ЛПА компании по персональным данным: на что обратить внимание?

Помимо основной политики контролирующий орган (НЦЗПД) требует от компаний разработки внутренних документов по процессам защиты персональных данных (ПД). Список необходимых документов представлен в нашей рубрике вопрос-ответ. В данном материале рассмотрим особенности составления некоторых из них.

Политика в отношении обработки ПД в процессе трудовой деятельности

Эта политика включает в себя описание обработки данных сотрудников организации, в том числе их родственников (по ситуации). Содержание политики можно разделить на несколько основных блок

1. Описание целей, оснований обработки, перечень данных и срок их хранения у нанимателя.

Здесь указываются как моменты обработки, связанные напрямую с законодательством:

• формирование, ведение хранение личных дел работников,
• ведение трудовых книжек,
• начисление и выплата зарплаты,
• применение дисциплинарных мер или мер поощрения,

так и индивидуальные процессы компании, где требуется согласие работника:

• публикация информации о работниках в газетах, журналах,
• изготовление пропусков,
• участие в выставках, семинарах и иных мероприятиях,
• изготовление визиток,
• размещение информации о работниках на сайте фирмы и др.

Для компании важно понимать и разграничивать случаи обработки ПД работников в связи с законодательством, где согласие работника не требуется и более того, оно излишне, и случаи, когда такое согласие обязательно.

2. Описание уполномоченных лиц и трансграничной передачи данных.

Этот блок обычно совпадает с положениями основной политики, но указанные лица касаются только работников. К уполномоченным лицам может быть отнесена к примеру компания, которая оказывает бухгалтерские услуги на аутсорсе, компания, которая предоставляет и обслуживает программное обеспечение 1С, организация, интегрирующая CRM-систему в рабочие процессы и иные. Трансграничная передача может происходить, если работники используют email иностранного подрядчика (Google, Яндекс) или используют иностранные программы для работы (находящиеся на российских, американских, европейских серверах). Нужно отслеживать какой сервис к чему относится и конечно указывать информацию о нем для работников.

3. Права работников.

Указываются общие положения: когда можно отозвать согласие, куда обращаться в случае нарушения прав, в какой форме подается заявление, возможность требовать изменений ПД и т.д.

Положение о порядке доступа к персональным данным

Для грамотного составления такого положения нужно определить следующие моменты в работе компании:

1. Категории ПД, цели их обработки и работников, которые напрямую работают с этими данными.

К примеру может быть такое описание:

Как правило распределение работников по категориям зависит от их должности и набора должностных обязанностей.

2. Права доступа, предоставленные сотрудникам и иным лицам в информационных ресурсах компании.

Первоначально компания определяет перечень своих информационных ресурсов. К таким ресурсам могут относиться:

• Локальный сервер;
• CRM-система;
• Программа 1С;
• Облачное хранилище;
• Программа, обеспечивающая пропускной режим и иные.

Далее нужно обозначить, какие сотрудники и иные лица имеют доступ к каждой из систем, на каком уровне находится такой доступ. Под иными лицами понимаются подрядчики, которые могут иметь доступ к системе в рамках оказания своих услуг. К примеру, при обслуживании CRM-системы у подрядчика есть полный доступ на правах администратора ко всей системе, такие моменты также важно отражать в данном положении.

3. Общие положения о порядке доступа.

Кто предоставляет право доступа, когда право доступа может быть изменено, особенности контроля доступа работников.

Если организация крупная и там достаточно объемное количество отделов/подразделений или есть филиалы, то целесообразно разработать несколько ЛПА по порядку доступа для более эффективного разграничения и также осведомления сотрудников об их уровне доступа и обязанностях.

Подготовка ЛПА в области ПД довольно объемный и сложный процесс. Важно оценить и изучить весь поток информации, приходящей в компанию, роль работников в обработке всех данных, как данные распределяются и что с ними происходит.

Юридическая компания «Грин Лигал» всегда готова помочь Вам в упорядочивании процесса обработки персональных данных и разработке всех необходимых документов.