В политике обработки персональных данных нуждаются не только лица, которые предоставили личную информацию, но и сотрудники, которые с ней работают. С определяющим документом могут ознакомиться все граждане, так или иначе взаимодействующие с фирмой. Правила обработки, мера ответственности, права и обязанности, запреты и многое другое скрывают в себе соответствующие юридические документы.
Важнейший этап функционирования: нормативная база
Первичным документом является Конституция государства, которая говорит о необходимости защиты личной и семейной тайны. Данный документ, определяющий политику обработки персональных данных, является важнейшим в своём роде, так как формулирует базовые принципы и основы для работы.
Более детальное основание даёт Трудовой кодекс, который представляет не меньшую значимость. Отличительная особенность акта состоит в определении конкретной юридической ответственности за разглашение тайной информации. В качестве уточняющих норм в образец политики обработки персональных данных можно включить Гражданский, Налоговый кодексы.
Определяющими в данной сфере являются федеральные законы, которые не только посвящены защите личной информации и персональных данных, но и касаются электронной подписи, лицензированных видов деятельности, а также связи и индивидуального страхования. Нормативные документы данного рода позволяют правильным образом организовать политику обработки персональных данных, исключить количество нарушений в данной области.
В качестве завершающего пункта в юридических документах указываются названия местных актов, которые изданы организацией. Как правило, такие документы о политике обработки персональных данных определяют процесс жалобы в случае выявления нарушений, ответственность работников.
Сфера деятельности
Любые учредительные акты о политике обработки персональных данных содержат первую главу, название которой «область применения», «сфера действия», «общие положения» и тому подобное. Здесь определяются непонятные положения, цели деятельности, принципы, а также меры, направленные на защиту данных граждан и работников. В этой главе определяются положения сторон: принимающая информацию фирма является оператором, а клиент – абонентом. Причём здесь же может указываться на особый статус работников компании.
Стоит отметить, что политика в области обработки персональных данных является доступной для всеобщего обозрения. Однако та информация, которая непосредственно предоставляется пользователями, носит гриф секретности. Как правило, сроки в политике не указываются. Согласно негласному правилу, данный документ действует до тех пор, пока его не заменят обновлённой версией.
Многие руководители с целью недопущения нарушений используют законодательные термины, например, в Законе «О персональных данных» предельно чётко и ясно представлены необходимые сведения.
Закрытые базы
Следующая глава политики обработки персональных данных посвящена процессу получения, хранения и использования информации. Как правило, компании определяют два способа ведения документации:
- с использованием автоматизированных компьютерных систем;
- собственноручно, на бумажных носителях.
Быть может, вы будете удивлены, но в век развитых технологий многие организации пользуются исключительно ручным способом ведения документов. Подобная мера необходима с целью хранения секретной информации, так как компьютерную систему взломать значительно легче, нежели пробраться в строго охраняемое учреждение.
Образец политики обработки персональных данных может включать в себя следующие действия: сбор сведений либо их запись, систематизацию, хранение и накопление. В качестве дополнительных действий работодатель может предусмотреть возможность обновления информации, порядок её изменения, а также процесс извлечения и, в обязательном порядке, уничтожения. В отдельной главе делается акцент на возможность обезличивания и удаления информации в целях обеспечения безопасности.
Политика обработки персональных данных в образовательной организации, частной компании либо унитарном предприятии должна определять круг субъектов, к которым относятся:
- Лица, заключившие трудовой договор и состоящие в общественных отношениях соответствующего рода.
- Кандидаты на должность.
- Иные лица, обработка данных которых необходима в целях выполнения основной деятельности фирмы.
Политика защиты и обработки персональных данных необходима для сбора и хранения следующих сведений:
- Фамилия, имя, отчество.
- Место рождения и фактического проживания.
- Социальное и имущественное положение.
- Документы: ИНН, паспорт, иные.
- Образование, семейное положение, место работы, доходы.
- Контактная информация (телефон, электронная почта).
Получение этих данных уже предполагает необходимость обеспечения полной конфиденциальности. Более того, в рамках законодательства список получения сведений о личности может быть расширен. В некотором роде положения политики распространяются и на государственные организации, где личные дела сотрудников носят гриф «Секретно».
Основания ликвидации данных
Первичным и главным условием уничтожения личной информации является прекращение сотрудничества с организацией. Операторы обязаны обеспечить удаление конфиденциальных сведений из всех архивных систем. Кроме того, законодательный смысловой образец политики обработки персональных данных 2017 года указывает на дополнительные основания ликвидации:
- Достигнута цель получения данных.
- Истёк максимальный месячный срок хранения (при отсутствии сотрудничества).
- В течение 7 дней у компании есть обязанность уничтожить персональные данные лица, если гражданином либо его представителем было предоставлено подтверждение незаконности получения информации.
- Отсутствие правомерной деятельности по реализации политики обработки персональных данных.
- Отзыв согласия на сбор и хранение информации субъектом.
- Истечение срока давности трудовых и гражданских правоотношений.
- Ликвидация либо реорганизация юридического лица, которое занимается получением личной информации.
Содержание соглашения с работниками и клиентами
Без вашего согласия никто не имеет права требовать с вас предоставления личных данных. Если вы желаете сотрудничать с той или иной компанией, то вы должны предоставить официальное согласие на предоставление и оформление данных. Договоры и соглашения являются наиболее популярными документами, подтверждающими отсутствие преград с вашей стороны. Разумеется, хранение и обработка информации осуществляется на основании всех условий договора, который также может предусматривать:
- Цели и сроки внедрения сведений в базу.
- Обязательства компании, правовой статус клиента, работника.
- Ответственность сторон в случае нарушения положений соглашения.
При этом невозможно предусмотреть в нормативных документах все жизненные ситуации. Нередко происходят случаи, которые прямо не регулируются законодательством. Юридические консультации говорят о том, что продолжение общественных отношений возможно при получении повторного согласия лица, которое также оформляется в письменном виде.
Политика обработки персональных данных 2017 года предполагает необходимость закрепления регистрационных данных, благодаря которым компанию возможно идентифицировать. Подобное положение является обязательным с целью обеспечения безопасности и чувства защищённости граждан, которые предоставляют личную информацию. Каждому субъекту отношений присваивается регистрационный номер, благодаря которому можно получить доступ к конкретной информации.
Меры защиты информации
Любой пример политики обработки персональных данных содержит раздел, касающийся обеспечения информационной безопасности. Оператор в лице руководителя и должностного сотрудника предпринимает все необходимые меры для создания надёжного барьера информационной защиты. К таким мерам также относятся:
- назначение на должность работников, которые несут ответственность за надлежащее техническое обеспечение;
- обязательное условие в договорах или соглашениях об обеспечении конфиденциальности данных;
- издание подробных нормативных актов на локальном уровне;
- организация пропускного режима, установка систем охраны, обеспечение физической защиты помещений;
- ограничение доступа к информации конфиденциального характера;
- прогнозирование возможных угроз безопасности;
- активное использование информационных средств защиты информации, в том числе антишпионских программ, «заглушек» и так далее;
- использование резервных накопителей с высоким уровнем защищённости;
- обеспечение резервного копирования в случае взлома кода;
- организация и проведение регулярного внутреннего контроля.
Правовой статус работников и клиентов
Политика обработки персональных данных в ДОУ, МБОУ, иных государственных и частных организациях в одном из разделов в обязательном порядке должна включать главу, посвящённую правам резидентов. Данным статусом обладают лица, предоставляющие в пользование личные данные.
Первоочередным правом клиента является возможность отзыва согласия на обработку сведений. Лицо может обратиться к представителю или руководителю как в письменной форме (по электронной почте), так и посредством личной встречи. Резиденты также могут получить консультацию по поводу:
- Подтверждения юридического факта передачи сведений.
- Правовых оснований.
- Целей и деятельности, которые породили необходимость предоставления сведений.
- Реквизитов и адреса юридического лица, в информационную систему которого поступила информация.
- Сроков обработки, хранения, порядка уничтожения.
- Порядка реализации своих прав.
- Информации о возможности или невозможности передачи.
- Исполнения пунктов договора или соглашения.
Разъяснение полномочий субъекта
Политика оператора обработки персональных данных может предусматривать законодательное уточнение возможных вопросов, которые возникают у резидентов. В рамках реализации своего правового статуса субъект правоотношений может требовать уничтожения своих данных, блокирования, если таковые потеряли свою актуальность, устарели, изменились. Кроме того, важным основанием предъявления требования об изъятии информации является незаконность полученных сведений. В таком случае потерпевший реализует все законные способы защиты своих прав.
Нередко случаются ситуации, когда компании безосновательно занимаются сбором персональных данных. То есть юридически данные действия осуществляются правильно, но не являются необходимыми для достижения цели деятельности. В таком случае лицам, ошибочно предоставившим личные сведения, необходимо обратиться в правоохранительные органы, прокуратуру, в Федеральную службу по надзору соответствующего направления или же в суд. С возбуждением административного или уголовного производства у субъекта появляется право на компенсацию и возмещение морального вреда.
Организационные аспекты
Политика обработки персональных данных в образовательной организации, частной, муниципальной, государственной или иной является идентичной, но некоторые отличия в организационной форме всё же присутствуют.
Управленческая деятельность строится на основании общих и специальных документов, например, в дошкольных и школьных заведениях, помимо ФЗ «О персональных данных», немалую роль играет НПА «Об образовании». Контроль за надлежащим исполнением обязанностей по правомерному получению и обработке информации возлагается как на руководителя подразделения, так и на надзорные органы.
Важную роль в сфере конфиденциальности играет отдел информационной безопасности, который создаётся преимущественно в государственных органах.
В случае неправомерного использования предоставленных данных в личных целях ответственность возлагается как на работника, так и на руководителя подразделения, который не осуществил должный контроль. Как показывает практика, непосредственно виновные лица привлекаются не только к дисциплинарной ответственности (увольнение), но и к административной. В качестве дополнительных мер на лиц, осуществляющих непосредственную обработку личной информации, возлагается материальная и гражданско-правовая ответственность.
Немаловажное значение отводится лицу, которое ответственно за разработку политики. Полнота и достоверность изложенных материалов, филологическая грамотность, а также доступный уровень изложения юридического материала образуют понятный нормативный документ. После составления политика утверждается и вводится в рабочую деятельность начальником филиала, организации или иного подразделения.
В качестве завершающего положения в документе указываются уточняющие данные, куда клиенты, работники и иные резиденты могут предоставить информацию о допущенных операторами нарушениях. Ежегодное обновление политики в соответствии с законодательными изменениями, а также целями деятельности юридической организации позволяет не терять документу актуальности.
Необходимость издания Политики
Руководители осуществляют деятельность в соответствии с данным документом для того, чтобы организовать соблюдение правовых норм всеми операторами. Необходимость взаимодействия с конфиденциальной информацией влечёт за собой повышенный риск ответственности. Согласитесь, проведение регулярных консультаций с работниками – процесс весьма трудоёмкий, требующий не только физических и умственных усилий, но и временных затрат. А наличие нормативного документа позволяет упорядочить свою деятельность в рамках императивных предписаний.
Общие представления о процессе обработки личных данных могут получить и резиденты, которые не обладают опытом в юридических делах. Именно поэтому важно оформлять политику простым и доступным для понимания языком. Таким образом, документ позволяет оптимизировать деятельность персонала и расставить все точки над i в сознании субъектов.
