Внедрение обработки персональных данных
Юридическое сопровождение разработки и внедрения документов, необходимых при обработке персональных данных
Обработка персональных данных стала неотъемлемой частью практически любой сферы деятельности, особенно, если эта деятельность связана с оказанием услуг физическим лицам.
Например, выдача дисконтной карты магазина физическому лицу уже потребует от оператора персональных данных их обработку, уведомление Роскомнадзора и ведение Политики обработки персональных данных. Разрабатывать и внедрять политику обработки персональных данных приходится не только крупным корпорациям и организациям, но и индивидуальным предпринимателям и небольшим фирмам.
Учитывая вносимые в законодательство в области обработки персональных данных изменения, разрабатывать политику обработки персональных данных стало обязанностью многих организаций и индивидуальных предпринимателей. Однако справится с этой задачей, зачастую, самостоятельно бывает не просто.
Вместе с тем, проверка уже существующей политики обработки персональных данных квалифицированным специалистом позволяет выявить необходимые данные для каждой цели обработки и указать категории и перечень обрабатываемых персональных данных, категории субъектов, данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки и грамотно все это скорректировать, отразить в необходимых документах и внедрить это в действие.
Для соблюдения законодательства о защите персональных данных операторам, обрабатывающим персональные данные, необходимо разработать и внедрить соответствующие локальные документы. Такого рода документы могут быть составлены в виде одного локального документа и отражать все требования законодательства, а также могут быть разделены на части и отражать все требования законодательства в разных документах, так, например, к таким документам, как правило, относят:
- Политика обработки персональных данных и положение о защите персональных данных. Один из наиболее важных документов в области обработки персональных данных. Как правило, в политику обработки персональных данных включают общие положения, цели обработки данных, правовые основания обработки, категории данных и категории субъектов, способы, сроки и условия обработки, условия уничтожения персональных данных и т.д. В связи с участившимся незаконным доступом к персональным данным лиц в мошеннических целях, полученные персональные данные необходимо защищать и исключать доступ к персональным данным посторонних лиц. Необходимо прописать меры защиты персональных данных, особенно важно, в случае если персональные данные хранятся на компьютерах сотрудников установить антивирусные программы, а также назначить приказом руководителя организации ответственное лицо за защиту персональных данных.
- Приказ о назначении лица, ответственного за обработку персональных данных. Ответственное лицо назначается приказом руководителя организации, в котором также отражаются обязанности такого ответственного лица, например, ведение внутреннего контроля соблюдения законодательства о защите персональных данных.
Перечень документов на этом не заканчивается. Также могут быть разработаны и внедрены такие документы, как регламент допуска к персональным данным, обязательство о неразглашении персональных данных, порядок внутреннего контроля за соблюдением законодательства о защите персональных данных и иные документы. Конкретный перечень локальных документов, помимо установленных законом в качестве обязательных, операторы персональных данных определяют самостоятельно. Как правило, такой перечень локальных документов зависит от количества обрабатываемых персональных данных, количества сотрудников, имеющих доступ к таким данным, от необходимых мер безопасности при обработке персональных данных и т.п.
В контексте внедрения обработки персональных данных оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей. К таким мерам, в частности, относятся:
- Назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных.
- Издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение, выявление нарушений, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.
- Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных.
- Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
- Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения обработки персональных данных, соотношение указанного вреда и принимаемых оператором мер.
- Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Вместе с тем, в связи с внесенными изменениями в законодательство в области обработки персональных данных, операторам предстоит внести соответствующие изменения в локальные документы, регламентирующие эту отрасль деятельности организации, и внедрить их в работу компании. Учитывая, что за неисполнение или нарушение законодательства в области персональных данных предусмотрена административная ответственность, операторам персональных данных необходимо оперативно проанализировать имеющие документы, внести соответствующие изменения, направить уведомление в Роскомнадзор, если это необходимо.
В случае отсутствия каких-либо документов операторам персональных данных необходимо очень быстро их разработать, ввести в действие, внедрить в работу организации и разместить на информационных ресурсах в сети Интернет. Зачастую быстроту и качество внедряемых документов может обеспечить опытный и квалифицированный юрист, который не только сможет указать на недочеты в уже имеющихся документах, но и внести соответствующие корректировки или полностью разработать необходимый пакет документов в соответствии с требованиями действующего законодательства в области обработки персональных данных.
Юридические услуги
- Консультирование по вопросам обработки персональных данных
- Разработка и внедрение документов по обработке персональных данных
- Сопровождение деятельности организаций, связанной с обработкой персональных данных
- Подготовка необходимых документов в области обработки персональных данных
- Представление интересов оператора персональных данных при взаимодействии с Роскомнадзором