Какие документы об обработке персональных данных требуются компании

Каждая компания разрабатывает необходимый перечень документов, который регламентирует работу бизнеса. Политика обработки персональных данных является одним из ключевых документов в таком перечне. О том, как грамотно разработать политику, рассказывает юрисконсульт по защите персональных данных СДЭК Алина Кузьмина. 

Что касается необходимых документов по персональным данным, в первую очередь, это политика обработки персональных данных или известная большинству пользователей сайтов как политика конфиденциальности. Этот документ должен содержать информацию об операторе обработки персональных данных, то есть о компании, которая эти данные собирает и в дальнейшем обрабатывает. Обычно в политике указываются наименование, реквизиты и контакты оператора для связи с ним. Помимо этого, в политику включаются общие положения об обработке данных оператором, права и обязанности субъектов, а также детальная информация о порядке и целях обработки персональных данных.

Мы обрабатываем персональные данные не просто так, у нас всегда должна быть определенная цель — например, заключение договора об оказании курьерских услуг. В рамках конкретной цели оператор определяет, чьи данные будут обрабатываться (например, клиентов компании), объем данных таких субъектов, способ обработки (автоматизированная или смешанная), действия, совершаемые с персональными данными, а также сроки обработки и порядок уничтожения данных — например, когда необходимая цель достигнута или при наступлении иных обстоятельств, обозначенных оператором.

Также политику обработки персональных данных можно делить на «внутреннюю» и «внешнюю». «Внутренняя» политика фиксирует порядок обработки данных сотрудников, контрагентов и других лиц, которые вовлечены во внутреннюю деятельность компании. Что касается «внешней» политики обработки персональных данных, ее компании должны публиковать на сайте, чтобы любой клиент или посетитель страницы мог изучить порядок обработки его данных. 

Здесь стоит помнить, что оператор должен ознакомить своих сотрудников с обеими политиками  и предоставить им листы ознакомления на подпись — Роскомнадзор может запросить эти документы.

Помимо прочего, в каждой компании вне зависимости от ее размера должно быть лицо, отвечающее за организацию обработки персональных данных. Таким лицом может выступать руководитель юридического отдела или, например, руководитель компании, если предприятие совсем небольшое. В частности, ему предстоит разрабатывать локальные акты по обработке персональных данных, отвечать на запросы надзорных органов и субъектов, проводить аудит бизнес-процессов компании, в которых обрабатываются персональные данные. Для каждой процедуры рекомендуется разработать специальный документ о порядке ее проведения.

Разработка локального акта, закрепляющего порядок проведения аудита, и формы акта о его итогах — эта мера, скорее, характерна для крупных компаний, но надзорные органы точно оценят, если встретят эти документы в небольшом предприятии.

Также следует помнить об относительно новой норме о проведении оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных. Чтобы составить акт оценки вреда, стоит ознакомиться с приказом Роскомнадзора от 27.10.2022 № 178. В нем определены все критерии, которым следует руководствоваться, оценивая возможный вред. В акте необходимо указать те критерии, которые соответствуют фактической обработке персональных данных в компании. 

Разработка рассмотренных документов позволяет не только обеспечить соответствие нормам законодательства, но и подготовиться к проверкам надзорных органов, запросы от которых предполагают быструю реакцию и предоставление необходимых документов в сжатые сроки. Ну и конечно, поближе познакомиться с процессами обработки персональных данных в вашей компании.