Какие документы нужны для работы с персональными данными

Все без исключения организации, которые хотя бы однажды работали с частными лицами, рассматриваются как операторы персональных данных (ПД). Все они обрабатывают ПД частных лиц — клиентов, работников и т.п. Для корректной работы с ними необходимо сформировать пакет документов для регистрации в Роскомнадзоре.
Какие документы нужны для работы с персональными данными
Иллюстрация: Pavel Danilyuk/pexels

Политика оператора ПД

Закон о ПД обязывает оператора составить и издать документ, который будет определять политику обработки персональных данных с целью реализации принципов законности, конфиденциальности и безопасности этой информации (ст. 18.1 закона от 27.07.2006 № 152-ФЗ, далее — закон о ПД).

Этот документ называют Политикой в отношении обработки ПД, он должен быть опубликован так, чтобы любой гражданин мог с ним ознакомиться. Также необходимо ознакомить с политикой под роспись сотрудников, которые непосредственно обрабатывают ПД (п. 1 ст. 18.1 закона о ПД).  

Локальные акты по обработке ПД

Политика — это важно, но далеко не все. Нужен пакет локальных актов, которые будут регулировать конкретные вопросы обработки ПД, а также подтверждать ознакомление тех или иных лиц. Основная задача, которую должны решать эти акты — минимизировать или вообще исключить риск нарушения законодательства о ПД. 

В пакет документов включают:

  • Положения — об обработке ПД, об обеспечении безопасности ПД и т.д.

  • Перечни — список лиц (обычных сотрудников и должностных лиц различных уровней), допущенных к обработке ПД.

  • Инструкции — документы, которые определяют права, обязанности, требования, касающиеся сотрудника на конкретной должности.

  • Регламенты — описание процессов, порядков, алгоритмов, обязательных для исполнения всем без исключения сотрудникам, независимо от должности.

Положения всех локальных актов относительно обработки ПД, должны быть под роспись доведены до сведения всех сотрудников (п. 4 ст. 22.1 закона о ПД).

Если вы хотите получить пакет документов, которые необходимы для исполнения требований законодательства в части обработки персональных данных, оставляйте заявку на этом сайте!

Уведомление об обработке ПД

До начала обработки ПД оператор должен направить субъекту ПД такое уведомление (ст. 22 закона о ПД). Без уведомления оператор может обрабатывать эти данные лишь в строго определенных случаях:

  1. Обработка ПД в соответствии с трудовым законодательством.

  2. ПД получены оператором в связи с заключением договора, сторона которого — субъект ПД, но используемые только для исполнения договора (без передачи третьим лицам).

  3. ПД относятся к членам / участникам общественного объединения или религиозной организации и не будут передаваться кому бы то ни было (без письменного согласия субъекта ПД).

  4. Сам субъект сделал ПД общедоступными.

  5. Если ПД включают лишь Ф.И.О. субъектов.

  6. ПД необходимы для разового пропуска на территорию, на которой находится оператор (в аналогичных случаях).

  7. Если ПД включены в государственные ИС.

  8. Когда ПД обрабатываются в целях транспортной безопасности и т.п.

Приказ об ответственном лице

Любой оператор ПД, являющийся юридическим лицом, обязан назначить лицо, ответственное за организацию обработки ПД. Это означает: издать документ – приказ или распоряжение о назначении ответственного лица (ст. 22.1 закона о ПД).

Согласие на обработку ПД

Это классический документ, которым субъект ПД свободно, добровольно и в своем интересе выражает (ст. 9 закона о ПД):

  • решение о представлении этих данных;

  • согласие на их обработку.

Представить доказательства того, что субъект ПД выразил решение и дал согласие должен всегда оператор ПД. Следовательно, необходимо разработать и применять форму согласия субъекта ПД на их обработку.

Если ПД получены от третьего лица

Нередко данные оператор получает не от самого частного лица, а от кого-то другого. В таком случае, ст. 18 закона о ПД обязывает до начала обработки ПД сообщить субъекту данные:

  • наименование или Ф.И.О. и адрес оператора ПД (уполномоченного его представителя);

  • цель обработки ПД, правовое обоснование возможности такой обработки;

  • предполагаемые пользователи ПД;

  • установленные законом права субъекта ПД;

  • источник получения ПД.

О мерах по защите

Закон обязывает оператора принимать меры по защите ПД (п. 1 ст. 19 закона о ПД) — правового, организационного, технического характера. Эти меры должны исключить риски намеренного, неправомерного или случайного:

  • доступа;

  • уничтожения;

  • изменения;

  • блокирования;

  • копирования;

  • представления;

  • распространения,

как и других действий неправомерного характера в отношении ПД.

Также лицо, которое отвечает за организацию обработки ПД, обязано контролировать, принимать и обрабатывать обращения субъектов ПД (п. 4 ст. 22.1 закона о ПД).

Поэтому нужен документ, который позволяет решать эти задачи, так же как и регламенты автоматизированной обработки ПД, регулирующие использование, уточнение, распространение, уничтожение в современном виде.

В рамках одной статьи невозможно в деталях проанализировать все локальные акты, которые нужны для безопасной работы с персональными данными. Между тем административные штрафы за некорректную работу с ПД (ст. 13.11 КоАП) могут достигать 100 000 руб.

Бесплатный чек-лист обязательных процедур, необходимых для соблюдения законодательства по персональным данным

Организуйте в своей компании работу с персональными данными согласно требованиям закона

Заполните форму, вышлем чек-лист нам на e-mail:

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8K8QhV

Начать дискуссию