Законодательство по персональным данным требует четкого разделения всех документов, включая локальные акты по целям, категориям и обрабатываемым персональным данным.
Чтобы самостоятельно разработать план корректировок документов, рекомендую применять следующий алгоритм:
1. Сделать карту обрабатываемых данных – проще начать именно с анализа того, чьи данные обрабатываются и какие данные обрабатывает компания. Такую карту рекомендуется делать по конкретному структурному подразделению.
Служба: управления персоналом
|
№ |
Категория |
Обрабатываемые данные |
|
1 |
Работники |
· ФИО · Дата рождения · Паспортные данные · СНИЛС · Контактный (личный) телефон · Прописка (иной почтовый адрес) · Сведения об образовании, включая данные диплома · Сведения о работе, включая данные из трудовой книжки, справок СТД-Р, СТД-ПФР и др. · Данные воинского учета · Сведения об инвалидности · Сведения о семейном положении и членах семьи · И т.д.
|
|
2 |
Кандидаты на трудоустройство |
|
|
3 |
Родственники работника, включая несовершеннолетних детей |
|
|
4 |
И т.д. (стажеры, практиканты, командированные, ГПХ, бывшие работники и т.д.) |
|
2. Разделить обрабатываемые персональные данные на те, которые обрабатываются в силу требований законодательства и те, которые обрабатываются дополнительно, для целей конкретной организации
|
№ |
Категория |
Обрабатываемые данные |
|
|
В силу закона |
Дополнительно |
||
|
1 |
Работники |
· ФИО · Дата рождения · Паспортные данные · СНИЛС · Сведения об образовании, включая данные диплома · Сведения о работе, включая данные из трудовой книжки, справок СТД-Р, СТД-ПФР и др. · Данные воинского учета · Сведения об инвалидности · Сведения о семейном положении и членах семьи (для военнообязанных) · И т.д.
|
· Прописка (иной почтовый адрес) · Контактный (личный) телефон · Сведения о семейном положении и членах семьи · И т.д. |
3. Указать цели обработки персональных данных, которые организация обрабатывает:
|
№ |
Категория |
Персональные данные |
Цели обработки |
|
|
1 |
Работники |
· ФИО · Дата рождения · Паспортные данные · СНИЛС · Сведения об образовании, включая данные диплома · Сведения о работе, включая данные из трудовой книжки, справок СТД-Р, СТД-ПФР и др. · Данные воинского учета · Сведения об инвалидности · Сведения о семейном положении и членах семьи (для военнообязанных) · И т.д.
|
· Обеспечение соблюдения законов и иных нормативных правовых актов |
|
|
Прописка (иной почтовый адрес)
|
· Для официального почтового взаимодействия |
|
||
|
Контактный (личный) телефон |
· Для экстренной связи с работником |
|
||
|
Сведения о семейном положении и членах семьи |
· Для предоставления гарантий и льгот, предусмотренных в компании · Для экстренной связи
|
|
||
|
|
|
И др. |
|
|
4. Разделить обрабатываемые персональные данные по способу их обработки (автоматизированная обработка, обработка без использования средств автоматизации):
|
№ |
Категория |
Обрабатываемые данные |
|
|
С использованием средств автоматизации |
Без использования средств автоматизации |
||
|
|
|
Список №1 |
Список №2 |
|
1 |
Работники |
· ФИО · Дата рождения · Паспортные данные · СНИЛС · Контактный (личный) телефон · Прописка (иной почтовый адрес) · Сведения об образовании, включая данные диплома · Данные воинского учета · Сведения об инвалидности · Сведения о семейном положении и членах семьи · И т.д.
|
· ФИО · Паспортные данные · СНИЛС · Сведения о работе, включая данные из трудовой книжки, справок СТД-Р, СТД-ПФР и др. · Данные воинского учета · И др.
|
5. Указать, какие должностные лица компании допущены к обработке персональных данных исходя из трудовой функции:
|
№ |
Категория |
Должностные лица службы, допущенные к персональным данным |
Функция должностного лица |
Исключения (к каким данным необходимо ограничить допуск должностного лица) |
|
1 |
Работники |
Директор по персоналу |
Обеспечение необходимыми трудовыми ресурсами и организация эффективного использования труда |
Нет |
|
|
|
Специалист по компенсациям и льготам |
Администрирование процедуры предоставления компенсаций и льгот работникам организации |
· Контактный (личный) телефон · Прописка (иной почтовый адрес) |
|
|
|
И т.д. |
|
|
На основании собранных данных компании необходимо:
1. Проверить и скорректировать уведомление в Роскомнадзор (по целям обработки персональных данных),
2. Скорректировать локальные акты по защите персональных данных (по целям обработки, категориям, способам обработки, перечню должностных лиц и т.д.),
3. Скорректировать согласия на обработку персональных данных (с конкретизацией целей и способов обработки персональных данных),
4. Проверить и скорректировать (при необходимости) процессы, обязательные для организации по ст. 18.1., 19 ФЗ №152 «О персональных данных».
