Как обрабатывать персональные данные: основные правила

Оформите пакет документов по ПДн

Важно! Оформляя документы по ПДн, обязательно учитывайте специфику вашего бизнеса. Например, если у вас ИП без сотрудников, вам будет достаточно минимального комплекта, в том время как крупным организациям может понадобиться до 60–70 различных документов.

Инструкции для сотрудников, работающих с ПДн : о правилах обработки, о действиях в случае утечки и т.д.

Приказ о назначении лица, ответственного за обработку ПДн . Вы должны официальным документом назначить сотрудника, который будет контролировать соблюдение закона внутри компании. Это может быть руководитель, юрист или кадровик.

Положение об обработке и защите ПДн . Это внутренний документ, с которым должны быть ознакомлены все сотрудники, работающие с данными.

Шаблоны согласий на обработку персональных данных . Для разных целей обработки требуются разные согласия. Для рассмотрения анкеты соискателя — одно, для рассылки маркетинговых материалов — другое. Каждая форма должна четко описывать, какие данные, с какой целью и на какой срок вы обрабатываете.

Политика обработки персональных данных — главный документ, который регламентирует все процессы работы с ПДн в вашей компании. Политику нужно разместить на сайте компании.

Обязательное берите согласие

В большинстве случаев для работы с ПДн физлиц нужно получить письменное согласие на обработку персональных данных. Это прямое требование пункта 1 части 1 статьи 6 ФЗ №ФЗ-152.

Однако закон предусматривает важные исключения, когда право на обработку персональных данных возникает у оператора без согласия:

1. Обработка необходима для исполнения договора. Если клиент заказывает у вас товар или услугу, вы вправе обрабатывать его данные для доставки, оформления документов и расчета без отдельного согласия. Данные — неотъемлемая часть договорных отношений.

Пример: интернет-магазин обрабатывает ФИО и адрес покупателя для доставки заказа. Согласие не нужно, так как это условие исполнения договора купли-продажи.

2. Обработка предусмотрена законом. Это касается прежде всего трудовых отношений. При приеме на работу вы обрабатываете данные сотрудника на основании Трудового кодекса, а не его согласия.

Пример: работодатель передает данные сотрудника в СФР для учета стажа. Это обязанность, установленная законом.

3. Обработка необходима для защиты жизни или здоровья. В экстренной ситуации, когда нужно спасти жизнь человека, согласие не запрашивается.

Пример: больница передает данные пациента другой клинике для экстренной консультации.

Важно! Если цель обработки данных выходит за пределы договора и нет других оснований для обработки без согласия, обязательно его возьмите. Оно должно быть оформлено отдельно от остальных документов.