Персональные данные: как правильно организовать обработку и избежать нарушений

Всё чаще персональные данные обрабатываются с помощью средств автоматизации, то есть собираются, хранятся, обновляются и применяются. посредством использования электронных сервисов и систем. Таким образом, перед компаниями стоит задача не только соблюдения нормативных требований о получении и обработке персональных данных, но и обеспечения их безопасности и защиты, в том числе на уровне информационных систем персональных данных.

Все юридические лица и индивидуальные предприниматели обязаны соблюдать требования закона «О персональных данных» (№ 152-ФЗ от 27.07.2006 в ред. от 02.07.2021), как только они становятся операторами таких данных.

Чтобы избежать возможных нарушений, уже на момент создания компании или ИП, которые планируют работать с физическими лицами и нанимать работников, необходимо:

1. Определить, с какими персональными данными компания или ИП будет иметь дело.
2. Изучить закон «О персональных данных», требования закона и определить, как и в каких локальных актах закрепить выполнение этих требований.
3. Организовать обработку персональных данных — подготовить, издать и опубликовать необходимые акты, а также создать условия для выполнения действий и операций с персональными данными с соблюдением нормативных требований.
4. Определиться с техническими средствами обработки ПДн, уделив особое внимание защите данных.

Следует избегать шаблонных решений. Они — не более чем ориентир. Желательно, чтобы все вышеперечисленные шаги были сделаны с привлечением кадровых специалистов и юристов. Например, многие компании и ИП считают, что достаточно лишь подготовить политику в отношении обработки ПД и согласие на обработку персональных данных, взяв за основу примеры этих документов из интернета. Действительно, это основные документы, однако в ходе проверки Роскомнадзор может потребовать и другие, которые обязательно должны быть, учитывая специфику работы с персональными данными в проверяемой компании. Могут вызвать претензии и представленные политика обработка ПДн и согласие на их обработку, поскольку они составлены шаблонно и не отражают особенности обработки ПДн у проверяемого лица. Поэтому если своих юристов и кадровиков нет, лучше для подготовки документов привлечь сторонних специалистов или, по крайней мере, показать им самостоятельно подготовленные документы.

Как организовать систему работы с персональными данными и избежать штрафа

Многие берут за основу только Федеральный закон «О персональных данных», однако если речь идёт о работниках, нужно учитывать и нормы Трудового кодекса РФ. Если, например, привлекаются фрилансеры, с которыми заключаются договоры гражданско-правового характера, придётся учесть и некоторые положения ГК РФ, в частности об охране частной жизни гражданина и его изображений. Если предстоит обрабатывать биометрические данные, а это специфическая категория ПД, потребуется отдельно изучить нормативные требования, касающиеся обработки биометрии, и учесть её особенности при разработке локальных актов.

Примерный порядок организации системы обработки ПДн:

1. Определяем и назначаем ответственных лиц — тех, кто на первом этапе займётся организацией работы с персональными данными и, возможно, в последующем возьмёт на себя функции контроля. В небольших или средних компаниях обычно эти задачи поручают юристу или кадровому специалисту. В крупных фирмах нередко создаются специальные отделы. ИП зачастую либо сами занимаются всеми вопросами, либо, хотя бы временно, привлекают специалистов на условиях аутсорсинга.
2. Определяем, с какими данными предстоит работать и кто их субъект, а также, какие действия, операции и процессы войдут в обработку персональных данных.
3. Готовим комплект документов. Он будет зависеть от информации, собранной на втором этапе. Политика компании в отношении обработки персональных данных — документ, обязательный в любом случае. Обязательно потребуется подготовить и форму согласия на обработку ПДн, и, возможно, не одну — в зависимости от категорий субъектов персональных данных. Для удобства операторов ПДн Роскомнадзор разработал конструктор такого документа. Подготовленный шаблон можно сразу отправить на проверку в ведомство и получить рекомендации. Кроме того, комплект документов должен включать положение о неавтоматизированной (или автоматизированной) обработке ПДн, приказы о назначении ответственных лиц и других лиц, задействованных в обработке ПДн. Не исключено, что потребуется разработка инструкций для описания процессов и операций.
4. Знакомим с документами под подпись сотрудников, которые назначены ответственными, задействованы в обработке ПДн и непосредственно работают с материалами, документами и сведениями, содержащими персональные данные.
5. Размещаем на информационном стенде, на официальном сайте компании (ИП), в интернет-магазине или других ресурсах, на которых ведётся сбор данных, политику компании в отношении обработки персональных данных. Это основной документ, он должен быть общедоступным.
6. Решаем вопрос о включении компании или ИП в реестр операторов персональных данных. Для этого необходимо в бумажном (почтой) или электронном виде (на сайте или через Госуслуги) направить уведомление в Роскомнадзор.

Практическая сторона вопроса — средства сбора, хранения, использования персональных данных, других процессов их обработки. Здесь многое зависит от уровня технологичности компании или ИП. Но какими бы ни были средства, важно обеспечить надёжность, безопасность, защиту данных. Поскольку преимущественно используются технические средства (компьютеры, программное обеспечение и информационные системы), безопасность также обеспечивается техническим образом. Это могут быть, например, общедоступные антивирусы и межсетевые экраны или более сложные специальные средства защиты от несанкционированного доступа и средства криптографической защиты. Принцип простой: чем больше объём данных и процессов, тем более высокотехнологичной должна быть система информационной безопасности. Задача одна — исключить взлом и утечки информации, случайную утрату сведений или их повреждение (уничтожение).