ПДн – персональные данные
РКН – Роскомнадзор
НПА – нормативно-правовой акт
ЛНА – локальный нормативный акт
Прежде чем говорить о том, с чего начать организацию обработки ПДн и как исполнить требования законодательства, вспомним, кто же является оператором ПДн.
Кто является оператором ПДн?
Оператором может быть:
- Любое юридическое лицо, независимо от его организационно-правовой формы. Это может быть как коммерческая структура (например, государственное унитарное предприятие, акционерное общество и т.д.), так и некоммерческая (например, общественная, религиозная организация; благотворительный фонд и др.). И абсолютно не важно, будет ли это крупная компания или микропредприятие.
- Орган власти – государственный или местный (например, министерство, администрация района и т.д.).
- Индивидуальный предприниматель (даже не имеющий сотрудников).
- Самозанятый и даже просто человек, обрабатывающий ПДн не в личных целях (например, администратор сайта, где есть обработка ПДн, инициатор общего собрания МКД, обрабатывающий ПДн собственников в целях их уведомления о собрании и оформления его результатов).
Таким образом, статус оператора не зависит:
- от наличия и количества сотрудников;
- от способов обработки ПДн;
- от перечня действий с ПДн;
- от регистрации в РКН.
Итак, оператор – это любое лицо, которое самостоятельно или совместно с другими лицами осуществляет обработку ПДн: собирает ПДн своих работников, клиентов, контрагентов или иных субъектов ПДн; систематизирует их, вносит в различные анкеты, бланки, информационные системы, хранит, распространяет, уничтожает или производит иные действия с ПДн.
Также важно отметить, что компания или физическое лицо, действующее по поручению другого лица (например, бухгалтерия-аутсорсер), с точки зрения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) также является оператором.
Если вы видите, что подпадаете под перечисленные критерии – значит, вы оператор ПДн и должны исполнять требования законодательства РФ о ПДн.
Отметим, что исполнять требования нужно не только для того, чтобы формально соответствовать закону, а прежде всего для того, чтобы обеспечить защиту обрабатываемых данных, реализовать права субъектов, с ПДн которых вы работаете, и создать положительную репутацию в данной области. На сегодняшний день становится популярной проверка благонадежности контрагента в области ПДн, и в условиях договоров все чаще включаются требования о подтверждении соответствия требованиям 152-ФЗ.
Как исполнение требований законодательства поможет избежать утечек?
Нам часто задают вопрос, а как исполнение данных требований поможет избежать утечек? Коллеги, скажем честно, от утечек никто не застрахован на все 100%, но вопрос в другом: а что вы предприняли, чтобы не допустить утечку? Именно на это смотрят контролирующие органы в ходе проверок. Поэтому к операторам, которые исполняют требования 152-ФЗ, подход более лояльный.
На какие НПА необходимо опираться, работая с персональными данными
Основные нормативные акты в области обработки ПДн
Законодательство в области обработки ПДн достаточно велико. Ознакомление с ним следует начать с изучения основных, базовых НПА:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Трудовой кодекс Российской Федерации (гл. 14 касается обработки ПДн работников);
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Для новичков в сфере обработки ПДн даже такой небольшой перечень НПА, скорее всего, вызовет вопрос – с чего начинать исполнять все эти многочисленные требования и какие меры нужно принять в первую очередь? Попробуем разобраться.
Шаги по организации обработки ПДн
1. Назначьте ответственного за организацию обработки ПДн.
Обратите внимание, что это должен быть один человек на всю компанию, именно он будет взаимодействовать с контролирующими органами, и его данные должны быть указаны в уведомлении в Роскомнадзор (о его функциях подробнее в ст. 22.1 152-ФЗ). Если вы являетесь ИП, то назначать ответственного не обязательно.
Ответственному необходимо обеспечить возможность взаимодействия с другими сотрудниками и отделами, в которых происходит работа с ПДн, а также получать информацию, необходимую для разработки локальных нормативных актов (ЛНА), организации процессов обработки ПДн и исполнения иных требований закона. Ответственный за организацию обработки ПДн будет один, но для эффективной работы он может собрать команду специалистов, которые будут ему помогать.
2. Сбор информации по всей компании.
Следующий фундаментальный и самый важный этап — это сбор информации о работе с персональными данными по всей компании (а не только по одному отделу!). Именно от этого этапа зависит правильность формирования ваших документов. Нужно выяснить, как в вашу компанию поступают персональные данные (например, почта, ФИО и другие данные), чьи это данные (сотрудников или клиентов), для чего они вам нужны (например, для расчета зарплаты или заключения договоров на оказание услуг). Более подробную инструкцию о том, как собрать информацию, мы опишем в следующей статье. Если вы пользователь сервиса 152DOC, рекомендуем ознакомиться с чек-листом, расположенном в личном кабинете, в котором представлена подробная видеоинструкция.
3. Разработка ЛНА в области обработки ПДн.
После сбора необходимой информации можно приступить к разработке ЛНА в области обработки ПДн. Обратите внимание, это не кадровые Локальные акты!
Разрабатываемые ЛНА включают следующие категории документов:
- Приказы;
- Распоряжения;
- Постановления;
- Инструкции;
- Журналы;
- Регламенты;
- Акты;
- Формы уведомлений.
Каждый документ несет себе смысл и должен закрывать вопросы контролирующих органов по работе с персональными данными. Содержание документов у разных операторов будет отличаться, так как происходит работа с разными базами, с разными объемами персональных данных.
Но требования по разработке документов едины для всех, независимо от того какое количество персональных данных вам приходится обрабатывать.
Приведем пример документов, которые должны быть обязательно:
Одна из трудностей, с которой придется столкнуться: нужно понять, какие ЛНА требуется разработать, ведь 152-ФЗ не содержит конкретного перечня документов. Требования, из которых вытекает необходимость иметь тот или иной документ, рассредоточены по разным НПА.
- Политика в отношении обработки персональных данных;
- Акт оценки вреда;
- Приказ о назначении ответственного за организацию обработки ПДн;
- Приказ об определении мест хранения ПДн и перечня лиц, имеющих к ним доступ;
- Положение об обработке ПДн работников.
И это не конечный список документов, которые должны быть у оператора ПДн.
4. Ознакомление с ЛНА.
После разработки и утверждения ЛНА обязательно ознакомьте всех лиц, которые будут работать с ПДн (сотрудники, лица, с которыми заключены договоры ГПХ и т.д.) с их положениями. Подробнее об этом шаге можно узнать в статье нашего блога «Ознакомления сотрудников с нормативными актами по обработке персональных данных». Лица, осуществляющие обработку ПДн, должны соблюдать конфиденциальность при работе с ПДн, уметь правильно обращаться с ПДн, работать в информационных системах по установленным правилам и понимать свою ответственность за несоблюдение требований закона.
Не пренебрегайте этим шагом, так как от правильной работы сотрудников зависит стабильная работа компании в целом!
5. Заполнение уведомления и регистрация в Роскомнадзоре.
Теперь, когда вы изучили все процессы обработки ПДн, разработали Политику и иные ЛНА, вы готовы к заполнению уведомления и регистрации в Роскомнадзоре. О том, как это сделать, мы подробно рассказывали на вебинаре «Подаем Уведомление в Роскомнадзор».
Отметим, что подача Уведомления в РКН без выполнения предыдущих шагов бессмысленна, так как вся информация, указанная в уведомлении должна быть подкреплена приказами и актами. И данные, указанные в уведомлении, должны соответствовать тому, что вы прописали в ЛНА. Это необходимо, так как одним из индикаторов риска контрольного мероприятия является разночтение в документах и уведомлениях, и выявленный индикатор грозит контрольной проверкой у оператора ПДн.
6. Закрытие рисков извне.
В заключение обратим внимание, что в начале деятельности по обработке ПДн необходимо закрыть риски извне. Это прежде всего связано с обработкой ПДн на сайтах, информационных ресурсах, мобильных приложениях операторов – все это находится в общем доступе и легко может быть оценено на предмет правильности обработки ПДн.
Проверьте, что:
- на сайте (в приложении) во всех формах сбора есть Политика;
- в формах сбора пользователь может оставить отметку о согласии на обработку ПДн (или реализовано иное правовое основание сбора – например, оферта/пользовательское соглашение);
- хостинг сайта находится в Российской Федерации;
- размещен cookie-баннер;
- ПДн публикуются на сайте при наличии правовых оснований (подписано согласие на распространение, есть соответствующее требование закона или иное основание для публикации).
Более подробная информация, о процессах обработки ПДн на сайтах, представлена в рамках вебинара «Приводим сайт в соответствие с требованиями 152-ФЗ», обязательно изучите вопрос.
И в заключении добавим, что даже если вы уже действующая компания, давно работаете с персональными данными, но еще не подавали Уведомление в Роскомнадзор, то эти шаги будут актуальны и для вас, не откладывайте на долгий срок эти процессы и работайте с персональными данными правильно, чтобы они не были для вас источником неприятностей.