суббота, 23 апреля 2011 г.

Рецепт 2. Разработка формы согласия на обработку ПДн


Рецепт 2. Разработка формы согласия на обработку ПДн

Ингридиенты: субъекты персональных данных, персональные данные, ваша организация, ответственное лицо.

Способ приготовления:
Начать приготовление формы согласия, на мой взгляд, лучше всего с определения круга лиц, с которых это согласие будет собираться.

Совет: Это могут быть разные категории, чаще всего две: клиенты и сотрудники (кошки и собаки). Но мы можем эти категории детализировать – работники по основному месту работу, совместители, клиенты постоянные и т.д. (перс, сиамская, бульдог, чау-чау и т.д.). Однако зачастую достаточно выделить только внутренних и внешних субъектов, что упростит процедуру разработки документации.

Письменное согласие об обработке персональных данных должно включать в себя следующее:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва;
7) собственноручную подпись субъекта персональных данных.
(ст. 9, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.12.2010) "О персональных данных" (принят ГД ФС РФ 08.07.2006))

Совет: как показало общение с представителями Роскомнадзора во время проверки, сбор согласий, не включающих хотя бы один из данных пунктов, является нарушением. К слову сказать, мои формы согласия были оценены как правильные J

Итак, мы определились что у нас в согласии должно быть, приступим к его составлению. Первый пункт понятен, оставляем пустые строчки, для того, чтобы субъект вписал туда свои персональные данные. Второй пункт тоже простой, вспоминаем, как называется наша организация, не забудьте указать форму собственности, а также указываем адрес регистрации.

Далее нам необходимо определить цель обработки. Разработайте разные формы согласий для клиентов и сотрудников, пропишите в каждом согласии конкретную цель. Это будет гораздо удобнее, чем многостраничный универсальный документ для всех, который трудно прочитать и осознать. Тем более, категории обрабатываемых данных клиентов и сотрудников обычно отличаются.

Существует мнение, что для обработки персональных данных сотрудников нет необходимости собирать согласия в письменном виде, так как:
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
(ст. 6, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.12.2010) "О персональных данных" (принят ГД ФС РФ 08.07.2006))

 В нашем случае - это трудовой договор. Однако в ходе работы могут возникнут ситуации напрямую не связанные с трудовыми отношениями – оформление доверенности, оформление зарплатных счетов и т.д. Лучше все-таки согласия собрать, тем более что сбор согласий с сотрудников - гораздо более легкое мероприятий, чем сбор согласий с клиентов. Своих все-таки отловить легче, да и лояльнее они, так как понимают, что подписать придется в любом случае.J

Совет: Примеры целей: исполнение договорных отношений с ОАО «ХХХ» или осуществление трудовых отношений с ОАО «ХХХ». К подобной формулировке у Роскомнадзора претензий не было. Если Вами было уже составлено уведомление об обработке, смело можете копипастить информацию оттуда. С другой стороны, если у Вас это уведомление составлено, зачем Вы все это читаете, там все есть J

Теперь мы знаем чьи данные, кто обрабатывает, где обрабатывает и для чего. Определим, что мы обрабатываем. Это процесс нелегкий, особенно если предприятие большое. Я пошла следующим путем – опрос сотрудников, вычленение персональных данных из документов и баз данных.

Совет: Лучше проводить как опрос, так и самостоятельный анализ. Вас может удивить, насколько разную информацию Вы при этом получите J Заодно проверите бизнес-процессы, уберете лишнюю информацию, которая никому не нужна. В общем оптимизация и мир во всем мире J

Чтобы примерно знать где копать – начинайте с бухгалтерии, кадров, отдела по работе с клиентами и юридического отдела. А они уже Вас направят в другие подразделения за дополнительной информациейJ

Перечень действий берем из ФЗ «О персональных данных»:
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
(ст. 3, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.12.2010) "О персональных данных" (принят ГД ФС РФ 08.07.2006))

Срок действия можно сформулировать следующим образом:
1) «Согласие вступает в силу с даты передачи мною персональных данных в ОАО «ХХХ» и действует до момента расторжения Договора с погашением задолженности по Договору».
2) Согласие вступает в силу со дня передачи мною персональных данных в ОАО «Красноярсккрайгаз» и до момента расторжения трудового договора.

Совет: Дополнительно укажите, что согласие может быть отозвано и организация обязана прекратить обработку в трехдневный срок в соответствии с законодательством.

Резюме: Сегодня мы с Вами приготовили согласие на обработку персональных данных, подавайте его с личной подписью клиента или сотрудника. Храните в надежном месте.