В соответствии пунктом 2 статьи 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон) оператором персональных юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
При этом операторами указанные лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Таким образом, любое юридическое лицо, обрабатывающее персональные данные по трудовым договорам, а также в целях исполнения обязанностей по гражданско-правовым договорам с контрагентами является оператором персональных данных и обязано выполнить обязанности возложенные на него указанным Законом.
В соответствии с Законом обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Оператором персональных данных необходимо обеспечить меры по защите обрабатываемых персональных данных, предусмотренные ст. ст. 18.1, 19 Закона, в том числе:
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:
- назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
- издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Жестких требований о количестве подлежащих разработке локальных актов оператора действующим законодательством не установлено.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных. Это меры организационного, правового и технического характера.
Практика реализации этих мер сформировала необходимый минимум документов, который должен быть принят оператором, это:
- общий документ, определяющий политику оператора в отношении обработки персональных данных;
- локальный акт или несколько актов, которые могут включать в себя описание всех процессов обработки персональных данных, включая перечень лиц, имеющих доступ к персональным данным, порядок обеспечения доступа и работы с персональными данными, процесс уничтожения персональных данных. Указанные акты также должны содержать конкретное описание правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Наша компания может помочь Вам в разработке локальных нормативных актов, необходимых для организации деятельности юридического лица и прохождения плановых проверок надзорным органом.
Стоимость наших услуг по подготовке локальных нормативных актов составляет – 50 000 рублей.
Перечень подготавливаемых документов:
- «Положение об обработке персональных данных;
- «Инструкцию по работе с персональными данными;
- «Регламент предоставления доступа к персональным данным»;
- «Регламент взаимодействия с субъектами персональных данных»;
- «Регламент учета, хранения и уничтожения носителей информации, содержащих персональные данные»;
- «Перечень категорий субъектов персональных данных и обрабатываемых персональных данных»
- «Перечень должностных лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей».
- «Регламент мониторинга и контроля обработки персональных данных»;
- «Приказ о назначении ответственного за обработку персональных данных».
а также иные локальные акты, регламентирующие порядок обработки персональных данных, которые будут запрошены надзорными органами.
Срок оказания услуг – 7 рабочих дней.