Как оператору работать с персональными данными: полный гайд

Назначьте ответственного за организацию обработки

В организации обязательно должно быть лицо, ответственное за организацию обработки персональных данных (ст. 22.1 ФЗ № 152-ФЗ). ИП ответственным считается по умолчанию. 

В качестве ответственного можно назначить:

• штатного сотрудника или руководителя подразделения;
• стороннюю организацию, специализирующуюся на ФЗ №152-ФЗ.

Ключевое здесь — реальные управленческие возможности. Ответственный получает указания непосредственно от исполнительного органа компании и подотчетен ему. Назначать формального исполнителя без доступа к информации и решениям — заведомо рискованно. Также стоит учитывать, что вы обязаны предоставить ответственному сведения о целях, категориях данных, составе субъектов и используемых информационных систем обработки персональных данных, чтобы он мог полноценно выполнять свои функции. 

Что входит в обязанности ответственного:

• внутренний контроль соблюдения законодательства и локальных актов;
• доведение требований закона до работников;
• организация приема и обработки обращений, которые направляет субъект обработки персональных данных;
• обучение сотрудников по работе с ПДн. 

Фактически это координатор всей системы работы с ПДн внутри вашей компании.

Оформите документы по персональным данным

Подтвердить соответствие требованиям ФЗ №152-ФЗ без документов невозможно. При проверках обработки персональных данных Роскомнадзор оценивает не намерения, а наличие и содержание локальных актов.

Документы условно делятся на несколько групп:

1. Основные документы по обработке:

• Политика обработки персональных данных;
• положение об обработке ПДн субъектов;
• правила проведения внутреннего контроля в отношении обработки ПДн;
• положения об обработке без средств автоматизации и в ИСПДн;
• положение об обезличивании данных, если такой способ обработки используется в компании;
• перечни обрабатываемых ПДн и работников с доступом;
• должностные инструкции и соглашения о неразглашении;
• приказы о назначении ответственного и утверждении мест хранения и т.д.;
• правила рассмотрения запросов субъектов;
• формы согласий и фиксация их отзывов;
• положение об уничтожении ПДн;
• акты уничтожения данных;
• договоры с третьими лицами, которым поручена обработка.

2. Документы по защите и безопасности:

• перечень ИСПДн и акты их классификации;
• приказы о вводе систем в эксплуатацию;
• модель угроз безопасности;
• план мероприятий по защите данных;
• положения о комиссии по защите ПДн (при ее создании);
• инструкции по парольной защите, антивирусному контролю, резервному копированию;
• порядок действий в нештатных ситуациях;
• акты оценки возможного вреда субъектам;
• акт определения уровня защищенности ИСПДн;
• лист ознакомления работников с положениями законодательства РФ о ПДн;
• документы о соблюдении условий сохранности данных.

3. Журналы учета:

• обращений субъектов;
• машинных и съемных носителей;
• мероприятий по контролю защиты;
• инструктажей работников;
• тестирования средств защиты;
• ознакомления сотрудников с политикой;
• пропускного режима, если он применяется.

Обратите внимание: точный пакет документов всегда зависит от масштаба бизнеса, специфики деятельности в отношении обработки персональных данных. Универсальных шаблонов не существует — все документы должны быть адаптированы под фактические процессы.

Зарегистрируйтесь в реестре операторов

До начала обработки вы обязаны направить уведомление в РКН, чтобы вас включили в реестр операторов. Это общее правило статьи 22 ФЗ № 152-ФЗ.

Закон предусматривает исключения, когда уведомление не требуется. Вы вправе не регистрироваться, если:

• обрабатываемые данные включены в ГИС, созданные для защиты госбезопасности и общественного порядка;
• обработка осуществляется только на бумаге;
• данные обрабатываются в рамках законодательства о транспортной безопасности.

Собирайте только необходимые данные

Один из ключевых принципов обработки персональных данных — принцип минимизации. Вы вправе собирать только те сведения, которые действительно нужны для достижения заявленных целей.

Что важно учитывать:

• цель обработки должна быть конкретной и законной;
• состав данных должен ей соответствовать;
• избыточные сведения собирать нельзя.

Например, вы можете обрабатывать ПДн клиентов для с целью исполнения договора, а вот для ведения кадрового или бухгалтерского учета — нет. 

Важно! После достижения цели данные подлежат уничтожению или обезличиванию. Хранение «на будущее» законом не допускается, за исключением некоторых случаев: например, отдельные кадровые документы хранятся в течение длительных сроков, вплоть до 50 лет, в соответствии с архивным законодательством. 

Берите согласия на обработку персональных данных

Согласие требуется во всех случаях обработки персональных данных, если отсутствуют иные законные основания, предусмотренные статьей 6 ФЗ № 152-ФЗ. 

Без согласия обработка возможна, если она:

• предусмотрена законом или международным договором;
• необходима для исполнения договора с субъектом;
• осуществляется в рамках судопроизводства;
• направлена на защиту жизни и здоровья;
• связана с законными интересами оператора при соблюдении баланса прав;
• ведется в журналистских, научных или статистических целях;
• касается данных, подлежащих обязательному раскрытию.

Отдельного внимания требует согласие на обработку персональных данных ребенка — его дает законный представитель. Ребенок старше 14 лет может самостоятельно подписать согласие, но с письменного разрешения родителя. В некоторых случаях мнение родителей не учитывается: например, если ребенок старше 16 лет состоит в браке или трудоустроен, при этом прошел процедуру эмансипации (ст. 27 ГК РФ). 

Что должно содержать письменное согласие:

• ФИО, адрес и паспортные данные субъекта;
• сведения о представителе, если он действует от имени субъекта;
• наименование и адрес оператора;
• цель и перечень обрабатываемых данных;
• перечень действий и общие способы обработки;
• срок действия согласия и порядок его отзыва;
• подпись субъекта.

Согласие может быть дано как в письменном, так и в электронном виде. 

Обеспечьте защиту персональных данных

Вы обязаны обеспечить защиту ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования и распространения (ст.19 ФЗ №152-ФЗ). Защита строится на сочетании организационных и технических мер — без перекоса в одну сторону система не работает.

Организационные меры — это основа. Именно с них Роскомнадзор начинает проверку.

Вам необходимо:

1. Определить круг работников, допущенных к персональным данным, и закрепить его в локальных актах.
2. Разграничить доступ: сотрудник должен видеть только те данные, которые нужны ему для выполнения должностных обязанностей.
3. Утвердить порядок доступа к помещениям, где хранятся носители с ПДн, включая бумажные архивы.
4. Провести инструктаж работников и зафиксировать его документально.
5. Установить порядок действий при выявлении инцидентов безопасности и утечек.
6. Назначить ответственных за эксплуатацию и сопровождение ИСПДн.

Технические меры зависят от характеристик информационной системы обработки персональных данных, но минимальный набор практически всегда одинаков:

• использование антивирусных средств с регулярным обновлением баз;
• внедрение парольной политики: сложные пароли, периодическая смена, запрет передачи учетных данных;
• ограничение доступа по ролям и учетным записям;
• резервное копирование данных с проверкой возможности восстановления;
• защита каналов передачи данных, включая шифрование при передаче через интернет;
• журналирование действий пользователей и администраторов;
• контроль использования съемных носителей.

Если данные обрабатываются в сети Интернет, особое внимание уделите защите веб-ресурсов, серверов и облачной инфраструктуры. Использование «коробочных» решений без настройки — частая причина утечек.

Регулярно проводите аудит процессов

Даже идеально выстроенная система со временем устаревает. Поэтому внутренний аудит процессов обработки персональных данных рекомендуется проводить не реже одного раза в год, а также при внедрении новых ИТ-систем или запуске различных сервисов.

В ходе аудита обычно проверяют:

• соответствие фактической обработки заявленным целям;
• актуальность документов по ПДн;
• соблюдение сроков хранения и уничтожения;
• корректность работы с обращениями субъектов;
• эффективность мер защиты;
• соблюдение требований к ИСПДн.

Регулярный аудит позволяет вовремя выявить риски и избежать проблем при проверках.