Как разработать политику конфиденциальности персональных данных
Для соблюдения требований Закона о защите персональных данных в организации существует политика конфиденциальности персональных данных, в соответствии с которой сотрудники осуществляют работу. Рассказываем, как составить документ и где его разместить.
Кто и зачем разрабатывает политику обработки персданных
Федеральный закон от 27.07.2006 № 152-ФЗ требует наличия в организациях документа, закрепляющего правила, способы и цели сбора и обработки персданных.
Роскомнадзор — это ведомство, которое следит за соблюдением положений закона № 152. Ведомство составило рекомендации по разработке положения о персональных данных (ПД).
Каждая компания получает ПД от работников, клиентов, контрагентов и пр. граждан, поэтому организациям необходимо иметь правила работы с ПД внутри предприятия.
Разработку положения о ПД поручают юристу или лицу, ответственному за работу с ПД на предприятии.
Документ доводят со сведения сотрудников, работающих с ПД, при наличии сайта организации с формой для сбора ПД — размещают на сайте. Необходимо обеспечить доступ граждан к политике, именно для этого документ хранят в открытом доступе в офисах или на информационных стендах.
Для сведения: как уведомить РКН об обработке персональных данных
Как разработать политику обработки персданных
Роскомнадзор рекомендует включить в документ шесть блоков.
1. Вводная часть
В этом разделе указывают, для чего организация осуществляет сбор ПД. В блок включают термины, которые встречаются по тексту, перечисляют права и обязанности оператора и субъекта ПД.
2. Цели сбора данных
В соответствии со ст. 5 ФЗ № 152 оператору необходимо определить цели сбора и обработки ПД. Их формируют с учетом:
- положений локальных нормативных актов;
- специфики деятельности организации;
- требований бизнес-процессов;
- особенностей программного обеспечения на предприятии.
3. Основания работы с ПД
Правовое регулирование работы с данными осуществляет не только ФЗ № 152, в положение необходимо включить в качестве правовой основы:
- уставные документы;
- локальные нормативные акты (должностные инструкции, регламенты доступа к информации и пр.);
- договоры, на основании которых происходит взаимодействие оператора и субъекта;
- согласия субъектов на доступ к данным и пр.
4. Перечень, объем данных и категории субъектов
Объем обрабатываемой информации необходимо сопоставить с целями. Значение должно соответствовать целям: для связи с клиентом в целях оформления заявки достаточно номера телефона и имени, не следует запрашивать паспортные данные, прописку и пр.
Категории субъектов перечисляют в зависимости от целей получения данных:
- сотрудники;
- клиенты;
- кандидаты на вакантные должности;
- контрагенты и пр.
Объем и цели указывают для каждой категории субъектов.
5. Порядок работы с ПД
В этом разделе указывают перечень действий, которые ответственный работник совершает при получении и работе с информацией. Эту информацию допустимо взять из должностной инструкции или положения о работе с ПД в организации.
Необходимо детально прописать цепочку действий сотрудника от запроса информации до прекращения работы с данными.
6. Обновление, уничтожение ПД и порядок доступа к информации
Ст. 21 ФЗ № 152 требует актуализации информации в случае неточностей или ее изменения.
ПД необходимо уничтожить при достижении цели обработки, в случае отзыва субъекта ПД согласия на обработку.
Роскомнадзор рекомендует включить в документ порядок реагирования на запросы и обращения субъектов ПД по вопросу уточнения данных, неправомерности их обработки, отзыва согласия и доступа к своим данным.
Эксперты КонсультантПлюс разобрали, как организации защитить конфиденциальную информацию. Используйте эти инструкции бесплатно.
Пример политики обработки персональных данных
Вот образец документа:
Надо знать: как оформить согласие на обработку персданных
Политику необходимо утвердить приказом руководителя:
ООО «______________________» ИНН ________________________ Приказ № ____________ г. ________________________ «____» _____________ 2024 г. Об утверждении политики конфиденциальности персональных данных В целях соблюдения законодательства Российской Федерации о защите персональных данных ПРИКАЗЫВАЮ:
Директор ООО «______________» __________________ (подпись) / _____________ (ФИО) Ознакомлены: _________________ _________________ |
Читайте также: