Содержание:
ШАГ 1. Реализация требования о назначении ответственного лица
В первую очередь необходимо оценить, насколько корректно реализовано требование о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных. Результаты проверок, проведенных НЦЗПД, показывают, что многие компании реализовали указанное требование лишь формально: вменили данную функцию в обязанности одного из специалистов, отвечающих за юридическое обеспечение деятельности компании.
Однако такой подход может повлечь конфликт интересов. Суть конфликта заключается в том, что работник, назначенный ответственным за осуществление внутреннего контроля за обработкой персональных данных, выступает как в роли «контролера», так и в роли лица, которое в своей повседневной деятельности осуществляет обработку значительного объема персональных данных различных субъектов (как «внутренних» — работники и члены их семей, так и «внешних» — работники контрагентов и клиенты — физические лица).
Таким образом, несмотря на отсутствие прямой нормы, предусматривающей необходимость назначения отдельного ответственного лица, НЦЗПД рассматривает такой вариант как наиболее правильный. И если для небольших (обрабатывающих сведения не более чем о 10 000 субъектах персональных данных) операторов отсутствие выделенного лица может быть допустимо, то для иных случаев это будет расценено как нарушение.
ШАГ 2. Оценка бизнес-процессов
Вторым шагом является анализ бизнес-процессов на предмет обработки персональных данных. Если в компании уже есть реестр обработки персональных данных, то можно ограничиться выборочными проверками отдельных процессов. Однако, скорее всего, реестра не будет, и это значит, что нужен сплошной анализ всех бизнес-процессов, результатом которого и станет качественный реестр обработки персональных данных. В ходе этого анализа нужно определить:
- объем обрабатываемых персональных данных;
- информационные системы (ресурсы), в которых осуществляется обработка таких персональных данных (общий сетевой ресурс корпоративной информационной системы и 1С СЭД);
- правовые основания обработки (обработка в процессе трудовой (служебной) деятельности субъекта персональных данных);
- сведения о третьих лицах, в адрес которых будут направляться указанные персональные данные (контрагенты компании);
- сведения об уполномоченных лицах (подрядчики, осуществляющие техническую поддержку программного обеспечения);
- срок хранения.
ШАГ 3. Проверка механизма разграничения доступа к персональным данным
Необходимо проверить механизмы разграничения доступа к персональным данным. Данное требование можно считать реализованным, если в компании обеспечивается четкая корреляция между функциональными обязанностями работника и персональными данными, к которым он имеет доступ как в электронном виде, так и в бумажном.
Например, бухгалтер, отвечающий лишь за учет материальных ценностей, имеет доступ к информационному ресурсу 1С ЗУП и может ознакомиться с персональными данными клиентов, содержащимися в Bitrix-CRM. К сожалению, существует множество компаний, где специалист юридического подразделения и сотрудник отдела маркетинга используют идентичные с точки зрения объектов доступа учетные записи.
ШАГ 4. Проверка интернет-сайта компании
Далее нужно проверить интернет-сайт компании.
При проверке оценивается наличие механизма получения согласия либо отказа от использования файлов cookie, наличие политики конфиденциальности и форм сбора персональных данных.
Если сбор осуществляется на основании согласия, то субъект должен иметь возможность ознакомиться с целями обработки, своими правами, а также последствиями дачи либо отказа от дачи согласия.
ШАГ 5. Анализ взаимоотношений с контрагентами
Следующий шаг — это анализ взаимоотношений с контрагентами. Если характер взаимоотношений предполагает обработку персональных данных работников либо иных категорий субъектов персональных данных, то необходимо определить, кто из контрагентов выступает в роли уполномоченного лица. С указанными организациями и индивидуальными предпринимателями следует заключить договор, в котором контрагент определяется как уполномоченное лицо, которое осуществляет обработку персональных данных по нашему поручению и (или) в наших интересах. Как оператор мы определяем цель обработки и объем действий с персональными данными, которые поручаются контрагенту. Также договор должен содержать обязанности уполномоченного лица, предусмотренные ст. 17 Закона.
Важно отметить, что с недавних пор НЦЗПД стал настаивать на том, чтобы помимо заключения договора ответственное лицо оператора путем доступных ему средств осуществляло проверку действительной реализации уполномоченным лицом взятых на себя обязательств. Например, убедилось в наличии размещенной на официальном сайте уполномоченного лица политики конфиденциальности, запросило документы, подтверждающие реализацию мер по технической и криптографической защите информации (аттестат соответствия системы защиты информации и общую схему системы защиты информации).
В случае если обязанности, изложенные в договоре, не будут выполнены, оператору следует инициировать процесс смены уполномоченного лица либо установить срок, до которого выявленные нарушения должны быть устранены.
Выводы
Вышеуказанная деятельность ответственного лица — это часть процесса внутреннего контроля за обработкой персональных данных. По мнению НЦЗПД, такой контроль должен быть четко формализован и проводиться на плановой основе. Например, путем составления плана проверок на будущий год. Желательно, чтобы каждое из подразделений подвергалось плановому контролю не реже одного раза в год. По результатам контроля следует составлять отчетные документы, которые и будут служить подтверждением надлежащей работы ответственного лица.
Помимо порядка осуществления внутреннего контроля можно систематизировать и иные процессы реализации требований Закона. С актуальным перечнем локальных нормативных правовых актов, которые рекомендует разрабатывать НЦЗПД, можно ознакомиться на официальном сайте в разделе «Портфель оператора».