Ответ: Для защиты персональных данных при их обработке вам нужно создать следующий пакет основных документов: политика в отношении обработки персональных данных; локальные акты по вопросам обработки персональных данных и об установлении процедур, направленных на предотвращение и выявление нарушений законодательства РФ и устранение их последствий; приказ о назначении лица, ответственного за организацию обработки персональных данных физлиц; приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц; соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. Вы можете включить в этот комплект и другие необходимые для вас документы.
Обоснование: Если вы обрабатываете персональные данные (являетесь оператором), то вы должны принять меры для их защиты. Вы сами решаете, какие именно меры и в каком составе будете принимать, кроме случаев, когда закон обязывает вас принять конкретные меры, например назначить ответственное лицо (ч. 1 ст. 22.1 Закона об обработке персональных данных).
Учтите, что эти меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними (ч. 1 ст. 18.1, ч. 1 ст. 19 Закона о персональных данных). В противном случае вас могут привлечь к ответственности за нарушение законодательства о персональных данных. Вы должны принять меры нескольких видов:
- правовые. Это создание комплекта документов, необходимых для защиты персональных данных;
- технические и организационные. Это действия, которые вы должны совершить, чтобы обеспечить безопасность. Например, установить шифрование, обучить сотрудников.
Специальные требования по защите персональных данных предусмотрены для отдельных категорий операторов. Например, существует специальный Перечень мер для операторов-госорганов. А компании, которые подпадают под действие Европейского регламента о персональных данных (GDPR) (к примеру, если они продают товары гражданам Евросоюза), должны учитывать также требования этого регламента. Кроме того, установлены особенности для биометрических персональных данных. Закон не относит нотариуса к числу органов государственной власти или должностных лиц (см. "Обзор судебной практики Верховного Суда Российской Федерации N 3 (2015)" (утв. Президиумом Верховного Суда РФ 25.11.2015) (ред. от 28.03.2018)).
Четкий перечень документов для защиты персональных данных при их обработке законом не установлен. Рекомендуем подробно отразить в документах весь процесс обработки персональных данных. Это позволит вам, в частности, избежать претензий со стороны контролирующих органов в случае проверки. Создайте следующий комплект основных документов:
- политика в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Политика - это главный документ, который устанавливает категории, цели, способы обработки персональных данных, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению. При этом по разъяснениям ведомства вы вправе самостоятельно определять структуру и содержание политики в отношении обработки персональных данных (Письмо от 19.10.2021 N 08-71063).
Независимо от способа сбора персональных данных вы обязаны обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных. Если у вас есть сайт, через страницы которого вы получаете персональные данные, разместите в том числе на них политику (иной аналогичный акт) так, чтобы посетители сайта имели доступ к ней (ч. 2 ст. 18.1 Закона о персональных данных, Письмо Роскомнадзора от 19.10.2021 N 08-71063);
- локальные акты (п. 2 ч. 1 ст. 18.1 Закона о персональных данных):
- по вопросам обработки персональных данных. Они должны, в частности, определять категории и перечень персональных данных для каждой цели их обработки, способы, сроки обработки и хранения;
- об установлении процедур, направленных на предотвращение и выявление нарушений законодательства РФ и устранение их последствий;
- приказ о назначении лица, ответственного за организацию обработки персональных данных физлиц. Вы обязаны назначить такое лицо (ч. 1 ст. 22.1 Закона о персональных данных). Им может стать любой ваш работник, например руководитель отдела по работе с клиентами. Если у вас уже назначен ответственный за персональные данные работников, вы можете назначить его же ответственным за данные прочих физлиц. Это удобно, поскольку обязанности ответственного лица не зависят от того, чьи данные вы обрабатываете - работников или, например, клиентов;
- приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц. Такой приказ может служить доказательством того, что конкретное лицо имело доступ к персональным данным. Это важно, в случае если произошло разглашение данных и нужно установить виновных;
- соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.
Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета и движения персональных данных или подробные регламенты по работе с персональными данными.
Таким образом, для защиты персональных данных при их обработке вам нужно создать следующий пакет основных документов: политика в отношении обработки персональных данных; локальные акты по вопросам обработки персональных данных и об установлении процедур, направленных на предотвращение и выявление нарушений законодательства РФ и устранение их последствий; приказ о назначении лица, ответственного за организацию обработки персональных данных физлиц; приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц; соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. Вы можете включить в этот комплект и другие необходимые для вас документы.
Документы по данному вопросу из системы КонсультантПлюс:
Готовое решение: Какие меры по защите персональных данных физлиц нужно принимать при обработке этих данных (КонсультантПлюс, 2024)
