Один из ключевых элементов при организации обработки персональных данных — наличие пакета документов, позволяющего формализовать процессы обработки и защиты данных.

Формат, содержание и структуру внутренних документов каждая компания определяет самостоятельно. Разберем основные документы и зачем они нужны.

Политика обработки персональных данных

Политика обработки ПДн — это публичный документ, который отражает принципы, цели и порядок обработки персональных данных в организации.

Политика включает:

1. Общие положения: основные термины и определения, на что распространяется политика, принципы обработки, информацию об операторе — название, адрес, котакты.
2. Порядок сбора, хранения, уничтожения и передачи персональных данных третьим лицам
3. Цели обработки. Для каждой цели необходимо указать категории субъектов, категории и состав данных, основание, способы и сроки обработки, а также порядок уничтожения.
4. Описание мер защиты персональных данных.
5. Права субъектов — право на доступ, исправление, удаление, отзыв согласия.
6. Порядок реализации прав.
7. Порядок реагирования на запросы и обращения субъектов ПДн и их представителей.
8. Порядок изменения политики и место ее размещения.
9. Если речь идет о сайте, то использование cookie-файлов: цели обработки и виды cookie-файлов, а также порядок отказа субъекта от обработки его cookie-файлов.

Документ должен быть написан простым и понятным языком, соответствовать реальной практике обработки данных в организации и требованиям закона 152-ФЗ. Составить документ можно самостоятельно, опираясь на шаблон, который легко найти на специальных сайтах-конструкторах.

Однако стоит помнить, что прямое копирование с другого сайта — это риск (неактуальная редакция закона, чужие реквизиты, не ваши процессы). Поэтому любой шаблон надо проверить и адаптировать под ваш бизнес.

Положение об обработке ПДн

Положение об обработке ПДн — внутренний документ, который детально описывает процесс организации обработки ПДн в компании на всех этапах жизненного цикла. В Положение рекомендуется включить, как минимум, следующую информацию:

• порядок действий на каждом этапе жизненного цикла ПДн: правила сбора, хранения, обновления, передачи, обезличивания, уничтожения и т.д.;
• порядок управления правовыми основаниями, в частности сбор, хранение и администрирование согласий на обработку ПДн;
• обязанности подразделений, задействованных в процессе организации обработки персональных данных;
• порядок проведения внутреннего контроля в области ПДн;
• требования к обработке ПДн работников согласно статья 86 ТК РФ.

Реестр процессов обработки ПДн

Реестр процессов обработки персональных данных — это систематизированная, структурированная база сведений о всех операциях, связанных с обращением ПДн в организации.

В реестре необходимо отразить перечень бизнес-процессов, где используется персональная информация, с указанием:

• целей обработки;
• правовых оснований, например, согласие субъекта, исполнение договора, выполнение требований закона;
• категорий субъектов — сотрудники, клиенты, партнеры;
• видов данных — идентификационные, контактные, биометрические и др.

Документ также включает:

• описание операций — сбор, запись, систематизация, хранение, уточнение, передача, блокирование, уничтожение;
• сроки хранения;сведения о местах и способах хранения — серверы, архивы, облачные хранилища;
• уровень доступа;
• перечень внешних операторов или партнеров, которым передаются данные;
• меры защиты — шифрование, резервное копирование, контроль доступа.

Реестр — обязательный инструмент для надлежащего учета и управления рисками, он помогает доказать соблюдение требований закона 152-ФЗ и постановлений Роскомнадзора.

Согласие на обработку персональных данных

Любое использование данных (в том числе сбор!) должно иметь законное основание.

Законное основание — простыми словами, это доказательства того, что вы имеете право использовать персональные данные Пользователя. Все законные основания перечислены в части 1 статьи 6 закона 152-ФЗ.

Согласие пользователя — другое основание обработки. Оно будет подходящим, если вас и вашего действующего или будущего клиента не связывает договор (или будущий договор, который клиент стремится заключить) или иные взаимоотношения, которые могли бы породить другое основание.

Чаще всего согласие используется для рекламных рассылок, а также в иных случаях, которые прямо прописаны в законе:

• обработка спецкатегорий(п. 1 ч. 2 ст. 10 закона 152-ФЗ);
• биометрические персональные данные (ч. 1 ст. 11 закона 152-ФЗ);
• обработка в целях продвижения товаров и услуг (ч. 1 ст. 15 закона 152-ФЗ);
• принятие решения на основании исключительно автоматизированной обработки, порождающей юридические последствия (ч. 2 ст. 16 закона 152-ФЗ)

Согласие предполагает, что человек сам соглашается сообщить вам информацию о себе для использования вами в ваших целях.

Иные документы

Сюда можно отнести различные методики, памятки, инструкции и типовые формы. Эти формы документов могут детализировать отдельные процедуры и содержать описание основных действий в каждой конкретном процессе.