Перечень действий с персональными данными: что это и где он указывается

Разное 

что это и где он указывается

Иллюстрация: MART PRODUCTION/pexels

Разбираемся с перечнем действий с персональными данными, целями таких действий и правовым основанием.

Что это за перечень и куда его вносят

Перечень действий, его еще называют обработкой персональных данных, утвержден п. 3 ст. 3 закона о персданных от 27.07.2006 № 152-ФЗ. Любые операции, совершаемые со сведениями физического лица с использованием или без использования программного обеспечения, относятся к такому перечню.

Перечень не является закрытым, он используется весь или частично, в него можно вносить дополнения.

В соответствии с законом, образец всех действий по работе с ПД работников выглядит следующим образом:

Например, при заключении трудового договора с работником организация или индивидуальный предприниматель осуществляет следующие действия:

  • собирает ПД будущего работника;
  • записывает их, оформляя в программе 1С или в иных системах;
  • вносит информацию об изменениях ПД;
  • обеспечивает надежное хранение;
  • передает данные работника в органы власти в целях выполнения требования законодательства.

Действия с ПД осуществляются с согласия субъекта персональных данных (п. 1 п. 1 ч. 1 ст. 6 закона о персданных). Организациям (или ИП) рекомендуется включать их в документы, которые составляются ими в качестве оператора ПД.

Это, например:

  • политика обработки персональных данных;
  • положение о работе с ПД и их защите;
  • согласие физического лица или работника на действия с его ПД.

Перечень действий указывается и в уведомлении в Роскомнадзор о намерении организации (или ИП) осуществлять обработку ПД. На основании уведомления Роскомнадзор вносит предприятие в реестр операторов обработки перс. данных.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – это уполномоченный орган, который:

  • контролирует соответствие работы с ПД требованиям законодательства;
  • работает с обращениями граждан, вплоть до представления их интересов в суде;
  • ведет реестр операторов ПД.

С 01.09.2022 расширили список случаев, при которых подается уведомление. Один из самых заметных – это уведомление о намерении обработки ПД в целях трудового законодательства, то есть теперь уведомления подают все организации и индивидуальные предприниматели, которые имеют наемных работников (ст. 22 закона о перс. данных, письмо Роскомнадзора от 06.09.2022 № 08-80975).

Форму уведомления разрабатывает уполномоченный орган (ч. 8 ст. 22 закона о перс. данных).

На сегодняшний день действует рекомендованная форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94, также возможно заполнение уведомления на сайте Роскомнадзора.

Вот пример заполнения части уведомления, касающегося перечня действий:

Как составить перечень и правильно указать цели обработки персональных данных

Перечень действий, которые указывают в локальных актах, зависит от целей обработки и их правового обоснования (п.  3.1 ст. 22 закона о перс. данных).

При обработке персональных данных в целях ведения кадрового учета правовое основание – Трудовой кодекс, а перечень действий – сбор, запись, систематизация, накопление, хранение, изменение, удаление и уничтожение.

Передача ПД работника в отчетах контролирующим органам осуществляется в целях налогового и персонифицированного учета. Правовым обоснованием станут нормативные документы, на основании которых отправляются сведения о работниках и отчеты. Это Налоговый кодекс, закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний», закон от 01.04.1996 № 27-ФЗ о персонифицированном учете.

Цель – ведение

воинского учета, обосновывается постановлением Правительства от 27.11.2006 № 719 «Об утверждении положения о воинском учете» и подразумевает сбор, хранение и передачу ПД.

При награждении и поощрении сотрудников их фотографии размещаются в сети Интернет на корпоративном сайте или на доске почета. Повышение профессиональной репутации, поощрение работников – это все пишут в целях обработки персональных данных. Правовым обоснованием станет Трудовой кодекс, в силу которого работодатель поощряет работников, способствует повышению их квалификации. Перечень действий – распространение, публикация.

Необходимо помнить, что обработка в виде размещения ПД или передачи их третьим лицам требует письменного согласия работника.

Вот для примера образец, что писать в целях обработки персональных данных:

?

В разделах 3 и 4 указаны цели и правовое основание обработки ПД.

Уведомление Роскомнадзора об обработке персональных данных

Неправильное заполнение уведомления об обработке персональных данных может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.

Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.

Определяем цели обработки данных

Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.

При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:

1) Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.

2) Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.

Цели, указываемые в уведомлении, должны охватывать все случаи обработки персональных данных. При этом нужно учитывать как внешнюю деятельность компании – работа с клиентами, пользователями, заключение и исполнение договоров, маркетинговая активность и пр., так и внутреннюю – подбор и приём кадров, сбор данных о сотрудниках, организация пропускного режима.

Примеры заполнения информации о целях обработки персональных данных в уведомлениях:

«цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности»

«цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности»

При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.

Специалисты ПДМастер смогут задать правильные вопросы и определить цели обработки данных, актуальные для вашей компании.

Определяем категории обрабатываемых персональных данных

Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.

Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.

Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.

Как внести уведомление Роскомнадзора корректные категории персональных данных?

Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.

Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим.

В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.

Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.

Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться.

ст. 30 GDPR — Записи об обработке данных

Перейти к содержимому

  1. 1 Каждый контролер и, если применимо, представитель контролера должны вести учет операций по обработке данных, находящихся под его ответственностью. 2 Эта запись должна содержать всю следующую информацию:
    1. имя и контактные данные контролера и, если применимо, совместного контролера, представителя контролера и сотрудника по защите данных;
    2. цели обработки;
    3. описание категорий субъектов данных и категорий персональных данных;
    4. категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или международных организациях;
    5. , где это применимо, передача персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации, и, в случае передачи, упомянутой во втором подпункте статьи 49(1), документация подходящих мер безопасности;
    6. , по возможности, предполагаемые сроки удаления различных категорий данных;
    7. , по возможности, общее описание технических и организационных мер безопасности, упомянутых в статье 32(1).
  2. Каждый обработчик и, если применимо, представитель обработчика должны вести учет всех категорий операций по обработке, осуществляемых от имени контролера, включая:
    1. имя и контактные данные обработчика или обработчиков и каждого контролера, от имени которого действует обработчик, и, где применимо, контролера или представителя обработчика и сотрудника по защите данных;
    2. категории обработки, выполняемой от имени каждого контроллера;
    3. , где это применимо, передача персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации, и, в случае передачи, упомянутой во втором подпункте статьи 49(1), документация подходящих мер безопасности;
    4. , по возможности, общее описание технических и организационных мер безопасности, упомянутых в статье 32(1).
  3. Записи, указанные в пунктах 1 и 2, должны быть в письменной форме, в том числе в электронной форме.
  4. Контролер или обработчик и, где применимо, контролер или представитель обработчика должны предоставить запись надзорному органу по запросу.
  5. Обязательства, указанные в пунктах 1 и 2, не распространяются на предприятие или организацию, в которой работает менее 250 человек, за исключением случаев, когда осуществляемая им обработка может привести к риску для прав и свобод субъектов данных, обработка не время от времени, или обработка включает специальные категории данных, как указано в статье 9(1), или персональные данные, касающиеся уголовных судимостей и правонарушений, указанных в статье 10.

(13) Учет микро-, малых и средних предприятий (82) Запись действий по обработке

←Арт. 29 GDPR

Ст. 31 GDPR→

GDPR Содержание

Сообщить об ошибке

Записи об обработке (также: Инвентаризация данных, Сопоставление данных): Информация, Примеры, Шаблоны, Free Excel

Записи об обработке — это требование к документации Общего регламента ЕС по защите данных (GDPR). Согласно ст. 30 GDPR, компании должны составить список всех действий, в рамках которых они обрабатывают персональные данные (деятельности по обработке).

Для перечня действий по обработке термины «Инвентаризация данных» и «Отображение данных» также используются несколько неточно.

Обзор

  1. Что такое обработка?
  2. Какие примеры действий по обработке приведены в записи действий по обработке (примеры/шаблоны) в соответствии со ст. 30 Общего регламента по защите данных?
  3. Какая информация должна содержаться в записи о деятельности по обработке в соответствии со ст. 30 GDPR (примеры)?
  4. Где я могу найти примеры, образцы, шаблоны и бесплатный Excel для записей о деятельности по обработке?
  5. Что еще важно знать о записях об обработке (также: «Инвентаризация данных» и «Отображение данных»)?

1. Что такое деятельность по обработке?

Термин «процессинговая деятельность» не определен в GDPR. Поэтому часто неясно, что должно быть задокументировано в записях о деятельности по обработке и с какой степенью детализации.

«Активность обработки» может пониматься как набор шагов обработки, служащих одной всеобъемлющей цели, например. конкретный бизнес-процесс или ИТ-инструмент.

Примеры действий по обработке:

Использование специального программного обеспечения или устройств, с помощью которых данные сотрудников записываются, хранятся или оцениваются (например, система регистрации рабочего времени, цифровые личные дела, система электронных карт доступа, видеонаблюдение).

Стандартизированные внутренние процессы, в которых данные о сотрудниках собираются, хранятся или используются непрерывно или систематически (например, обработка данных о кандидатах на работу, администрирование и обработка мероприятий по обучению, расчет заработной платы, информационные бюллетени по электронной почте для клиентов).

Часто возникает вопрос об уровне детализации действий по обработке, который должен быть задокументирован в записях действий по обработке (инвентаризация данных, отображение данных):

Чтобы определить, составляют ли определенные операции по обработке одно основное действие по обработке или несколько второстепенных действий по обработке могут быть приняты во внимание следующие аспекты:

Пример: Должны ли вы иметь одно действие по обработке «администрирование оценочных интервью» или два действия по обработке «целевое соглашение» и «измерение достижения цели»?

  • Высокая степень детализации приводит к запутанному количеству действий по обработке и излишне увеличивает административную нагрузку.
  • Слишком грубая детализация (например, «управление персональными данными») больше не позволяет проводить осмысленную проверку соблюдения требований по защите данных.
  • Для определения всеобъемлющей цели полезно ориентироваться на существующие бизнес-процессы или области ответственности.
  • Разграничение также может основываться на технических системах, лежащих в основе деятельности по обработке. Однако не каждую ИТ-систему следует рассматривать как отдельную деятельность по обработке данных.
  • Если деятельность по обработке будет подпадать под ответственность нескольких отделов, может быть уместно разделить эту деятельность.
  • С чисто прагматической точки зрения для небольших компаний можно было бы принять более низкий уровень детализации в определении деятельности по обработке.

Чисто абстрактная обработка без конкретной цели

Примеры: общее использование офисного программного обеспечения, общая организация проекта

или только отдельные операции по обработке

Примеры: ведение списков участников собраний

не обязательно рассматривать как «деятельность по обработке».

2. Каковы примеры действий по обработке в записи действий по обработке (примеры/шаблоны) в соответствии со ст. 30 Общего регламента по защите данных?

Типичные процессы обработки в компании показаны ниже. Список является примерным, а не исчерпывающим и предназначен только для справки.

Детализация больше ориентирована на небольшие компании. Например, в случае средних и крупных предприятий может быть полезна более подробная разбивка в области управления персоналом.

HR

  • Управление приложениями/рекрутинг
  • Управление кадровым делопроизводством
  • Расчет заработной платы
  • Запись времени (время прихода/ухода)
  • Развитие персонала / оценка сотрудников
  • Управление автопарком
  • Управление командировочными расходами

IT

  • Электронная почта для сотрудников
  • Доступ в Интернет для сотрудников
  • Файловый сервер
  • Интранет/справочник сотрудников
  • Гостевая беспроводная сеть

Онлайн

  • Работа с веб-сайтом
  • Управление подпиской на рассылку новостей
  • Трекинг (анализ посещаемости сайта)
  • Аккаунты в социальных сетях (например, страница Facebook)

Клиенты

  • Обработка договоров/продажи/распределение
  • CRM (база клиентов)
  • Маркетинг (например, списки подписчиков на информационные бюллетени, списки отказа)

Общие/Поставщики

  • Кредиторская задолженность
  • Дебиторская задолженность
  • Управление проектами
  • Производство (например, графики смен)
  • Аудит
  • Юридический
  • Соответствие

Разное

  • Видеонаблюдение

3.

     Какая информация должна содержаться в записи об обработке данных в соответствии со ст. 30 Общего регламента по защите данных (примеры)?

Обязательное содержание записи о деятельности по обработке установлено в ст. 30 Общего регламента по защите данных. В дополнение к названию и контактным данным компании и ответственного за защиту данных, если таковые имеются, для каждого отдельного действия по обработке должна быть предоставлена ​​следующая информация:

  • Цель обработки
  • Обработанные типы данных
  • Группа лиц, к которым относятся обрабатываемые данные (субъекты данных)
  • Получатели
  • Информация о переводах в страны за пределами ЕС/ЕЭЗ
  • Периоды удаления
  • Меры безопасности данных

Кроме того, могут быть добавлены следующие организационные данные:

  • Краткое описание (название) деятельности по обработке
  • Внутреннее ответственное подразделение и лицо
  • Дата записи/последних изменений

Если компания основывает свою обработку данных на правовой основе «баланса интересов» (статья 6, пункт 1, лит. f. GDPR), это должно быть отмечено в записях об обработке данных вместе с указанием преследуемые конкретные интересы. Эта информация необходима для выполнения информационного обязательства GDPR.

Полезно, хотя и не требуется по закону:

  • Правовые основания согласно ст. 6 GDPR, на котором основана обработка, в случае «уравновешивания интересов» дополнительно законные интересы (информация требуется для уведомлений о защите данных в соответствии со статьей 13, абзацем 1, лит. c и d GDPR).
  • Описание ИТ-системы, используемой для обработки данных
  • Использование процессоров данных
  • Если специальные категории персональных данных в соответствии со ст. 9 GDPR является предметом
  • Более подробное объяснение обработки данных
  • Соглашения производственного совета, регулирующие обработку данных

Объем информации о деятельности по обработке зависит от цели, которую преследуют записи. Если цель состоит в том, чтобы как можно точнее соответствовать формальным юридическим требованиям, достаточно обязательной информации с кратким описанием.

Однако записи об обработке данных также являются центральным компонентом системы управления защитой данных для обеспечения соблюдения закона о защите данных. Например, на основе записей об обработке данных можно проверить отдельные операции обработки на предмет их соответствия GDPR и определить необходимые улучшения. Однако для этого часто требуется документирование деятельности по обработке, которая выходит за рамки обязательной информации. Кроме того, более подробный учет деятельности по обработке помогает компании соблюдать так называемый принцип подотчетности. В соответствии с принципом подотчетности компания также должна иметь возможность доказывает соответствие GDPR. Записи об обработке данных также являются важным инструментом при составлении информации/уведомлений/политик о защите данных (например, для сотрудников или соискателей) и при обработке запросов на доступ к данным от субъектов данных.

Поскольку записи об обработке данных должны предоставляться по запросу в надзорный орган, следует обеспечить, чтобы в этом случае можно было извлечь только обязательные данные.

Во избежание повторения рекомендуется размещать определенные части информации отдельно и ссылаться на них в отдельных действиях по обработке, при условии, что в конкретной процедуре не возникает никаких особенностей. Этот метод предварительного зажима особенно полезен в отношении периодов удаления, мер безопасности данных и, если применимо, получателей данных.

Описание в записях действий по обработке обычно может быть кратким и, при необходимости, даже в виде маркированного списка, но должно быть полным и не требующим пояснений. Чем больше обработка данных может затронуть интересы субъектов данных, тем более точным должно быть описание. Критериями для этого являются, например, конфиденциальность данных, объем данных, количество субъектов данных, характер и тип обработки.

Иногда записи об обработке данных смешиваются с контрольными списками для оценки соответствия обработки данных GDPR. Я лично рекомендую четко разделять записи о действиях по обработке данных (чистая документация) и обзор действий по обработке данных.

4.     Где я могу найти примеры, образцы, шаблоны и бесплатный Excel для записей о действиях по обработке?

Информация о записях об обработке данных в соответствии со ст. 30 Общего регламента по защите данных от органов надзора за защитой данных Германии (Datenschutzkonferenz — DSK): https://www.lda.bayern.de/media/dsk_hinweise_vov.pdf

Практическая помощь от Общества защиты данных и безопасности данных (GDD) для записи об обработке: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf

Пояснения к записям обработки данных от Bitkom e.V. (Немецкая ассоциация информационных технологий, телекоммуникаций и новых медиа), включая советы по его составлению: https://www.bitkom.org/sites/default/files/file/import/180529-LF-Verarbeitungsverzeichnis-online.pdf

Очень простые примеры и шаблоны для записей об обработке данных для малых предприятий от Баварского органа по защите данных (для ассоциаций, автомастерских, ремесленного бизнеса, медицинской практики, интернет-магазина, гостиничного бизнеса): https://www. lda.bayern .de/de/kleine-unternehmen.html

5. Что еще важно знать о записях об обработке данных (также: «Инвентаризация данных» и «Отображение данных»)?

  • Записи об обработке данных часто воспринимаются как раздражающее требование к документации, но это центральный компонент для обеспечения соответствия требованиям защиты данных в компании.
  • За ведение записей об обработке данных отвечает компания, а не сотрудник по защите данных (DPO). Тем не менее, задача может быть делегирована DPO, если последний согласен. До GDPR это было спорным вопросом, но теперь возможность делегирования признается надзорными органами.
  • Предположение о том, что компании с числом сотрудников менее 250 человек не обязаны вести учет операций по переработке, ошибочно, поскольку исключение в отношении отзыва согласно ст. 30 абз. 5 Общего регламента по защите данных обычно применяется.
  • Не следует недооценивать усилия, необходимые для первоначального создания записей об обработке.

    No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *