Чек-лист правил обработки персональных данных

Перед началом проверки важно убедиться — бизнес создал нормативную базу, которая регулирует обработку ПДн. Правовые документы сразу выполняют две функции — удовлетворяют требования Роскомнадзора (РКН) и помогают ответственному лицу быстро найти решение в кризисной ситуации — достаточно свериться с текстом.

Какие правовые документы надо проверить:

• Положение об организации обработки ПДн. Его составляют в свободной форме, но важно проверить, чтобы там отразили: категории и перечень персональных данных, категории субъектов ПДн, способы и сроки обработки и хранения данных, порядок уничтожения.

• Положение об обеспечении безопасности ПДн — внутренний регламент, который определяет меры защиты в процессе обработки. В практике наших экспертов были случаи, когда положение было шаблонным — в нем не учитывалась специфика компании. Кроме того, текст может быть слишком старым и не учитывать последние изменения законодательства. 

• Политика в отношении обработки персональных данных — публичный документ, который должен быть размещен на сайте, если у бизнеса он есть.

• Перечень и описание ИСПДн (информационных систем для обработки персданных) — какие именно программы обрабатывают данные. Иногда РКН при проверке требует этот перечень, чтобы исключить использование зловредного или уязвимого софта.

• Договоры с третьими лицами — операторами, которым могла быть делегирована обработка ПДн.

• Приказы о назначении ответственных за обработку персданных и информационную безопасность в компании или у ИП. Ответственный должен быть закреплен приказом, а список лиц, которые имеют доступ к персональной информации, должен не только существовать, но и регулярно актуализироваться, если, например, персонал уволили.

• Обязательство о неразглашении информации для сотрудников, которые имеют доступ к персональным данным. Условие о неразглашении можно закрепить в дополнительном соглашении к трудовому договору.

• Журналы учета обращений субъектов, согласий, инцидентов. Такой документ можно вести в свободной форме — поможет усилить позицию бизнеса в спорной ситуации, особенно если дело дойдет до суда. 

Самая частая ошибка — автоматическое получение согласий на обработку без обоснования или дублирование оснований, например, одновременно согласие и договор.

Обработка персданных основана на договоре, если речь идет об услугах, исполнении трудовых функций. 

Обработка персданных в силу закона может быть организована только в отдельных случаях, например, бухгалтерский учет, трудовые отношения, обязательства перед налоговыми органами.

Согласие субъекта должно быть конкретным, информированным и оформленным корректно. Особое внимание надо обратить на форму и процедуру получения согласий. С 2023 года РКН внимательно анализирует случаи, где согласие «вшито» в пользовательское соглашение. 

Избыточный сбор данных без четкой цели — нарушение. Важно, чтобы перечень обрабатываемых данных соответствовал принципу минимизации, который установлен законом.

При проверке можно оценить пропорциональность и допустимость обработки:

• Собираются только необходимые данные.

• Особые категории (здоровье, биометрия, национальность) обрабатываются только при наличии специального основания.

• Нет необоснованного использования геолокации, идентификаторов устройств, социальных профилей.

Компания обязана обеспечить субъектам ПДн полный доступ к их правам. То есть проверять надо не только наличие регламентов, но и факты обработки обращений по персданным.

Что надо проверить:

• Механизм подачи запросов есть, и он нормально функционирует. Если это офлайн — то обращение и формы заявлений, которые обрабатывает ответственное лицо. Если это сайт, то есть электронная форма, почтовый адрес, личный кабинет.

• Соблюдаются сроки ответов — 10 рабочих дней.

• На ответ предоставляют полную информацию: цели, сроки хранения, получатели.

• Прописаны и работают процедуры на случай исправления, удаления и блокировки данных.

• Подтверждение удаления данных предоставляют в письменной форме.

Обработка персональных данных  — сложная сфера учета, на которую прямо сейчас направлен пристальный взгляд Роскомнадзора. У «Первой Экспертной Бухгалтерии» есть специалисты, которые могут с нуля создать систему защиты персональных данных в вашей компании или доработать имеющуюся в соответствии с изменениями закона. Мы предлагаем оптимальную цену за полный пакет мероприятий и документов. 

Хотите защитить свой бизнес от многомиллионных штрафов Роскомнадзора?

Возьмем на себя все заботы о персональных данных и защитим от претензий проверяющих

Оставьте заявку, мы перезвоним

Имя^*

E-mail^*

Телефон^*

Отправить

Нажимая кнопку, я соглашаюсь с пользовательским соглашением, обработкой персональных данных и получением информационных и рекламных рассылок

Факт обработки ПДн подлежит уведомлению. Оператор обязан своевременно информировать Роскомнадзор об изменениях в целях, составе данных, категориях субъектов.

Что надо проверить:

• Подано уведомление о начале обработки ПДн.

• Сведения в уведомлении соответствуют нормативным документам и ситуации «на местах».

• При изменении условий обработки вносились изменения и в уведомление.

Кстати, у нас есть подробная статья про типичные ошибки при составлении уведомления для РКН.

Как правило, обработку персданных ведут с помощью персональных компьютеров и бухгалтерских программ. Что надо проверить:

• На ПК есть лицензионные антивирусы, их базы своевременно обновляются.

• Серверы и рабочие компьютеры защищены средствами контроля доступа и аутентификации: пароли, смарт-карты, двухфакторная авторизация.

• Бизнес использует современные методы шифрования данных при их передаче и хранении.

• Назначены ответственные лица и закреплены в приказе, а еще регулярно проводят инструктажи, обучение персонала

ПДн не должны храниться дольше, чем это необходимо. Кроме того, компания или ИП обязаны обеспечивать их полное удаление по завершении срока хранения.

Что надо проверить:

• Определены сроки хранения ПДн: по ТК, НК, локальным актам.

• Осуществляют уничтожение или обезличивание данных после истечения срока.

• Ведут учет уничтоженных данных, особенно на бумажных носителях.

Сайт компании — это одновременно и точка ввода, и точка уязвимости для персональных данных. В этом случае важно обеспечить соблюдение требований не только относительно защиты соединения через сеть Интернет, но и к формам сбора ПДн.

Что надо проверить:

• Политика ПДн размещена на сайте и доступна.

• Все формы обратной связи содержат отдельное согласие на обработку ПДн.

• Подключен HTTPS — протокол передачи данных, который обеспечивает безопасное соединение между веб-браузером пользователя и веб-сайтом. В отличие от HTTP, HTTPS шифрует передаваемую информацию, что предотвращает перехват данных злоумышленниками. 

• Есть уведомление о cookie и, при необходимости, механизм согласия.

Настроим работу с персональными данными с нуля

Проведем аудит, подготовим недостающие документы и подадим уведомления в Роскомнадзор

Провести аудит

Реклама: ООО «ПЭБ», ИНН 5904400185, erid: 2W5zFJPfhsW