Как разработать политику конфиденциальности персональных данных

Для соблюдения требований Закона о защите персональных данных в организации существует политика конфиденциальности персональных данных, в соответствии с которой сотрудники осуществляют работу. Рассказываем, как составить документ и где его разместить.

Содержание

Кто и зачем разрабатывает политику обработки персданных

Федеральный закон от 27.07.2006 № 152-ФЗ требует наличия в организациях документа, закрепляющего правила, способы и цели сбора и обработки персданных.

Роскомнадзор — это ведомство, которое следит за соблюдением положений закона № 152. Ведомство составило рекомендации по разработке положения о персональных данных (ПД).

Каждая компания получает ПД от работников, клиентов, контрагентов и пр. граждан, поэтому организациям необходимо иметь правила работы с ПД внутри предприятия.

Разработку положения о ПД поручают юристу или лицу, ответственному за работу с ПД на предприятии.

Документ доводят со сведения сотрудников, работающих с ПД, при наличии сайта организации с формой для сбора ПД — размещают на сайте. Необходимо обеспечить доступ граждан к политике, именно для этого документ хранят в открытом доступе в офисах или на информационных стендах.

Для сведения: как уведомить РКН об обработке персональных данных

Как разработать политику обработки персданных

Роскомнадзор рекомендует включить в документ шесть блоков.

1. Вводная часть

В этом разделе указывают, для чего организация осуществляет сбор ПД. В блок включают термины, которые встречаются по тексту, перечисляют права и обязанности оператора и субъекта ПД.

2. Цели сбора данных

В соответствии со ст. 5 ФЗ № 152 оператору необходимо определить цели сбора и обработки ПД. Их формируют с учетом:

  • положений локальных нормативных актов;
  • специфики деятельности организации;
  • требований бизнес-процессов;
  • особенностей программного обеспечения на предприятии.

3. Основания работы с ПД

Правовое регулирование работы с данными осуществляет не только ФЗ № 152, в положение необходимо включить в качестве правовой основы:

  • уставные документы;
  • локальные нормативные акты (должностные инструкции, регламенты доступа к информации и пр.);
  • договоры, на основании которых происходит взаимодействие оператора и субъекта;
  • согласия субъектов на доступ к данным и пр.

4. Перечень, объем данных и категории субъектов

Объем обрабатываемой информации необходимо сопоставить с целями. Значение должно соответствовать целям: для связи с клиентом в целях оформления заявки достаточно номера телефона и имени, не следует запрашивать паспортные данные, прописку и пр.

Категории субъектов перечисляют в зависимости от целей получения данных:

  • сотрудники;
  • клиенты;
  • кандидаты на вакантные должности;
  • контрагенты и пр.

Объем и цели указывают для каждой категории субъектов.

5. Порядок работы с ПД

В этом разделе указывают перечень действий, которые ответственный работник совершает при получении и работе с информацией. Эту информацию допустимо взять из должностной инструкции или положения о работе с ПД в организации.

Необходимо детально прописать цепочку действий сотрудника от запроса информации до прекращения работы с данными.

ВАЖНО!
Включите раздел с требованиями к хранению полученной информации и условиями передачи третьим лицам.

6. Обновление, уничтожение ПД и порядок доступа к информации

Ст. 21 ФЗ № 152 требует актуализации информации в случае неточностей или ее изменения.

ПД необходимо уничтожить при достижении цели обработки, в случае отзыва субъекта ПД согласия на обработку.

Роскомнадзор рекомендует включить в документ порядок реагирования на запросы и обращения субъектов ПД по вопросу уточнения данных, неправомерности их обработки, отзыва согласия и доступа к своим данным.

Пример политики обработки персональных данных

Вот образец документа:

Надо знать: как оформить согласие на обработку персданных

Политику необходимо утвердить приказом руководителя:

ООО «______________________»

ИНН ________________________

Приказ № ____________

г. ________________________

«____» _____________ 2024 г.

Об утверждении политики конфиденциальности персональных данных

В целях соблюдения законодательства Российской Федерации о защите персональных данных

ПРИКАЗЫВАЮ:

  1. Утвердить и ввести в действие с «___» __________ 2024 г. политику конфиденциальности персональных данных в ООО «_________».
  2. Разместить экземпляр документа в общедоступном для сотрудников организации месте.
  3. Разместить текст документа на сайте организации.

Директор ООО «______________»

__________________ (подпись) / _____________ (ФИО)

Ознакомлены:

_________________

_________________

Читайте также:

В 2017 году окончила НФИ КемГУ по специальности "юриспруденция". Начала работу помощником арбитражного управляющего (банкротство). Спустя 1,5 года перешла в администрацию бизнес-центра на должность руководителя юр. отдела. Сопровождаю бизнес.