Генератор политики конфиденциальности
Содержание:
- Обработка персональных данных
- Кто является оператором персональных данных?
- Определение терминов
- Цели сбора
- Принципы и цели обработки персональных данных
- Ответственность сторон
- Как и кем составляется
- ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПДн
- Защита конфиденциальности в информационных системах
- Что говорит закон про Политику в отношении обработки персональных данных?
- Популярные статьи
- Чек-лист для бизнеса: что нужно сделать
Обработка персональных данных
Базы персональных данных подлежат обязательной государственной регистрации, осуществляемой специальным государственным органом по вопросам защиты персональных данных в Государственном реестре баз персональных данных. Регистрация баз персональных данных осуществляется по заявочному принципу путем уведомления уполномоченного государственного органа. Несмотря на это, уполномоченный орган имеет право на отказ в регистрации в случае несоответствия заявления о регистрации требованиям Закона.
Согласно Закону обработка персональных данных может осуществляться для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законодательством Украины, в порядке, установленном законодательством. Если цель обработки меняется, то от субъекта персональных данных должно быть получено согласие на обработку персональных данных с новой целью. При этом не разрешается обработка персональных данных о физическом лице без его согласия, кроме случаев, установленных законом, и исключительно в интересах национальной безопасности, экономического благополучия и прав человека.
Закон также устанавливает, что состав и содержание персональных данных должны соответствовать и не быть избыточными относительно цели их обработки. При этом объем персональных данных, которые включаются в базу персональных данных, должен соответствовать условиям согласия субъекта персональных данных. Субъект персональных данных имеет право, предоставляя такое согласие, ограничить право на обработку своих персональных данных.
Кроме того, следует отметить предоставленное Законом право субъекта персональных данных знать о местонахождении базы персональных данных, в которой содержатся его персональные данные, а также о местонахождении владельца и распорядителя такой базы данных, право на информацию о третьих лицах, которым передаются его персональные данные, а также на бесплатный доступ к своим персональным данным, которые содержатся в соответствующей базе персональных данных. Также Закон устанавливает определенные случаи, в которых субъект персональных данных должен письменно информироваться о его правах или действиях, выполненных с его персональными данными.
Владельцем базы персональных данных может быть физическое лицо-предприниматель или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку персональных данных. Такое лицо должно утвердить цель обработки персональных данных, установить состав обрабатываемых данных и процедуры их обработки, если иное не установлено законом.
Владелец базы персональных данных имеет право передать персональные данные для обработки распорядителю базы персональных данных на основании письменного соглашения.
Согласно Закону, банк обязан получать письменное разрешение на их обработку. Такое разрешение обычно запрашивается еще на стадии анкетирования клиента. В случае согласия персональные данные могут быть переданы третьим лицам и использованы для продвижения продуктов и услуг банка.
Если человек отказывает в обработке своих данных, то по закону кредитная организация может использовать информацию о клиенте только в целях исполнения заключенного с ним договора. Однако многие банки в случае несогласия клиента на обработку данных могут вообще отказаться предоставлять ему услуги.
A-Z А Б В Г Д Е Ж З И К Л М Н О П Р С Т У Ф Х Ц Ч Ш Э Ю Я
Кто является оператором персональных данных?
Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.
Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.
Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:
-
обрабатываемых в соответствии с трудовым законодательством;
-
полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
-
относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
-
сделанных субъектом персональных данных общедоступными;
-
включающих в себя только фамилии, имена и отчества субъектов персональных данных;
-
необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
-
включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
-
обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
-
обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.
Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.
Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.
Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.
Определение терминов
- Под «Администрацией сайта» подразумевается группа людей, управляющих контентом.
- Под «Персональными данными» – сведения, которые имеют прямое и/или косвенное отношение определенному или определяемому пользователю.
- Под «Обработкой персональных данных» – операции и их совокупность, которые производятся Администрацией сайта с поступающими личными данными. С помощью автоматизированных средств или вручную сведения могут собираться, систематизироваться, храниться, использоваться, блокироваться, обезличиваться, удаляться и т.д.
- Под «Конфиденциальностью персональных данных» понимается обязательное соблюдение чётких правил Оператором и Администрацией. К их обязанностям относится хранение переданных данных и не разглашение сведений в случае, если Пользователь не подтвердил своё согласие.
- Под «Пользователем сайта» – субъект, который посетил сайт и воспользовался его программами, ресурсами и товарами.
- «Cookies» – фрагментация данных, комплекс которых хранится на компьютере посетителя ресурса, свидетельствующий о посещенных страницах. Он передаётся браузером серверу в НТТР-запросе при переходе на тот или иной сайт.
- «IP-адрес» сайта – уникальный адрес сетевого узла, определяемый по протоколу TCP/IP.
Цели сбора
Ими являются:
- Идентификация информации о посетителе интернет площадки.
- Открытие доступа к наполнению сайта.
- Налаживание обратной связи (заказ звонка, онлайн консультирование, обращение на электронную почту).
- Выявление геолокации субъекта во избежание мошенничества.
- Настройка личного кабинета.
- Настройка уведомлений о формировании заказа.
- Получение и подтверждение платежей, наличие налоговых льгот, обоснование кредита.
- Обеспечение результативного решения проблем, с которыми может столкнуться Пользователь.
- Информирование субъекта об изменении материала, размещенного на сайте.
- Реализация рекламной рассылки с согласия субъекта.
Принципы и цели обработки персональных данных
4.1. ПАО «Газпром», являясь оператором персональных данных, осуществляет обработку персональных данных работников ПАО «Газпром» и других субъектов персональных данных, не состоящих с ПАО «Газпром» в трудовых отношениях.
4.2. Обработка персональных данных в ПАО «Газпром» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ПАО «Газпром» и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется в ПАО «Газпром» на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. ПАО «Газпром» принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.3. Персональные данные обрабатываются в ПАО «Газпром» в целях:
- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов ПАО «Газпром»;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ПАО «Газпром», в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
- регулирования трудовых отношений с работниками ПАО «Газпром» (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
- предоставления работникам ПАО «Газпром» и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- обеспечения пропускного и внутриобъектового режимов на объектах ПАО «Газпром»;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности ПАО «Газпром», его филиалов и представительств, а также дочерних обществ и организаций ПАО «Газпром»;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- осуществления прав и законных интересов ПАО «Газпром» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ПАО «Газпром», или третьих лиц либо достижения общественно значимых целей;
- в иных законных целях.
Ответственность сторон
7.1. Администрация, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2. и 7.2. настоящей Политики Конфиденциальности.
7.2. В случае утраты или разглашения Конфиденциальной информации Администрация не несёт ответственность, если данная конфиденциальная информация:7.2.1. Стала публичным достоянием до её утраты или разглашения.7.2.2. Была получена от третьей стороны до момента её получения Администрацией Ресурса.7.2.3. Была разглашена с согласия Пользователя.
7.3. Пользователь несет полную ответственность за соблюдение требований законодательства РФ, в том числе законов о рекламе, о защите авторских и смежных прав, об охране товарных знаков и знаков обслуживания, но не ограничиваясь перечисленным, включая полную ответственность за содержание и форму материалов.
7.4. Пользователь признает, что ответственность за любую информацию (в том числе, но не ограничиваясь: файлы с данными, тексты и т. д.), к которой он может иметь доступ как к части сайта 2021-godu.com, несет лицо, предоставившее такую информацию.
7.5. Пользователь соглашается, что информация, предоставленная ему как часть сайта 2021-godu.com, может являться объектом интеллектуальной собственности, права на который защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на сайте 2021-godu.com.Пользователь не вправе вносить изменения, передавать в аренду, передавать на условиях займа, продавать, распространять или создавать производные работы на основе такого Содержания (полностью или в части), за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого Содержания в соответствии с условиями отдельного соглашения.
7.6. В отношение текстовых материалов (статей, публикаций, находящихся в свободном публичном доступе на сайте 2021-godu.com) допускается их распространение при условии, что будет дана ссылка на 2021-godu.
7.7. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо Содержания и иных коммуникационных данных, содержащихся на сайте 2021-godu.com или передаваемых через него.
7.8. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие из-за: использования либо невозможности использования сайта, либо отдельных сервисов; несанкционированного доступа к коммуникациям Пользователя; заявления или поведение любого третьего лица на сайте.
7.9. Администрация не несет ответственность за какую-либо информацию, размещенную пользователем на сайте 2021-godu.com, включая, но не ограничиваясь: информацию, защищенную авторским правом, без прямого согласия владельца авторского права.
Как и кем составляется
Владелец сайта может составить документ самостоятельно или обратиться за помощью к юристам. Составление политики конфиденциальности осложняется тем, что не существует единой утвержденной законом нормы. Формирование документа основывается только на рекомендациях Роскомнадзора. Согласно им, политики конфиденциальности должна включать в себя:
- основания и цель сбора персональных сведений;
- название организации и контактные данные;
- информация о компании, занимающейся сбором и обработкой, сведения о доступе третьих лиц;
- сведения о том, какая информация будет обработана;
- сроки обработки и хранения.
ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПДн
5.1. Под безопасностью персональных данных Компания понимает защищенность ПДн от неправомерного
или
случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления,
распространения, а также от иных неправомерных действий в отношении ПДн и принимает необходимые
правовые, организационные и технические меры для защиты ПДн.
5.2. Обработка и обеспечение безопасности персональных данных в Компании осуществляется в
соответствии с
требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных
данных»,
подзаконных актов, других определяющих случаи и особенности обработки персональных данных
федеральных
законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ
России.
5.3. При обработке персональных данных Компания придерживается следующих принципов:
- законности и справедливой основы;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и
законных
целей; - недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых
осуществляется
в целях, несовместимых между собой; - обработки персональных данных, которые отвечают целям их обработки;
5.4. Компания обрабатывает персональные данные только при наличии хотя бы одного из следующих
условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на
обработку
его персональных данных; - обработка персональных данных необходима для достижения целей, предусмотренных законом, для
осуществления и выполнения возложенных законодательством Российской Федерации на оператора
функций,
полномочий и обязанностей; - обработка персональных данных необходима для исполнения договора, стороной которого либо
выгодоприобретателем или поручителем по которому является субъект персональных данных, а
также
для
заключения договора по инициативе субъекта персональных данных или договора, по которому
субъект
персональных данных будет являться выгодоприобретателем или поручителем; - обработка персональных данных необходима для осуществления прав и законных интересов
Компании
или
третьих лиц либо для достижения общественно значимых целей при условии, что при этом не
нарушаются
права и свободы субъекта персональных данных; - осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым
предоставлен субъектом персональных данных либо по его просьбе; - осуществляется обработка персональных данных, подлежащих опубликованию или обязательному
раскрытию в
соответствии с федеральным законом.
5.5. Компания вправе поручить обработку персональных данных граждан третьим лицам, на основании
заключаемого с этими лицами договора.
5.6. Лица, осуществляющие обработку персональных данных по поручению Компании, обязуются
соблюдать
принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом №
152-ФЗ
«О персональных данных». Для каждого лица определены перечень действий (операций) с
персональными
данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных
данных,
цели
обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать
безопасность
персональных данных при их обработке, а также указаны требования к защите обрабатываемых
персональных
данных.
5.7. В целях информационного обеспечения в Компании могут создаваться общедоступные источники
персональных данных работников, в том числе справочники и адресные книги. В общедоступные
источники
персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и
место
рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике
должны
быть в любое время исключены из общедоступных источников персональных данных по требованию
работника
либо по решению суда или иных уполномоченных государственных органов.
5.8. Общество уничтожает либо обезличивает персональные данные по достижении целей обработки или
в
случае
утраты необходимости достижения цели обработки.
Защита конфиденциальности в информационных системах
Поскольку разнородные информационные системы с разными правилами конфиденциальности связаны между собой и информация является общедоступной, устройства политик должны будут согласовывать, обеспечивать соблюдение и контролировать все большее количество правил (и законов) политики конфиденциальности. Существует две категории технологий для защиты конфиденциальности в коммерческих ИТ-системах: коммуникация и обеспечение соблюдения.
- Политическая коммуникация
P3P — Платформа для настроек конфиденциальности. P3P — это стандарт для обмена информацией о методах обеспечения конфиденциальности и их сравнения с предпочтениями отдельных лиц.
- Применение политики
- XACML — расширяемый язык разметки контроля доступа вместе с его профилем конфиденциальности — это стандарт для выражения политик конфиденциальности на машиночитаемом языке, который программная система может использовать для обеспечения соблюдения политики в корпоративных ИТ-системах.
- EPAL — Enterprise Privacy Authorization Language очень похож на XACML, но еще не является стандартом.
- WS-Privacy — «Конфиденциальность веб-службы» будет спецификацией для сообщения политики конфиденциальности в веб-службах . Например, он может указывать, как информация о политике конфиденциальности может быть встроена в конверт SOAP сообщения веб-службы.
- Защита конфиденциальности в Интернете
В Интернете многие пользователи предоставляют много информации о себе: незашифрованные сообщения электронной почты могут быть прочитаны администраторами почтового сервера , если соединение не зашифровано (без HTTPS ), а также поставщиком услуг Интернета и другими стороны, прослушивающие сетевой трафик этого соединения, могут узнать его содержимое. То же самое относится к любому типу трафика, генерируемому в Интернете, включая просмотр веб-страниц , обмен мгновенными сообщениями и другие. Чтобы не выдавать слишком много личной информации, электронную почту можно зашифровать, а просмотр веб-страниц, а также другие действия в Интернете можно осуществлять без отслеживания с помощью анонимайзеров или распределенных анонимайзеров с открытым исходным кодом, так называемых смешанных сетей . Хорошо известные сети с открытым исходным кодом включают I2P — The Anonymous Network и Tor .
- Повышение конфиденциальности за счет индивидуализации
Конфиденциальность компьютера можно улучшить за счет индивидуализации . В настоящее время сообщения безопасности предназначены для «среднего пользователя», то есть одно и то же сообщение для всех. Исследователи предположили, что индивидуализированные сообщения и меры безопасности, созданные на основе индивидуальных различий и личностных качеств пользователей, могут быть использованы для дальнейшего улучшения соблюдения каждым человеком требований компьютерной безопасности и конфиденциальности.
Что говорит закон про Политику в отношении обработки персональных данных?
На самом деле этот документ не обязательно называть Политика в отношении обработки персональных данных. Зачастую мы видим Политика конфиденциальности (видимо, на европейский манер — private policy) или, например, Условия обработки персональных данных. Но мы стараемся придерживаться классического варианта. Главное, чтобы из названия документа было понятно, что он про обработку персональных данных.
Обязанность разработать документ и разместить его на сайте установлена частями 1 и 2 ст. 18.1. Федерального закона О персональных данных. Ответственность за нарушение — от 15 до 30 тысяч рублей для юридических лиц (ч. 3 ст. 13.11. КоАП). Как разработать Политику мы уже рассказывали в отдельной статье
Важный момент: Политика должна быть размещена на каждой странице, где осуществляется сбор персональных данных, в идеале нужно добавить ссылку на Политику в подвал сайта. Пользователь должен иметь возможность интуитивно найти данный документ. Если Политика спрятана, либо пользователю нужно совершить несколько переходов, чтобы ее найти, Роскомнадзор посчитает это нарушением.Отличный пример размещения мы нашли на сайте Дисконт-центра детской одежды Одевайка.ру. Политика размещена в подвале, а при регистрации на сайте пользователь переходит на нее прямо из формы регистрации.
Скриншот с сайта odevaika.ru/
Популярные статьи
- 6.9K
- 5 мин.
Алгоритм BERT – чем грозит вашему сайту и как с ним бороться
Обзор алгоритма BERT – как поменяется поиск Google в России с его внедрением, какое влияние окажет на позиции и трафик сайтов. Рассказываем несколько способов, как подготовить сайт заранее и избежать негативных последствий.
- 26 февраля 2020
- Продвижение
- 11.2K
- 6 мин.
Алгоритмы Google: как улучшить позиции, не попав под санкции
А вы знаете, как можно повлиять на ранжирование в Google и опередить своих конкурентов, угодив требованиям поисковика? В статье мы расскажем об основных алгоритмах Гугл и их задачах, дадим советы по продвижению. А главное, расскажем, как не попасть под фильтры и не понизить свои позиции в поисковой системе Google.
- 9 апреля 2018
- Продвижение
- 4.8K
- 10 мин.
Полный гид по оптимизации мобильного сайта
Провели оптимизацию своего сайта и вздохнули свободно? А про мобильную версию не забыли? Да-да, ее тоже нужно оптимизировать, чтобы не терять трафик из мобильного поиска и не трепать нервы посетителей с мобильных. Подробный чек-лист по оптимизации – в статье.
- 25 мая 2020
- Продвижение
Чек-лист для бизнеса: что нужно сделать
1. Назначить ответственное за работу с персональными данными лицо.
Документы: приказ о назначении и должностная инструкция/дополнения в должностную инструкцию (если это не отдельная должность).
2. Определить, в каких «точках» компания работает с персональными данными (например, HR: в данном случае речь идет о данных, которые предоставляют о себе кандидаты и работники), договоры с контрагентами, сайты, приложения, программы лояльности и прочее).
3. Определить цель каждой обработки персональных данных и убедиться, что вся запрашиваемая информация необходима для данных целей — излишние данные исключить (не запрашивать).
4. Определить надлежащее правовое основание для каждой обработки (согласие, трудовые отношения, договор, обработка общедоступных данных, требования законодательства и иное).
Документы по пп. 2, 3, 4: реестр обработки персональных данных.
Фото: sberbank.ru
5. Разработать политику обработки персональных данных в компании и сопутствующие документы, необходимые для систематизации процессов.
Документы:
- Положение об обработке ПД (ЛПА — коллективные договоры, соглашения, правила внутреннего трудового распорядка и иные акты, регулирующие трудовые и связанные с ними отношения у конкретного нанимателя)
- Регламент реагирования на запросы субъектов ПД
- Типовые формы заявлений субъектов о реализации их прав
- Типовые формы ответов на заявления субъектов о реализации их прав (или отказов в реализации)
- Журнал учета заявлений субъектов ПД.
6. Разработать и поддерживать в актуальном состоянии:
- Перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых является компания
- Категории персональных данных, подлежащих включению в такие ресурсы (системы): общедоступные; специальные (кроме биометрических и генетических); биометрические и генетические; персональные данные, не являющиеся общедоступными или специальными
- Перечень уполномоченных лиц, если обработка персональных данных осуществляется такими лицами
- Срок хранения обрабатываемых персональных данных.
Документы: перечни, указанные выше.
7. Провести разграничение доступа к персональным данным.
Документы и шаги:
- Разработать и внедрить положение о порядке доступа к персональным данным
- Принять реальные технические меры, которые позволят предотвратить несанкционированный доступ.
8. Ознакомить работников с документами из пп. 5 и 6, законодательством о защите персональных данных, провести инструктаж по работе с персональными данными. При этом не реже одного раза в 5 лет необходимо организовывать прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных.
Документы: журнал проведения инструктажа, иные документы, подтверждающие прохождение обучения.
Фото: artemvm.info
9. Разработать политику обработки персональных данных для сайта и (или) приложения.
Документ: политика обработки персональных данных.
10. По результатам проведенной работы внести изменения в заключенные/заключаемые документы.
Пример:
- Разработать текст согласия для кандидатов и следить за его получением от кандидатов перед началом обработки их персональных данных
- Исключить согласие на обработку персональных данных из трудового договора, поскольку в такой форме оно является вынужденным
- Разработать текст отдельного согласия с работниками и получить такое согласие от каждого работника
- Отредактировать анкету для участия в программе лояльности (убрать излишние данные, добавить форму для запроса согласия в надлежащей форме)
- Изменить форму запроса данных на сайте и (или) в приложениях (убрать излишние данные, добавить форму для запроса согласия в надлежащей форме).
11. Оформить поручения на обработку персональных данных с уполномоченными лицами.
12. Проработать технические вопросы реагирования на запросы субъектов персональных данных (обеспечить возможность отзыва согласия, удаления данных и так далее).
13. Принимать меры по технической и криптографической защите информационных систем.