В Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных» содержится информация о минимальных мерах защиты персональных данных (далее – «ПД»). Конкретный перечень документов, регламентирующих порядок обработки ПД, законом не установлен, но есть минимальный перечень, на который обращают надзорные органы при проведении проверки:
- Положение о ПД. В таком документе описывают все действия, связанные с обработкой ПД (их хранение, использование и так далее).
- Документ, определяющий политику в отношении обработки ПД. Такой документ должен включать в себя, в частности, сведения о цели сбора персональных данных, правовых основаниях их обработки, объеме и категориях обрабатываемых данных, порядке и условиях их обработки. Документ дополнительно опубликуйте, например, разместите на сайте организации.
- Приказ о назначении лица, ответственного за организацию обработки ПД физических лиц. Им может стать любой ваш работник, например руководитель отдела по работе с клиентами.
- Приказ об утверждении перечня работников, имеющих доступ к ПД. Такой приказ также может служить доказательством того, что конкретное лицо имело доступ к ПД сотрудников или клиентов.
- Соглашение о конфиденциальности с работниками, имеющими доступ к ПД. В этом соглашении работники, которые имеют доступ к ПД, обязуются не разглашать их.
- Лист ознакомления. Ознакомьте работников с документами, которые у вас в организации регламентируют порядок обработки ПД, под роcпись.
В соответствии с Законом о персональных данных контрольные и надзорные полномочия в сфере защиты персональных данных имеет Роскомнадзор и Государственная инспекция труда. За несоблюдение законодательства предусмотрена дисциплинарная, материальная, гражданско-правовая, административная или уголовная ответственность.
Информация, содержащаяся в настоящей публикации, представлена в сокращенной форме и предназначена лишь для общего ознакомления, в связи с чем она не может рассматриваться в качестве полноценной замены подробного отчета о проведенном исследовании и других упомянутых материалов и служить основанием для вынесения профессионального суждения. Компания не несет ответственности за ущерб, причиненный каким-либо лицам в результате действия или отказа от действия на основании сведений, содержащихся в данной публикации. По всем конкретным вопросам следует обращаться к специалисту по соответствующему направлению.