Если вы работаете с персональными данными, нужно назначить ответственное лицо и утвердить сотрудников, у которых будет доступ к конфиденциальной информации. Ещё следует разработать пакет документов. В статье собрали перечень документов по персональным данным с шаблонами и примерами.
Документы о работе с персональными данными в компании
В этом разделе собраны документы, с которых нужно начать работу с персональными данными. Сначала выпустить положение, приказы и акты о работе с ПД, затем разрабатывать Политику, согласие на обработку ПД, документы по защите персональных данных, по их уничтожению.
Положение о работе с персональными данными
В этом документе по персональным данным описывают, какие данные будет собирать и обрабатывать компания, как она будет их хранить, использовать, защищать. В положении нужно описать, будете ли вы передавать данные третьим лицам, когда вы вправе это сделать без согласия субъекта ПД.
Документ состоит из таких разделов:
1. Общие положения. Здесь описывают суть и цели документа, перечисляют данные, которые будет собирать компания.
2. Получение и обработка ПД. В этом разделе документа по обработке персональных данных описывают, где и как оператор собирает данные, как получает согласие и как субъект может его отозвать.
3. Хранение ПД. Здесь важно описать, где хранятся данные, у кого из сотрудников есть к ним доступ.
4. Использование ПД. Здесь описывают цели и способы обработки: вручную или автоматизировано. Указывают срок, когда нужно уничтожить ПД после истечения срока их хранения.
5. Передача и распространение. Если в компании будут предоставлять доступ к данным третьим лицам, это нужно указать. Ещё здесь описывают, в каких случаях обязательно согласие субъекта на передачу ПД, а в каких оно не нужно.
6. Гарантии конфиденциальности. В разделе указывают ответственность сотрудников за нарушение работы с ПД.
Разработка документов по персональным данным должна осуществляться в индивидуальном порядке, не стоит просто копировать шаблоны.
Пример первого раздела в положении.
Приказ о назначении ответственного лица по работе с персональными данными работников
Приказ можно составить в свободной форме, утверждённого формата документа нет. В нём указывают, кто становится ответственным за обработку данных и кто замещает ответственного. К приказу прилагается должностная инструкция, с которой нужно ознакомить ответственного и его заместителя.
Образцы документов по персональным данным.
Приказ об утверждении перечня сотрудников, допущенных к работе с персональными данными
Если в предыдущем документе указан ответственный, то в этом приказе нужно составить список сотрудников, которые в принципе работают с ПД. Если человека нет в утверждённом списке, значит и доступа к данным у него не должно быть. Поэтому если со временем захотите ввести в работу с ПД нового сотрудника, нужно будет издать ещё один приказ.
Так выглядит список сотрудников в приложении к приказу.
Политика обработки персональных данных
Комплект документов по персональным данным будет неполным без Политики. В документе описывают цели и специфику обработки ПД. Важно предоставить всем желающим доступ к этому документу. Для этого на сайте оставляют ссылку на него, обычно в футере — нижней части сайта.
Так выглядит документ Политика по обработке персональных данных на сайте компании.
Политика по структуре напоминает Положение о работе с ПД, но здесь есть несколько новых разделов:
Соответствие законодательству. В этом разделе описывают все правовые акты, которых нужно придерживаться для обработки ПД. Здесь прямо берут и перечисляют всё, начиная с Конституции и заканчивая законом № 149-ФЗ.
Так выглядит раздел.
Цели обработки персональных данных. Каждый оператор преследует какую-то цель. Например, контакты клиентов собирают для запуска рассылок, а данные о соискателях — для трудоустройства. Все цели нужно перечислить в этом разделе.
Если целей слишком много, их выносят в приложение к документу по персональным данным в организации.
Если целей мало, их указывают списком.
Порядок и условия обработки ПД. В этой части документа по работе с персональными данными указывают всю специфику работы с ПД: кто из сотрудников работает с информацией, каким образом её обрабатывают, как хранят и защищают.
Так выглядит этот раздел.
В конце документа важно указать сайт, на котором компания его опубликует. Стоит также написать корпоративную почту, куда пользователь может отправлять запрет об использовании его личной информации.
Пример раздела документа.
Согласие на обработку персональных данных
Согласие — один из основных документов по персональным данным. Оператор не имеет права собирать ПД и работать с ними, пока не получит согласие субъекта. Исключение, если данные используют в рамках договора или обрабатывают в соответствии с трудовым, социальным, пенсионным законодательством.
Например, если данные сотрудника нужны для расчёта налогов, согласие получать не нужно. Если хотите добавить фотографию и информацию о сотруднике на сайт, согласие нужно.
Ещё пример: вы предлагаете клиенту оформить бонусную карту. Для этого нужно ФИО и номер телефона — это персональные данные, значит сначала нужно получить согласие. Документ можно подписать в электронном или в бумажном варианте.
Есть случаи, когда согласие нужно брать только в письменном виде:
- если вы собираете биометрические данные: фото, отпечатки пальцев
- если вы опубликует ПД в общедоступном источнике, к примеру, на корпоративном сайте
- если вы собираете специальные данные, например, сведения о национальности, состоянии здоровья
Любой компании, предпринимателю, физлицу стоит заняться подготовкой документов по персональным данным, а особенно не забывать собирать согласия на обработку.
Документы для защиты персональных данных
Список документов по персональным данным не ограничивается Политикой и Согласием. Нужно разработать документы для защиты ПД.
Положение о порядке хранения и защиты персональных данных пользователей
Документ описывает правила работы с ПД. Структура документа:
1. Термины и определения. В разделе описывают все определения, которые будут указаны в документе. Например, кто такой оператор, что такое автоматизированная обработка ПД
2. Общие положения. Это самый большой раздел, который состоит из информации о принципах, целях, условиях работы с ПД, способах их обработки, правах субъектов, обязанностях операторов
3. Обработка ПД. Здесь описывают, у кого в компании есть доступ к ПД, как осуществляется хранение, блокирование, уничтожение сведений.
4. Система защиты ПД. В разделе документа по защите персональных данных в организации указывают, какие меры предпринимает компания для защиты ПД, кто несёт ответственность за нарушение обработки ПД.
5. Заключительные положения. В конце указывают, какие части Приложения продолжают действовать в случае внесения изменений в законодательство.
Информацию нужно конкретизировать. Это шаблонный вариант документа по обеспечению безопасности персональных данных.
Обязательство о неразглашении персональных данных
В пакет документов по защите персональных данных входит обязательство о неразглашении. Это документ, который используют для защиты конфиденциальной информации и оформляют не только с сотрудниками, но и с партнёрами или подрядчиками, у которых есть доступ к данным. Документ помогает сохранять в тайне конфиденциальные сведения: списки клиентов, контактные данные, финансовую информацию и другую личную информацию.
В документе можно перечислить, какие именно данные запрещено разглашать.
Регламент о допуске работников к обработке персональных данных
Вообще порядок доступа сотрудников к обработке ПД описан в Положении о работе с ПД. Но можно составить отдельный документ, в котором будут указаны уровни доступа к ПД, а также случаи, когда сотрудники теряют доступ к ПД. Это будет дополнительный документ по безопасности персональных данных.
Уровни допуска, расписанные в регламенте.
Документы при уничтожении персональных данных
Если вы добились поставленных целей работы с ПД или человек решил отозвать согласие на обработку, сведения нужно уничтожить. Нельзя просто выкинуть бумажные архивы или удалить данные из программы, нужно создать комиссию, которая займётся уничтожением. Вдобавок к этому нужен пакет документов по персональным данным, точнее по их уничтожению.
Приказ о создании комиссии по уничтожению документов по работе с персональными данными
Уничтожением может заниматься комиссия или один сотрудник, но в любом случае нужно издать приказ. В нём указывают, кто ответственен за уничтожение информации, как осуществляется процесс уничтожения на бумажных, машиночитаемых и других носителях. Также прописывают порядок оформления документов при уничтожении ПД.
Обычно для этого в самом приказе описывают обязанности комиссии, а всю остальную информацию добавляют в приложение. Ещё отдельным приложением иногда добавляют акт об уничтожении ПД.
Формы документов по персональным данным: приложение с описанием деталей: как в компании будут уничтожать ПД.
Акт об уничтожении персональных данных
С помощью акта фиксируют, чьи данные, с каких носителей и как уничтожены. Также указывают причину, дату. Этого достаточно, если уничтожаете сведения на бумаге. Для уничтожения ПД в электронной форме, нужно ещё сделать выгрузку из журнала регистрации событий, чтобы подтвердить сам факт уничтожения. Оба документа важно хранить ещё 3 года после уничтожения ПД.
Так выглядит акт, один из необходимых документов по персональным данным в организации.
Если субъект ПД отправил отказ от согласия обработки ПД, после уничтожения информации о нём ему нужно отправить уведомление об уничтожении ПД.
Уведомление нужно отправлять и в других случаях, которые перечислены в документе.
Подытожим
- В статье собрали перечень документов по персональным данным организации. Положение о работе с ПД и неразглашении ПД, Политика, Согласие на обработку ПД и другие акты и приказы нужно разработать все операторам ПД
- В статье собрали примеры и организационных и нормативных документов по персональным данным. В зависимости от специфики работы компании могут понадобиться и другие документы. Например, договор поручения на обработку ПД
