Какие документы нужно создать для защиты персональных данных при их обработке
- Категория: Юрист
Создайте следующий комплект основных документов:
1) политика в отношении обработки персональных данных или иной локальный нормативный акт (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Это самый главный документ, который устанавливает категории, цели, способы обработки персональных данных, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению.
Если у вас уже есть подобный локальный акт по персональным данным работников, вы можете в нем же предусмотреть положения о защите прав иных физлиц (например, добавить специальный пункт по физлицам). Если у вас есть интернет-сайт, через который вы получаете персональные данные, разместите на нем политику в отношении обработки персональных данных (или иной аналогичный акт) так, чтобы посетители сайта имели доступ к ней (ч. 2 ст. 18.1 Закона о персональных данных);
2) приказ о назначении лица, ответственного за организацию обработки персональных данных физлиц. Вы обязаны назначить такое лицо (ч. 1 ст. 22.1 Закона о персональных данных).
Им может стать любой ваш работник, например руководитель отдела по работе с клиентами. Если у вас уже назначен ответственный за персональные данные работников, вы можете назначить его же ответственным за данные прочих физлиц. Это удобно, поскольку обязанности ответственного лица не зависят от того, чьи данные вы обрабатываете - работников или, например, клиентов;
3) приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц.
Такой приказ может служить доказательством того, что конкретное лицо имело доступ к персональным данным. Это важно, в случае если произошло разглашение данных и нужно установить виновных;
4) соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным.
В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их. Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета и движения персональных данных или подробные регламенты по работе с персональными данными.