ЛПА компании по персональным данным: на что обратить внимание?
Помимо основной политики контролирующий орган (НЦЗПД) требует от компаний разработки внутренних документов по процессам защиты персональных данных (ПД). Список необходимых документов представлен в нашей рубрике вопрос-ответ. В данном материале рассмотрим особенности составления некоторых из них.
Политика в отношении обработки ПД в процессе трудовой деятельности
Эта политика включает в себя описание обработки данных сотрудников организации, в том числе их родственников (по ситуации). Содержание политики можно разделить на несколько основных блок
1. Описание целей, оснований обработки, перечень данных и срок их хранения у нанимателя.
Здесь указываются как моменты обработки, связанные напрямую с законодательством:
- формирование, ведение хранение личных дел работников,
- ведение трудовых книжек,
- начисление и выплата зарплаты,
- применение дисциплинарных мер или мер поощрения,
так и индивидуальные процессы компании, где требуется согласие работника:
- публикация информации о работниках в газетах, журналах,
- изготовление пропусков,
- участие в выставках, семинарах и иных мероприятиях,
- изготовление визиток,
- размещение информации о работниках на сайте фирмы и др.
Для компании важно понимать и разграничивать случаи обработки ПД работников в связи с законодательством, где согласие работника не требуется и более того, оно излишне, и случаи, когда такое согласие обязательно.
2. Описание уполномоченных лиц и трансграничной передачи данных.
Этот блок обычно совпадает с положениями основной политики, но указанные лица касаются только работников. К уполномоченным лицам может быть отнесена к примеру компания, которая оказывает бухгалтерские услуги на аутсорсе, компания, которая предоставляет и обслуживает программное обеспечение 1С, организация, интегрирующая CRM-систему в рабочие процессы и иные. Трансграничная передача может происходить, если работники используют email иностранного подрядчика (Google, Яндекс) или используют иностранные программы для работы (находящиеся на российских, американских, европейских серверах). Нужно отслеживать какой сервис к чему относится и конечно указывать информацию о нем для работников.
3. Права работников.
Указываются общие положения: когда можно отозвать согласие, куда обращаться в случае нарушения прав, в какой форме подается заявление, возможность требовать изменений ПД и т.д.
Положение о порядке доступа к персональным данным
Для грамотного составления такого положения нужно определить следующие моменты в работе компании:
1. Категории ПД, цели их обработки и работников, которые напрямую работают с этими данными.
К примеру может быть такое описание:
|
Категории персональных данных |
Цели |
Работники, непосредственно осуществляющие обработку |
|
Имя, номер телефона, электронная почта |
Обработка формы обратной связи |
Заместитель директора по продажам Менеджер по продажам |
|
Фамилия, имя, электронная почта |
Проведение рассылок рекламного характера |
Заместитель директора по продажам Менеджер по продажам |
Как правило распределение работников по категориям зависит от их должности и набора должностных обязанностей.
2. Права доступа, предоставленные сотрудникам и иным лицам в информационных ресурсах компании.
Первоначально компания определяет перечень своих информационных ресурсов. К таким ресурсам могут относиться:
- Локальный сервер;
- CRM-система;
- Программа 1С;
- Облачное хранилище;
- Программа, обеспечивающая пропускной режим и иные.
Далее нужно обозначить, какие сотрудники и иные лица имеют доступ к каждой из систем, на каком уровне находится такой доступ. Под иными лицами понимаются подрядчики, которые могут иметь доступ к системе в рамках оказания своих услуг. К примеру, при обслуживании CRM-системы у подрядчика есть полный доступ на правах администратора ко всей системе, такие моменты также важно отражать в данном положении.
3. Общие положения о порядке доступа.
Кто предоставляет право доступа, когда право доступа может быть изменено, особенности контроля доступа работников.
Если организация крупная и там достаточно объемное количество отделов/подразделений или есть филиалы, то целесообразно разработать несколько ЛПА по порядку доступа для более эффективного разграничения и также осведомления сотрудников об их уровне доступа и обязанностях.
Подготовка ЛПА в области ПД довольно объемный и сложный процесс. Важно оценить и изучить весь поток информации, приходящей в компанию, роль работников в обработке всех данных, как данные распределяются и что с ними происходит.
Юридическая компания «Грин Лигал» всегда готова помочь Вам в упорядочивании процесса обработки персональных данных и разработке всех необходимых документов.