Зачем компании нужны все эти документы по защите персональных данных?


Документы по защите персональных данных

Прошло уже три года с момента принятия Закона «О защите персональных данных». Однако по-прежнему наиболее популярный вопрос, который можно услышать от руководителей компаний: «А действительно ли нужны все эти документы? Может есть минимальный перечень документов? И нет необходимости разрабатывать все эти Политики, Реестры, Перечни, приказы? И есть ли готовые образцы, в которые просто необходимо внести данные своей компании?»

Специалисты нашей компании отвечают – и да, и нет!

Да, требования закона одинаковы для всех! И всем, на кого распространяется действие Закона необходимо иметь и необходимые документы и выполнять установленные Законом требования.

Нет, типовых образцов документов не существует. Каждая компания должна с учетом своей специфики разработать необходимый пакет документов по защите персональных данных.

И это не только наше мнение. Специалисты Национального центра по защите персональных данных при проведении проверок неоднократно акцентируют внимание на ошибках, которые допускаются операторами при работе с персональными данными. И вот 10 наиболее распространенных из них.

1. Не назначено лицо (подразделение), ответственное за осуществление внутреннего контроля за обработкой персональных данных. Либо назначенное лицо занимается непосредственно обработкой персональных данных – что является недопустимым согласно требованиям Закона.

2. Недостаточно четко определены полномочия лица (подразделения), ответственного за осуществления внутреннего контроля за обработкой персональных данных. Не разработана должностная инструкция для такого лица.

3. Не проводятся мероприятия по осуществлению внутреннего контроля за обработкой персональных данных. Либо, если мероприятия и проводятся, то не отражаются результаты внутреннего контроля, не фиксируются недостатки, которые существуют на самом деле. То есть не показан реальная картина по работе с персональными данными в компании.

4. Отсутствует Политика по защите персональных данных. Согласно рекомендациям Центра Политика, должна быть даже не одна, а несколько. Например, Политика по защите персональных данных в отношении работников предприятия, Политика по защите персональных данных в отношении клиентов, Политика по защите персональных данных в отношении видеонаблюдения и т.д.

5. Политика по защите персональных данных разработана, но не адаптирована под конкретную компанию. Политика написана сложным не понятным языком.

6. Политика по защите персональных данных не размещена на сайте (при его наличии) для доступа широкому кругу лиц.

7. Не проводится работа с сотрудниками компании по обучению работе с персональными данными, ознакомлению с требованиями законодательства.

8. Не соблюдаются требования Закона в части обязательного обучения сотрудников компании и периодичностью обучения.

9. Не определен порядок доступа к персональным данным в компании, не установлено какие работники к каким персональным данным имеют доступ.

10. Не выполняются требования к информационным ресурсам, собственником которых является компания: не определен перечень информационных ресурсов, не проведена аттестация соответствия информационных ресурсов.

Исходя из вышеперечисленных упущений операторов, можно сделать однозначный вывод. Соблюдение требований Закона и разработка документов по защите персональных данных – не простая формальность. И каждый оператор должен подходить к данному вопросу с высокой степенью ответственности и осознаем важности проводимых им мероприятий.