Основные документы НКО для работы с персональными данными
Статья
Исчерпывающего пакета документов по обработке НКО персональных данных (ПДн) не существует. Каждая организация должна разработать свой набор документов, соответствующий ее особенностям и требованиям законодательства. Но есть несколько ключевых документов, которые обычно требуются.
Минимальный перечень необходимых документов формируется исходя из требований ст.ст. 18.1 и 19 ФЗ «О персональных данных», в которых закреплены обязанности операторов ПДн.
Минимальный перечень необходимых документов формируется исходя из требований ст.ст. 18.1 и 19 ФЗ «О персональных данных», в которых закреплены обязанности операторов ПДн.
1
Приказ о назначении ответственного за обработку ПДн
Назначить можно только штатного работника организации, либо же ее руководитель приказом возлагает эти обязанности на себя. Основные функции ответственного — разработка локальных актов по вопросам обработки ПДн, внутренний контроль за обработкой ПДн и взаимодействие с Роскомнадзором.
2
Политика обработки персональных данных
Включает принципы обработки ПДн, обязанности работников, процедуры сбора, хранения, использования и защиты ПДн, а также процедуры реагирования на инциденты, связанные с безопасностью данных.
Документ должен называться именно «Политика обработки персональных данных», а не «Политика конфиденциальности» или «Политика информационной безопасности» и т. д.
Рекомендации по составлению политики размещены на официальном сайте Роскомнадзора.
Документ должен называться именно «Политика обработки персональных данных», а не «Политика конфиденциальности» или «Политика информационной безопасности» и т. д.
Рекомендации по составлению политики размещены на официальном сайте Роскомнадзора.
✓
Политика должна быть направлена вовне и декларировать цели сбора и обработки ПДн, меры по их защите, а также права субъектов данных.
✓
Если вы используете чужие документы в качестве основы для вашей политики, тщательно их переработайте и адаптируйте под свою организацию. Нельзя просто переименовать документ, не меняя его содержание.
✓
Подробно распишите все цели обработки ПДн. Каждая цель должна содержать:
- категории данных (какие именно категории ПДн будут обрабатываться),
- объем данных (какой объем ПДн потребуется для достижения данной цели),
- субъекты данных (какие категории субъектов данных будут затронуты),
- способы обработки (каким образом будет осуществляться обработка данных).
✓
Обеспечьте доступ к вашей Политике по обработке ПДн и обязательно разместите ее на сайте организации
3
Положение об обработке персональных данных
Этот документ уточняет и конкретизирует положения Политики обработки ПДн: правила сбора, обработки, хранения и удаления ПДн, процедуры обеспечения безопасности, правила доступа к данным, ответственность сотрудников и другие аспекты работы с ПДн.
✓
Положение представляет собой подробное руководство для работников, допущенных к обработке ПДн, и должно содержать пошаговые инструкции и правила работы с данными
✓
Положение используется внутри организации и регулирует внутренние процессы обработки ПДн
✓
Все работники, имеющие доступ к ПДн, должны быть ознакомлены с положением и следовать его правилам
✓
Публиковать положение на сайте организации не нужно
4
Согласие на обработку ПДн
Согласие на обработку ПДн может быть дано субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Как правило, используется письменная форма.
В отдельных случаях (обработка специальных категорий ПДн, биометрических ПДн, трансграничная передача ПДн), согласие обязательно должно быть в письменной форме, определенной в ч. 4 ст. 9 ФЗ «О персональных данных».
Обязанность предоставить доказательство получения согласия или наличия оснований обработки ПДн возлагается на оператора Пдн.
Письменное согласие может быть подписано собственноручно или с использованием ЭЦП, а также оно может быть дано через личный кабинет на портале госуслуг. За несовершеннолетнего согласие на обработку его ПДн дают законные представители (родители, руководители специализированных воспитательных учреждений). Объединять в одном документе согласия на обработку несовершеннолетнего и его законного представителя нельзя, поскольку это разные субъекты ПДн, но первый в силу своей ограниченной дееспособности не вправе делать это самостоятельно.
Письменное согласие может быть подписано собственноручно или с использованием ЭЦП, а также оно может быть дано через личный кабинет на портале госуслуг. За несовершеннолетнего согласие на обработку его ПДн дают законные представители (родители, руководители специализированных воспитательных учреждений). Объединять в одном документе согласия на обработку несовершеннолетнего и его законного представителя нельзя, поскольку это разные субъекты ПДн, но первый в силу своей ограниченной дееспособности не вправе делать это самостоятельно.
Письменная форма согласия на обработку ПДН включает:
1
ФИО, адрес субъекта ПДн, номер и сведения о выдаче основного документа, удостоверяющего его личность;
2
ФИО, адрес представителя субъекта ПДн, номер и сведения о выдаче основного документа, удостоверяющего его личность, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
3
Наименование или ФИО и адрес оператора, получающего согласие субъекта ПДн;
4
Цель обработки ПДн;
5
Перечень ПДн, на обработку которых дается согласие субъекта ПДн;
6
Наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
7
Перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
8
Срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;
9
Подпись субъекта ПДн.
Электронные формы на сайтах также должны содержать подтверждение согласия на обработку ПДн!
5
Согласие на использование изображения
Обнародование и дальнейшее использование изображения человека (фотографии, видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с его согласия. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии — с согласия родителей (ст. 152.1 ГК).
Согласием на использование изображения является согласие на обработку ПДн, в котором в перечень обрабатываемых ПДн включены фото- и видеоизображения.
Согласие должно включать в себя:
Согласием на использование изображения является согласие на обработку ПДн, в котором в перечень обрабатываемых ПДн включены фото- и видеоизображения.
Согласие должно включать в себя:
1
ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2
ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3
Наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4
цель обработки персональных данных;
5
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8
срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9
подпись субъекта персональных данных.
Такое согласие не требуется, если:
— изображение используется в государственных, общественных или иных публичных интересах,
— изображение получено при съемке в местах, открытых для свободного посещения, на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и т. п.), кроме случаев, когда такое изображение является основным объектом использования,
— человек позировал за плату.
— изображение используется в государственных, общественных или иных публичных интересах,
— изображение получено при съемке в местах, открытых для свободного посещения, на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и т. п.), кроме случаев, когда такое изображение является основным объектом использования,
— человек позировал за плату.
6
Согласие на распространение ПДн
Согласие на распространение ПДн оформляется отдельно от всех остальных согласий. Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на распространение.
Требования к такому согласию установлены в Приказе Роскомнадзора от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
Согласие должно включать в себя:
Требования к такому согласию установлены в Приказе Роскомнадзора от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
Согласие должно включать в себя:
1
фамилия, имя, отчество (при наличии) субъекта персональных данных;
2
контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
3
сведения об операторе-организации — наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
сведения об операторе — физическом лице — фамилия, имя, отчество (при наличии), место жительства или место пребывания;
сведения об операторе-гражданине, являющемся индивидуальным предпринимателем, — фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
сведения об операторе — физическом лице — фамилия, имя, отчество (при наличии), место жительства или место пребывания;
сведения об операторе-гражданине, являющемся индивидуальным предпринимателем, — фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
4
сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
5
цель (цели) обработки персональных данных;
6
категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
7
категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);
8
условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);
9
срок действия согласия.
Согласие на распространение ПДн нельзя объединять с согласием на обработку ПДн.
7
Иные документы в сфере обработки ПДн
- План проверок и журнал учета проверок: документы, подтверждающие осуществление внутреннего контроля ответственным за обработку ПДн
- Акт оценки возможного вреда правам субъектов ПДн. Составляется в соответствии с Приказом Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»
- Журнал ознакомления работников с требованиями законодательства и локальных актов в сфере обработки ПДн
- Приказ о допуске работников к обработке ПДн
- Приказ об утверждении списка помещений, в которых хранятся и обрабатываются ПДн
- Инструкции пользователей информационной системы ПДн
- Инструкция по антивирусному обеспечению
- Акт определения уровня защищенности в соответствии с Постановлением Правительства № 1119
- Журнал учета машинных носителей ПДн
- Журнал учета обращений субъектов ПДн
- Акт уничтожения ПДн
- Журнал учета посетителей (не обязателен)
- Документы по установке средств защиты информации
Важно: Каждая некоммерческая организация должна индивидуально адаптировать эти документы к своим потребностям и особенностям деятельности!
Нужна помощь по вопросам, связанным с персональными данными?
Обратитесь к юристам «Правовой команды»!