Пишем Политику компании в отношении обработки персональных данных (Часть 1)

Обоснование необходимости Политики в отношении обработки персональных данных (ПДн):

-для всех:

- ФЗ-152 (ст. 18.1, ч. 1, п. 2);

-для банков дополнительно:

- Стандарт Банка России СТО БР ИББС-1.0-2014 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения”, пункт 7.10.5.2.: “Организация БС РФ должна опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки ПДн, а также к сведениям о реализуемых требованиях по обеспечению безопасности персональных данных.”

Оглавление Политики формируем, исходя из норм 152-ФЗ, а именно из главы 3, статьи 14, части 7:

В общем случае это может выглядеть так:

1. ОБЩИЕ ПОЛОЖЕНИЯ

2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ (например, Банка)

8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Общие положения

(Из 152-ФЗ, а именно из главы 1, статьи 1, части 1 вставляем следующий фрагмент)

Настоящая Политика <наименование организации> (далее – Оператор) определяет основные вопросы, связанные с обработкой персональных данных Оператором с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Целью настоящей Политики является защита интересов Оператора, его Клиентов и работников, а так же выполнение законодательства Российской Федерации в области защиты персональных данных.

Правовые основания обработки ПДн

(Перечисляем нормативные и правовые акты по защите ПДн (не забывая про отраслевые стандарты):

Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

-Конституцией Российской Федерации.

-Трудовым кодексом Российской Федерации.

-Гражданским кодексом Российской Федерации.

-Федеральным законом от 27.07.2006 №152-ФЗ “О персональных данных”.

-Федеральным законом от 27.07.2006 №149-ФЗ “Об информации, информационных технологиях и о защите информации”.

-Постановлением Правительства России от 01.11.2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

-Приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 года №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

-Приказом Федеральной службы безопасности России от 10.07.2014 №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

-для банков дополнительно:

-Положением Банка России от 09.06.2012 года №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение Банка России №382-П).

Цели обработки ПДн

(Формулируем цели обработки ПДн)

Оператор осуществляет обработку персональных данных в следующих целях:

- осуществления профильной и иной деятельности, предусмотренной Уставом и лицензиями Оператора, нормативными актами отраслевого регулятора, действующим законодательством Российской Федерации;

- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством Российской Федерации и Уставом Оператора;

- организации кадрового учета Оператора, обеспечения соблюдения законов Российской Федерации и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства Российской Федерации в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства Российской Федерации при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами Российской Федерации, Уставом и внутренними документами Оператора.

Продолжение …