Рекомендации операторам по организации обработки персональных данных
1. Провести анализ всех форм первичных документов в бумажном виде, оформляемых оператором с субъектами персональных данных (далее – ПД) (сотрудниками, клиентами, агентами и т. д.) на предмет выявления категорий обрабатываемых ПД и их соответствия законности и круга субъектов ПД (чаще всего такие документы хранятся в отделе кадров, бухгалтерии). Фотографии лица гражданина, копия страницы паспорта гражданина являются биометрическими ПД, для их обработки требуется согласие субъекта. Сведения о состоянии здоровья, судимости граждан относятся к специальной категории ПД, для их обработки требуется согласие субъекта. Сведения годен/не годен по состоянию здоровья, есть/нет судимость не являются специальными категориями ПД.
2. Удалить все избыточные сведения из числа обрабатываемых ПД, не отвечающие целям осуществления деятельности оператора (например, образовательной, торговой, посреднической, коммерческой, деятельности).
3. Определить филиалы, подразделения и места, где обрабатываются и хранятся ПД.
4. Определить способ обработки ПД (автоматизированный, неавтоматизированный, смешанный), способы срок хранения различных категорий ПД и методику их уничтожения, а также наличие и условий трансграничной передачи ПД. Использование такого программного обеспечения как 1С:Бухгалтерия, Зарплата и кадры и аналогичных им, а также передача отчетности через Интернет в налоговые органы и пенсионные фонды позволяет однозначно говорить об использовании автоматизированных информационных систем при обработке ПД.
5. Определить перечень сторонних организаций, которым передаются ПД и основания для их передачи, в т. ч. Пенсионный фонд, налоговую инспекцию, медицинскую страховую организацию. Убедиться, что в тексте договора с ними, если он требуется, включено условие конфиденциальности обработки ПД. Передавать ПД сторонним организациям под расписку в получении.
6. Исключить передачу ПД третьим лицам, а также публикацию ПД в СМИ, без согласия субъектов ПД, кроме случаев, когда законодательством это предусмотрено.
7. Принять необходимые организационные и технические меры для обеспечения конфиденциальности и безопасности обрабатываемых ПД, например:
· осуществление пропускного режима в служебные помещения;
· назначение должностных лиц, допущенных к обработке и хранению ПД;
· хранение ПД на бумажных носителях в охраняемых или запираемых помещениях, сейфах, шкафах;
· осуществление обработки ПД в автоматизированных информационных системах на рабочих местах с разграничением полномочий, ограничение доступа к рабочим местам, применение механизмов идентификации доступа по паролю и электронному ключу, средств криптозащиты.
8. Классифицировать автоматизированную информационную систему ПД и закрепить ее класс приказом по организации.
9. Направить уведомление в Управление, если оно не направлялось, или направить уточняющее уведомление, если в результате анализа реальной обработки ПД обнаружены отличия от первоначальных заявленных сведений. Напоминаем о возможности направления уведомления в электронном виде непосредственно с сайта Управления.
10. Разработать и утвердить:
· положение о порядке обработки ПД (описывающее весь процесс обработки оператором ПД, в т. ч. цели, способы, субъекты, места хранения и обработки ПД, ответственных должностных лиц, их полномочия, журнал допуска на территорию);
- приказ о назначении ответственных лиц по работе с ПД; приказ об утверждении мест хранения материальных носителей ПД; должностные регламенты лиц, имеющих доступ или осуществляющих обработку ПД;
· приказ о назначении лиц, ответственных за организацию мер по защите ПД;
· положение о подразделении, осуществляющем функции по организации защиты ПД;
· приказ о создании комиссии и акты проведения классификации информационных систем ПД;
· план мероприятий по защите ПД;
· план внутренних проверок состояния защиты ПД.
11. Контролировать исполнение требований законодательства РФ в сфере ПД к осуществляемой оператором обработке ПД, в том числе:
· отсутствие незаконных баз данных ПД,
· стараться получать ПД только у самого субъекта;
· наличие письменного согласия субъекта на его обработку ПД, в том числе близких родственников и членов семей Ваших работников;
· извещение близких родственников и членов семей Ваших работников в случае обработки их ПД при поступлении от Вашего работника;
· ведение журнала учета обращений граждан;
· уничтожение ПД по достижении целей обработки, издание актов об уничтожении ПД.
