Реестр процессов обработки персональных данных: ваш главный навигатор или «анатомия» кадровых процессов

Размер шрифта:

Приветствую, коллеги! Ранее, я неоднократно говорила о том, что каждому оператору нужен один очень важный документ (реестр процессов). Сегодня давайте разберем его подробно — что это за инструмент, который структурирует вашу работу.

Навигация

Подписывайтесь на телеграм-канал «Совина ПроКадры».

Почему именно «реестр процессов», а не просто «перечень»?

Если мы откроем статью 18.1 Закона № 152-ФЗ, то увидим: в Политику мы включаем цели обработки. А под каждую цель нужно описать целый пласт информации: категории данных, субъектов, способы обработки, действия. И вот тут возникает вопрос: как описать это так, чтобы не запутаться и не упустить детали?

Реестр процессов — разбор вашей деятельности по подразделениям на «атомы». Мы берем и «расщепляем» все участки работы на микропроцессы (микродействия). Затем группируем их в микроцели (для внутренних локальных актов), а уже потом — в макроцели (для Политики и уведомления в РКН).

Давайте посмотрим, как это работает на примере отдела персонала. Казалось бы, просто «кадровый учет». Но если копнуть глубже:

  1. Подбор персонала. Мы не просто ищем резюме. Проводим селекцию. А как вы оцениваете кандидатов? Только по деловым качествам? Или используете профилирование, оцениваете мотиваторы, социально-психологические аспекты? Это уже не одна цель, а несколько.
  2. Кадровый учет. Если вы работаете в группе компаний и кадровым учетом занимается другое юрлицо, для вас это не внутренняя передача, а поручение обработки сторонней организации. Это обременение, которое требует отдельного отражения в документах.
  3. Ученические договоры и практика. Если вы заключаете ученический договор со стажером или принимаете на практику студентов, вы обрабатываете данные категории «слушатели» или «практиканты». Это еще не «работники» и уже не «соискатели».
  4. Пособия и иные выплаты и подарки, например родственникам работников. Вы обрабатываете данные этой категории субъектов ПДн в разных контекстах. Например, выплата пособий в связи с рождением ребенка, больничные по уходу — это часть КДП. А вот вручение новогодних подарков детям сотрудников — это уже социальная программа, которая не регулируется ТК РФ, и такие цели лучше выделять отдельно (например, «организация корпоративных и социальных мероприятий»).
  5. И так далее …

Детализация микроцелей: смотрим на участников процесса и системы

Чтобы реестр действительно стал рабочим инструментом, микроцели по участкам лучше расписывать в разрезе конкретных операций КДП: приём, перевод, командировки, учёт рабочего времени, оплата труда и т.д.

При этом обязательно смотрите на процессы под призмой того, кто в них участвует:

  1. У вас свой кадровик в штате?
  2. Или кадровое делопроизводство ведёт сотрудник другой компании из группы (де-юре это уже аутсорсинг)?
  3. Например, командировки могут оформляться не кадровой службой, а другим отделом (и тогда доступ к ПДн получают работники этого подразделения). А если вы используете сторонний сервис для бронирования билетов и гостиниц — это снова поручение обработки.

Также крайне важно указывать, в каких системах и сервисах ведётся учёт: по КДП, по подбору, по оценке, по управлению персоналом. Нужно чётко понимать, какие ИСПДн ваши (собственные), а какие — сторонние.

Даже если лицензионный договор заключён с вашим юридическим лицом, но система находится в облаке — она считается сторонней.

ИСПДн, приобретённая другим юрлицом из вашей группы компаний (не вашим работодателем), также будет для вас сторонней. Это напрямую влияет на оформление поручений обработки и оценку рисков.

Что дает нам этот реестр?

Когда вы начинаете его заполнять, вы буквально поднимаетесь над хаосом бумаг и файлов.

  1. Диагностика избыточности. Вы увидите, какие данные вы собираете, но никогда не используете. От таких «мертвых грузов» в обработке проще сразу отказаться, оформив это актом уничтожения избыточных данных.
  2. Связь с архивом. Вы сразу поймете, какие документы входят в номенклатуру дел. Напомню: уничтожение документов по истечении срока хранения (по решению ЭК) оформляется не поштучным перечислением каждого субъекта, а номенклатурой дел (папкой). Это проще и законно.
  3. Путь от входа до выхода. В реестре мы видим полный цикл: от получения данных (вход) до их уничтожения (выход). Чем подробнее вы распишете этот путь на этапе заполнения реестра, тем проще вам потом будет разрабатывать все остальные локальные акты (Положения, регламенты, Поручения обработки).

Реестр процессов — это не просто перечень «для галочки» по запросу РКН. Это ваш фундамент. Собрав информацию в нем, вы легко составите Политику, уведомление, договоры поручения и, что самое важное, поймете, где у вас скрытые риски (аутсорсинг, избыточные данные, неверная классификация субъектов, использование облачных сервисов без оформления поручений).

Ставьте лайки, если тема реестра вам откликается. Пишите в комментариях, с какими сложностями сталкивались при «расщеплении» процессов в своей компании? Разберем в следующих постах!

Кадровый аудит — экспертная колонка Татьяны Совиной:

Оставить комментарий Распечатать
Татьяна Совина Кадровый аудитор, специалист по защите персданных

Эксперт с 20-летним опытом в кадровом консалтинге, 5 из которых — специализация по персданным. Провела 300+ аудитов. Автор курсов и спикер. Основатель онлайн-школы «Совина ПроКадры».