Персональные данные: Ответы на часто задаваемые вопросы. Часть 7

• 61. Необходимо ли регламентировать внутри организации (оператора) проведение порядка аудита? Необходимо ли по окончании проведения аудита закреплять его итоги документально?
• 62. Должна быть опубликована Политика оператора по всем его процессам обработки ПДн или на сайте оператора в отношении процессов обработки ПДн на этом сайте?
• 63. Кто должен быть ответственным за обработку ПД должен быть штатным сотрудником или допускается любое лицо, с которым заключен соответствующий договор?
• 64. Должны ли быть в организации два документа: Политика о персональных данных и Положение о персональных данных. Чаще всего они дублируют друг друга. В чем разница?
• 65. Является ли предоставление справки об отсутствии (наличии) судимости при трудоустройстве - обработкой ПД? Справку работодатель не забирает и не делает копию. Это нужно для понимания оценки вреда ПД.
• 66. Информация о группе инвалидности относится к специальной категории?
• 67. Как разделяются ИСПД? например у нас есть в компании ИС с сервисом 1С-делопроизводство, в этой же сети файловые шары, БД где хранятся договора, сайт - каждый сервис отдельная ИСПД?
• 68. Где должна быть опубликован политика об обработке ПД, например, если у ООО отсутствует личный сайт
• 69. При направлении уведомлений вы указываете, что Оператор должен указывать одну конкретную цель - т.е. оператор должен направить уведомления по каждой отдельной цели, для которой осуществляет обработку ПД?
• 70. Цели обработки персональных данных напрямую связаны с целями Устава либо с видами деятельности организации?

61. Необходимо ли регламентировать внутри организации (оператора) проведение порядка аудита? Необходимо ли по окончании проведения аудита закреплять его итоги документально?

Да, рекомендуется регламентировать порядок проведения внутреннего контроля соответствия обработки ПД, а также закрепить результаты его проведения документально, т.к. указанный документ является подтверждением выполнения оператором требования, установленного пунктом 4 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

62. Должна быть опубликована Политика оператора по всем его процессам обработки ПДн или на сайте оператора в отношении процессов обработки ПДн на этом сайте?

Допускается публикация на сайте документа, определяющего политику в отношении обработки персональных данных применительно к обработке ПД посредством конкретного сайта.

63. Кто должен быть ответственным за обработку ПД должен быть штатным сотрудником или допускается любое лицо, с которым заключен соответствующий договор?

Оператор определяет самостоятельно. Назначение производится по решению руководителя. Ответственный за организацию обработки ПДн должен понимать все процессы обработки ПДн в компании, иметь представление обо всей деятельности, связанной с обработкой данных, обладать организаторскими навыками. И конечно, это лицо должно быть наделено полномочиями по запросу нужных сведений от других отделов и сотрудников (специалисту низшего звена проблематично будет требовать предоставления информации от вышестоящих сотрудников).

64. Должны ли быть в организации два документа: Политика о персональных данных и Положение о персональных данных. Чаще всего они дублируют друг друга. В чем разница?

Сколько у вас будет документов, и как вы их назовете - это решать вам. Главное придерживаться основным требованиям Законодательства. Законодательством установлена обязанность по изданию документа, определяющего политику оператора в отношении обработки персональных данных (пункт 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Такой документ должен определять для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

65. Является ли предоставление справки об отсутствии (наличии) судимости при трудоустройстве - обработкой ПД? Справку работодатель не забирает и не делает копию. Это нужно для понимания оценки вреда ПД.

Да, является. Порядок обработки такой информации установлен частью 3 статьи 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

66. Информация о группе инвалидности относится к специальной категории?

Да, относится.

67. Как разделяются ИСПД? например у нас есть в компании ИС с сервисом 1С-делопроизводство, в этой же сети файловые шары, БД где хранятся договора, сайт - каждый сервис отдельная ИСПД?

Подход может быть разным, кто-то каждую программу описывает как ИСПДн, кто-то ИСПДн описывает в разрезе субъектов ПДн, кто-то сначала цели выделяет, а потом ИСПДн группирует по целям.

68. Где должна быть опубликован политика об обработке ПД, например, если у ООО отсутствует личный сайт

В соответствии с требованиями части 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. При размещении политики необходимо обеспечить к ней доступ субъекта ПД. Например, ее можно разместить в уголке потребителя или в ином месте, к которому субъекты ПД могут иметь доступ.

69. При направлении уведомлений вы указываете, что Оператор должен указывать одну конкретную цель - т.е. оператор должен направить уведомления по каждой отдельной цели, для которой осуществляет обработку ПД?

Нет, в уведомлении могут быть указаны несколько целей, но они должны быть разграничены между собой. Т.е. в отношении каждой цели обработки ПД в уведомлении указываются категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.

70. Цели обработки персональных данных напрямую связаны с целями Устава либо с видами деятельности организации?

Цели обработки ПД определяются оператором исходя из его фактической деятельности в соответствии с договорами, анкетами, иными документами, куда предполагается внесение ПД.