Шаблоны документов по персональным данным

Если ваша компания является оператором персональных данных и осуществляет обработку личной информации людей (сотрудников, клиентов и т.д.), то у вас должен быть целый пакет документов, регламентирующих те или иные аспекты работы с персональными сведениями людей. Многие организации идут самым простым путем — скачивают шаблонные образцы из Интернета с сомнительных сайтов, заполняют их и полагают, что со своей стороны сделали все, чего требует закон. На самом деле подобное может привести к негативным последствиям.

Чем грозит использование шаблонов документов по персональным данным и как выстроить работу компании в полном соответствии с требованиями законодательства? Разбираемся ниже.

Шаблоны — новая угроза бизнеса

Законодательство о персональных данных предъявляет к операторам ряд требований в части формирования документации. Одно из основных — документы должны отражать реальную деятельность лица, работающего с ПД субъектов. В зависимости от вида документа в нем могут быть прописаны:

1. Перечень данных, которые подлежат обработке.
2. Цели обрабатывания информации.
3. Методы хранение и обеспечения безопасности данных.
4. Список субъектов ПД.
5. Иные сведения, касающиеся взаимодействия оператора и персданных.

Универсальных образцов документации не существует. Разные бизнес, разный род деятельности, разные масштабы — все это делает невозможным создание единого образца, который бы подходил всем. Согласитесь, медицинская организация и строительная компания работаю с разным набором персональных данных и для разных целей.

Важно: не скачивайте шаблоны из Интернета. В случае проверки РКН выявит несоответствие документов требованиям законодательства и вернется к вам с крупным штрафом!

Приведем пример, который часто встречается на практике. Компания занимается поиском соискателей на вакантные позиции. И в рамках данного процесс специалист на подбору персонала скачивает из Интернета шаблон согласия на обработку ПД. Вот только в скачанном документе указано, что компания осуществляет сбор сведения для кадрового документооборота — это неправильная цель. Корректным будет указание «Подбор персонала на вакантные должности». В итоге получается ситуация, что оператор вводит человека в заблуждение: трудовой договор еще не заключен, кадровый документооборот в отношении соискателей осуществляться не может, а на деле персданные людей нужны для рассмотрения анкет. Данное нарушение подпадает под ч. 1 ст. 13.11 КоАП РФ (обработка, несовместимая с целями сбора). За это может последовать штраф в размере 300 тысяч рублей.

Документы по персональным данным, которые вам нужны

Опять, точный перечень зависит многих факторов. Однако базовый набор включает в себя:

1. Политика обработки персданных.
2. Положения о защите сведений, об обработке без использования средств автоматизации, об обезличивании информации, об обрабатывании в ИС и т.д.
3. Внутренние инструкции для сотрудников, которые работаю с ПД и у которых есть к ним доступ.
4. Согласие на обработку персданных.
5. Приказ о назначении сотрудника, ответственного за работу с ПД; о правилах рассмотрения запросов субъектов ПД; об утверждении мест хранения.
6. Документы по безопасности и защите ПДн: акт классификации ИС, приказ о вводе ИС в эксплуатацию, перечень используемых ИС, модель угроз безопасности ПДн, положение о комиссии по защите данных и приказ о ее создании, план мероприятий по безопасности; инструкции по антивирусному контролю, парольной защите, учету и хранению материальных носителей, порядку их уничтожения, восстановлению и резервированию ПДн.
7. Журналы: учета мероприятий по контролю защиты данных, обращений субъекта, съемных и машинных носителей; инструктажа сотрудников по информационной безопасности, тестирования средств защиты, ознакомления персонала с Политикой обработки и законодательством о ПДн, пропуска лиц на территорию.

Реестр операторов персональных данных

Закон требует, чтобы любой бизнес, который работает с конфиденциальной информацией граждан, был внесен в реестр операторов ПД, который ведется Роскомнадзором. Исключение составляют лишь случаи, описанные в ст. 22 ФЗ №152. Для включения в этот реестр операторы должны направить уведомление в адрес надзорного органа. Сведения, которые содержатся в данном извещении, должны совпадать с информацией, представленной в ваших внутренних документах — при проверке РКН любые несоответствия будут наказываться предписания и штрафами.

Документы — к использованию и регулярному обновлению

Идеально составленная документация — бесполезна. Ее нужно внедрять в работу и на постоянной основе обновлять:

1. Работники должны знать, как взаимодействовать с личными сведениями людей.
2. Журнале учеты должны на регулярной основе обновляться.
3. При смене процессов внутри компании — политика и иные документы тоже должны быть обновлены.

В рамках организации необходимо назначить ответственного за работу с персданными. Это всегда один человек — директор, юрист, сотрудник отдела кадров. Любые ошибки в документации могут столкнуть бизнес с крупными штрафами и углубленными проверками со стороны РКН. Размер санкций может достигать 700 тысяч рублей за каждое нарушение.