрудник компании. Закон не предъявляет требований к его квалификации.

Кроме того, работодатель должен получить от своего сотрудника согласие на обработку персональных данных в случаях, когда требуется передача данных третьим лицам. Например, когда бухгалтерский учет ведет сторонняя организация или банк запрашивает данные о факте трудоустройства сотрудника для выдачи кредита. В случаях, когда персональные данные сотрудника используются внутри организации, при оформлении доверенностей, в случаях сдачи отчетности по работнику в государственные структуры, при оформлении полиса ДМС и договоров, где субъект данных будет выгодоприобретателем, при обработке общедоступных персональных данных или сведений о соискателе разрешение на обработку персональных данных не требуется.

Перед началом обработки ПДн оператор обработки персональных данных направляет в Роскомнадзор уведомление об обработке персональных данных. Однако стоит знать: работодатель от такой обязанности освобожден несмотря на то, каким способом им обрабатываются сведения сотрудников. Даже если это происходит в автоматизированном режиме, нормы 152-ФЗ не действуют, но только если Вы не обрабатываете данные иных лиц.

Нередки случаи, когда должностные данные работников передаются третьим лицам — аутсорсинговым компаниям. Поэтому в этой ситуации с третьей стороной заключается договор на оказание услуг, в котором нужно указать:

  • перечень делегированных ему действий с ПД;
  • его цели обработки персональных данных;
  • его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
  • требования к защите им ПД.

Ограничение круга лиц, имеющих доступ к персональным данным

Круг лиц, которые имеют доступ к персональным данным, должен быть ограничен. Как правило, он утверждается дополнительным приказом об обработке персональных данных. Приказ подписывается руководителем. Обычно в такой список попадают сам руководитель организации и его заместители. В некоторых случаях сотрудники отдела кадров и бухгалтерии, юрист и представители службы безопасности.

Кроме того в список может попасть секретарь, в обязанности которого входит бронирование отелей и билетов для сотрудников. Уполномоченные на доступ к ПД работники должны подписать обязательство о неразглашении персональных данных. В некоторых случаях такая обязанность может быть заранее включена в условия трудового договора. При необходимости доступа лицам не из списка уполномоченных нужно завести журнал и фиксировать в нем каждое обращение к ПНд.

Подытожим — какие же действия должны быть предприняты организацией по учету и хранению персональных данных в организации:
  1. Во-первых, должен быть издан локальный акт, регулирующий порядок хранения и использования персональных данных. Обычно этим документом является «Положение о персональных данных».
  2. Во-вторых, должен быть утвержден документ, содержащий перечень персональных данных, которые используются в деятельности организации.
  3. В-третьих, отдельным приказом должны быть назначены ответственные за работу с персональными данными. Отдельным приказом назначаются и ответственные за обеспечение безопасности персональных данных.
  4. В-четвертых, должны быть подготовлены: заявления о согласии на обработку персональных данных; журналы учета персональных данных, их выдачи, передачи другим лицам; журналы проверок наличия документов содержащих персональные данные.
  5. В-пятых, отдельным приказом должны быть установлены места хранения документации, а так же меры, необходимые для обеспечения сохранности персональных данных . Как правило, такими местами являются сейфы, которые запираются на замок или опечатываются.

Отдельно стоит обратить внимание на необходимость в особых документах по персональным данным в случае использования в компании информационной системы и обработку персональных данных через персональный сайт компании.Это целый пакет файлов, требующих время на подготовку и обладание соответствующей квалификацией людей их подготавливающих. Именно такими качествами и обладает команда «ПД Мастера».

Подготовка документации по персональным данным — весьма трудозатратный процесс. Начав с Положения о персональных данных, Вы определите, какие личные сведения придется собирать, как их после этого хранить, обрабатывать и защищать.

В заключение: помните, что процесс касается персональных данных всех категорий граждан. Как работников организации, так и ее клиентов. Раскрытие персональных данных их носителей недопустимо как с законной, так и с этической точки зрения. Поэтому, если Вы не уверены в своих силах в подготовке  документации, такой процесс стоит доверить набившим руку на этом специалистам. Для этого заполните форму записи на консультации ниже.

    Здесь можно задавать свои вопросы





    «Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»