Персональные данные и локальные нормативные акты

Цели обработки персональных данных и содержание

Должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.

Примеры целей:

• использование персональных данных в информационных системах, с которыми работает компания,
• использование данных при составлении документов,
• передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
• сбор данных для принятия решения о приеме кандидата на работу и проч.

В ЛНА нужно указать всех субъектов обработки персональных данных (бывшие и настоящие сотрудники и их родственники, соискатели, клиенты, контрагенты и их представители и проч.), цели обработки персональных данных и их перечень.

Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.

Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья).

В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным.

Внутренний доступ. Может быть полным и ограниченным.
При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.
При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки).

Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»). Назначить можно прямым приказом работодателя или прописать должность в ЛНА. Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.).

Ответственный сотрудник будет:

• контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
• информировать сотрудников о новых нормах, локальных актах о персональных данных;
• принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.

Внешний доступ. Нужно прописать в ЛНА условия передачи персональных данных третьим лицам, в том числе за пределы РФ (трансграничная передача): это можно делать на основании договора, поручения на обработку данных и проч.

В ЛНА нужно указать:

• наименование и местонахождение третьих лиц,
• цели передачи данных и объемы,
• перечень действий по обработке,
• способы обработки,
• требования к защите данных.

Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.).

Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз.

Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).

Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений).

Обеспечение конфиденциальности данных

В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных.

Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):

• определение угроз безопасности,
• обнаружение фактов несанкционированного доступа,
• применение мер по обеспечению безопасной обработки данных,
• защита технических средств, на которых хранятся данные,
• установка антивирусов и проч.

Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч.

В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.

В ЛНА нужно закрепить:

• порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
• данные, которые охрана запрашивает у гостей и вносит в журнал,
• цели сбора и обработки данных гостей,
• сроки обработки данных,
• перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.