Персональные данные: как настроить процесс обработки и передачи

1. Что учесть при составлении реестра процессов

Законодательство о персональных данных обязывает операторов ПД, помимо издания Политики обработки ПД, вести документ, который определяет для каждой цели обработки ПД:

• категории и перечень обрабатываемых ПД;
• категории субъектов, ПД которых обрабатываются;
• способы, сроки обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований (ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ).

Далее такой документ мы будем называть реестром процессов.

Фактически реестр процессов — основной документ, который регламентирует все события, связанные с обработкой ПД внутри компании. Это гибкий документ, который нужно постоянно актуализировать, учитывая динамично меняющиеся процессы обработки ПД.

Форму реестра процессов операторы могут определить самостоятельно, что позволяет создать действительно наглядный рабочий документ. При его составлении мы рекомендуем определить цели обработки ПД и заполнять этот раздел в первую очередь. Считается, что цели, указанные в Политике обработки ПД и согласиях на обработку, должны соотноситься с целями, которые вы отражаете в реестре процессов, а значит, формулировки в этих документах должны совпадать или быть максимально схожими.

2. Как выявить процессы по обработке персональных данных

Для грамотного заполнения реестра процессов нужно сначала выявить все процессы по обработке ПД — найти все точки входа данных и определить момент, когда их обработка теряет актуальность для компании. Чтобы выявить процессы с целью последующего упорядочивания и регламентации, нужно провести аудит. 

Проводить аудиты процессов обработки ПД желательно каждый год. Создайте в компании положение о внутреннем аудите, определяющее формы опросных листов и лиц, ответственных за проведение аудита (комиссию). Такие аудиты — мера самообследования. Они позволяют выявить новые процессы и найти неточности в регулировании обработки ПД в рамках компании или группы компаний.

Чтобы обезопасить свой бизнес от штрафов за нарушение требований законодательства по защите персональных данных, передайте этот участок на аутсорсинг в Главбух Ассистент. Наши эксперты определят и возьмут под контроль все бизнес-процессы, в которых используются персональные данные, разработают регламенты в сфере обработки и защиты персональных данных. Кроме того, посоветуют, как разграничить права доступа к персональным данным и как организовать защиту корпоративных сетей от внешних воздействий. Посмотрите, какие у нас есть тарифы обслуживания и сразу оставьте заявку, чтобы получить индивидуальное коммерческое предложение для вашего бизнеса.

Рекомендуем придерживаться следующего алгоритма.

1. Разработайте ЛНА, который определит порядок проведения аудита, ответственных, порядок оценки.
2. Создайте формы опросных листов. При создании опросных листов за основу можно взять требования Закона № 152-ФЗ, а также чек-листы Роскомнадзора. Важно сделать опросные листы максимально понятными, при необходимости включив в них примеры процессов, чтобы представителям бизнеса было удобно отвечать на поставленные вопросы. Пример такого документа найдете далее.
3. Издайте приказ (распоряжение) о проведении годового аудита и назначьте ответственных.
   

Проведите аудит в несколько этапов:

• определите ответственных по подразделениям, с которыми можно встретиться и обсудить детали процессов обработки ПД;
• запустите электронный опросник, который поможет выявить неочевидные процессы;
• консолидируйте всю информацию и проанализируйте ее в составе комиссии;
• заполните опросные листы и отчет. Форма отчета предусматривает выявление проблемных мест и назначение ответственных лиц, то есть тех, кто будет заниматься решением возникшего вопроса. Пример формы отчета найдете далее.

Таким образом, аудит позволит:

• выявить ряд новых процессов, которые по какой-либо причине изначально не были охвачены и описаны;
• выявить недочеты в принимаемых организационных и технических мерах и скорректировать их;
• актуализировать Политику обработки ПД и реестр процессов, а при необходимости и уведомление об обработке ПД.

3. Как вести перечень третьих лиц для согласия на обработку персональных данных

Зачастую к обработке ПД привлекают множество контрагентов. Например, чтобы организовать командировку, напечатать визитки, осуществить информационное обеспечение. При этом компании необходимо законное основание для передачи ПД работников в адрес иных юрлиц. Указать и перечислить таких контрагентов напрямую в согласии на обработку ПД может быть затруднительно, так как любое изменение в списке потребует переподписания согласия.

Решением может быть публикация перечня таких организаций на корпоративном ресурсе — в разделе, который доступен только вашим сотрудникам, и ссылка на такой перечень в согласии на обработку ПД. Так работники смогут в любой момент посмотреть, кому передаются их ПД, в каких целях и в каких объемах. Создание прозрачной процедуры передачи ПД позволит минимизировать возникающие у работников вопросы и снизит риски возникновения споров.

Рекомендуем рассылать уведомления об изменении перечня третьих лиц работникам на электронную почту/в личные кабинеты и делать архив версий перечня, чтобы и работодатель, и работники могли ознакомиться с предыдущей или актуальной редакцией.

Если нет времени разбираться в законодательстве и в оформлении документов на обработку персональных данных, передайте эту работу на аутсорсинг в Главбух Ассистент. Эксперты подготовят для вашей компании политику оператора по обработке персональных данных, другие положения, необходимые приказы, бланки согласий, так чтобы не было претензий от Роскомнадзора. Стоимость обслуживания в Главбух Ассистент — от 18 720 рублей. За эти деньги вы получите не только персональные решения по сбору, обработке и хранению персональных данных, но и полноценное ведение бухгалтерского, кадрового учета и налогов. Оставьте заявку и мы расскажем, что конкретно входит в каждый пакет услуг.

4. Какие подписи использовать для согласий на обработку или передачу персональных данных

Иногда, помимо основного согласия на обработку ПД, которое работники подписывают при трудоустройстве, необходимо собрать дополнительные — например, в связи с участием сотрудника в конкурсе, прохождением обучения, для передачи в адрес третьих лиц и т. д. Собирать согласия на бумаге бывает затруднительно и не очень удобно.

В соответствии со ст. 9 Закона № 152-ФЗ согласия можно собрать в любой форме, позволяющей подтвердить факт их получения, если иное не установлено федеральным законом. Так, ст. 88 ТК прямо требует наличия письменного согласия на передачу ПД третьим лицам, что накладывает определенные ограничения на работодателей — операторов ПД. При этом законодатель дает возможность использовать электронные подписи, в том числе ПЭП, которые при определенных условиях будут считаться приравненными к собственноручной подписи работника. То есть для ряда согласий возможно использование электронной подписи и перевод таких согласий в электронный формат. Это уменьшит объем бумажной работы и упростит ряд процессов.

Важно! Для использования ПЭП не забудьте заключить с работниками соглашение о ее использовании, которое будет регламентировать основные аспекты применения подписи.

5. Как контролировать лиц, допущенных к обработке персональных данных

Работодатель обязан ограничивать доступ к ПД работников и предоставлять его только специально уполномоченным лицам (ст. 88 ТК). Нужно определить перечень лиц, которым необходим доступ к ПД в силу функциональных обязанностей, ознакомить их с правилами обработки ПД, а также разъяснить требования Закона № 152-ФЗ. Обеспечивать требования законодательства в полной мере нам позволяют следующие инструменты.

Перечни лиц, допущенных к обработке ПД. Такие перечни ведутся в привязке к должностям и структурным подразделениям. Если увольняется тот или иной допущенный работник, корректировать перечень не нужно, так как он составлен без привязки к конкретному человеку. Изменение перечня требуется только в случае изменения штатного расписания.

Инструкция для лиц, допущенных к обработке ПД. В инструкции перечислите основные обязанности и рекомендации по работе с ПД, а также приложите лист ознакомления с подписями.