Разработка пакета документов по защите персональных данных

Какие данные сотрудников компании являются персональными?

Персональные данные — это любая информация, которая относится прямо или косвенно к конкретному человеку (субъекту персональных данных). Это могут быть фамилия, имя, отчество, мобильный телефон, электронная почта, адрес проживания, фотография, паспортные данные и другие данные, позволяющие идентифицировать человека. При трудоустройстве работодателю могут предоставляться личные документы: паспорт, трудовая книжка, СНИЛС, документ об образовании, медицинская книжка, военный билет и другие.

Как только работодатель получает от работника вышеуказанные документы, на него возлагается обязанность обеспечить хранение и защиту персональных данных, в них содержащихся, что обеспечивается статьей 14 Трудового Кодекса РФ.

Для дальнейшего использования персональных данных, необходимо обязательно заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ, ст. 6 152-ФЗ).

Мы знаем, какие требования по защите персональных данных должен соблюдать работодатель. Подготовим пакет документов в соответствии с требованиями ТК РФ и 152-ФЗ.

Действуют ли требования по защите персональных данных по 152-ФЗ в отношении клиентов и/или контрагентов компании?

Действуют. При работе с клиентами, партнерами и другими физическими лицами компания собирает, хранит, передает и использует персональные данные, т.е. ведет их обработку (ст. 5 закона № 152-ФЗ). Необходимо определить объем, категорию персональных данных (категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. № 1119) и цели обработки персональных данных.

В большинстве случаев компании требуется получить согласие субъекта персональных данных на обработку его персональных данных (ст. 9 №152- ФЗ). По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор (ст.22 152-ФЗ), однако, закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно. Юристы RTM Group знают, что указать в обоснование отсутствия необходимости в регистрации в качестве оператора по обработке ПДн.

Специалисты RTM Group помогут выполнить требования законодательства по защите персональных данных таким образом, чтобы максимально усилить Вашу позицию перед проверяющими (контролирующими) органами, а также при получении жалоб/претензий относительно обработки персональных данных от кого бы то ни было.

Какими нормативными актами нужно руководствоваться при разработке и внедрении документов по обработке персональных данных?

• Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»;
• Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ;
• Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»;
• Постановление Правительства от 1 ноября 2012 г. № 1119;
• Постановление Правительства от 15 сентября 2008 г. № 687;
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21;
• Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»;
• Приказ Министерства связи и массовых коммуникаций РФ от 21.12.2011 № 346 (ред. от 28.08.2015) «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»;
• Федеральная служба по надзору в сфере связи и массовых коммуникаций от 27 июля 2017 года «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
• Приказ ФСБ России от 10 июля 2014 г. N 378;
• «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 15.02.2008, № 1679 дсп от 25.03.2008;
• «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 14.02.2008, № 1682 дсп от 25.03.2008.

Обращаем Ваше внимание (!): необходимо следить за изменениями в законодательстве и использовать актуальные редакции нормативных документов.

Какие документы по обработке ПДн нужны в компании?

Организационно-распорядительная документация, регламентирующая процессы обработки и защиты ПДн, включает в себя:

• положения;
• приказы и акты по вопросам организации защиты ПДн;
• регламенты;
• журналы;
• перечни, схемы, планы;
• инструкции;
• соглашения;
• формы документов.

После проведенного анализа мы точно сможем сказать какие документы нужны именно Вашей компании.

Что Вы получаете в результате заказанной в RTM Group услуги?

• Рекомендации по внесению изменений (корректировке) существующих документов.
• Комплект регламентирующей организационно-распорядительной документации (для «внутренней» деятельности компании).
• Комплект документации для работы с контрагентами/клиентами (для «внешней» деятельности компании).

Это могут быть: должностные инструкции работников, обрабатывающих ПДн; должностные инструкции работников, обеспечивающих информационную безопасность и поддержку ИТ; положения о подразделениях; договоры с третьими лицами; трудовые договоры; согласие на обработку персональных данных; обязательство о неразглашении персональных данных, политика обработки персональных данных и т.п.

Как предоставляется услуга (алгоритм действия)?

• Чек-лист (анализ).
  Цель — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть понять информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.
• Разработка комплекта документации.
  В соответствии с Рекомендациями Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» от 27.07.2017 г.
• Рекомендации по внесению изменений (корректировке) существующих документов по итогам анализа.
  В случае, если в процессе анализа существующей документации будут выявлены устранимые нарушения (несоответствия), мы предоставим рекомендации по внесению изменений и приведению в соответствие с требованиями закона.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Вопросы правомерности той или иной деятельности — неотъемлемая часть работы юристов RTM Group
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты