20 февраля 2023
Для соблюдения требований Закона о защите персональных данных в организации существует политика конфиденциальности персональных данных, в соответствии с которой сотрудники осуществляют работу. Рассказываем, как составить документ и где его разместить.
Кто и зачем разрабатывает политику обработки персданных
Федеральный закон от 27.07.2006 № 152-ФЗ требует наличия в организациях документа, закрепляющего правила, способы и цели сбора и обработки персданных. Роскомнадзор — это ведомство, которое следит за соблюдением положений закона № 152. Ведомство составило рекомендации по разработке положения о персональных данных (ПД). Каждая компания получает ПД от работников, клиентов, контрагентов и пр. граждан, поэтому организациям необходимо иметь правила работы с ПД внутри предприятия.
Разработку положения о ПД поручают юристу или лицу, ответственному за работу с ПД на предприятии. Документ доводят со сведения сотрудников, работающих с ПД, при наличии сайта организации с формой для сбора ПД — размещают на сайте. Необходимо обеспечить доступ граждан к политике, именно для этого документ хранят в открытом доступе в офисах или на информационных стендах.
Как разработать политику обработки персданных Роскомнадзор рекомендует включить в документ шесть блоков.
1. Вводная часть В этом разделе указывают, для чего организация осуществляет сбор ПД. В блок включают термины, которые встречаются по тексту, перечисляют права и обязанности оператора и субъекта ПД.
2. Цели сбора данных В соответствии со ст. 5 ФЗ № 152 оператору необходимо определить цели сбора и обработки ПД.
Их формируют с учетом: положений локальных нормативных актов; специфики деятельности организации; требований бизнес-процессов; особенностей программного обеспечения на предприятии.
3. Основания работы с ПД Правовое регулирование работы с данными осуществляет не только ФЗ № 152, в положение необходимо включить в качестве правовой основы: уставные документы; локальные нормативные акты (должностные инструкции, регламенты доступа к информации и пр.); договоры, на основании которых происходит взаимодействие оператора и субъекта; согласия субъектов на доступ к данным и пр.
4. Перечень, объем данных и категории субъектов Объем обрабатываемой информации необходимо сопоставить с целями.
Значение должно соответствовать целям: для связи с клиентом в целях оформления заявки достаточно номера телефона и имени, не следует запрашивать паспортные данные, прописку и пр. Категории субъектов перечисляют в зависимости от целей получения данных: сотрудники; клиенты; кандидаты на вакантные должности; контрагенты и пр. Объем и цели указывают для каждой категории субъектов.
5. Порядок работы с ПД В этом разделе указывают перечень действий, которые ответственный работник совершает при получении и работе с информацией. Эту информацию допустимо взять из должностной инструкции или положения о работе с ПД в организации. Необходимо детально прописать цепочку действий сотрудника от запроса информации до прекращения работы с данными. Важно! Включите раздел с требованиями к хранению полученной информации и условиями передачи третьим лицам.
6. Обновление, уничтожение ПД и порядок доступа к информации Ст. 21 ФЗ № 152 требует актуализации информации в случае неточностей или ее изменения. ПД необходимо уничтожить при достижении цели обработки, в случае отзыва субъекта ПД согласия на обработку. Роскомнадзор рекомендует включить в документ порядок реагирования на запросы и обращения субъектов ПД по вопросу уточнения данных, неправомерности их обработки, отзыва согласия и доступа к своим данным.
Хотите быть в курсе последних новостей и событий? Подписывайтесь на телеграм- канал «Бизнес в Кузбассе»