Перечень действий с персональными данными: Перечень действий с персональными данными \ Акты, образцы, формы, договоры \ КонсультантПлюс

Разное 

Содержание

Уведомление Роскомнадзора об обработке персональных данных

Неправильное заполнение уведомления об обработке персональных данных может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.

Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.

Определяем цели обработки данных

Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.

При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:

1) Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.

2) Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.

Цели, указываемые в уведомлении, должны охватывать все случаи обработки персональных данных. При этом нужно учитывать как внешнюю деятельность компании – работа с клиентами, пользователями, заключение и исполнение договоров, маркетинговая активность и пр., так и внутреннюю – подбор и приём кадров, сбор данных о сотрудниках, организация пропускного режима.

Примеры заполнения информации о целях обработки персональных данных в уведомлениях:

«цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности»

«цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности»

При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.

Специалисты ПДМастер смогут задать правильные вопросы и определить цели обработки данных, актуальные для вашей компании.

Определяем категории обрабатываемых персональных данных

Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.

Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.

Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.

Как внести уведомление Роскомнадзора корректные категории персональных данных?

Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.

Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим.

В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.

Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.

Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться.

что это и где он указывается

Иллюстрация: MART PRODUCTION/pexels

Разбираемся с перечнем действий с персональными данными, целями таких действий и правовым основанием.

Что это за перечень и куда его вносят

Перечень действий, его еще называют обработкой персональных данных, утвержден п. 3 ст. 3 закона о персданных от 27.07.2006 № 152-ФЗ. Любые операции, совершаемые со сведениями физического лица с использованием или без использования программного обеспечения, относятся к такому перечню.

Перечень не является закрытым, он используется весь или частично, в него можно вносить дополнения.

В соответствии с законом, образец всех действий по работе с ПД работников выглядит следующим образом:

Например, при заключении трудового договора с работником организация или индивидуальный предприниматель осуществляет следующие действия:

  • собирает ПД будущего работника;
  • записывает их, оформляя в программе 1С или в иных системах;
  • вносит информацию об изменениях ПД;
  • обеспечивает надежное хранение;
  • передает данные работника в органы власти в целях выполнения требования законодательства.

Действия с ПД осуществляются с согласия субъекта персональных данных (п. 1 п. 1 ч. 1 ст. 6 закона о персданных). Организациям (или ИП) рекомендуется включать их в документы, которые составляются ими в качестве оператора ПД.

Это, например:

  • политика обработки персональных данных;
  • положение о работе с ПД и их защите;
  • согласие физического лица или работника на действия с его ПД.

Перечень действий указывается и в уведомлении в Роскомнадзор о намерении организации (или ИП) осуществлять обработку ПД. На основании уведомления Роскомнадзор вносит предприятие в реестр операторов обработки перс. данных.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – это уполномоченный орган, который:

  • контролирует соответствие работы с ПД требованиям законодательства;
  • работает с обращениями граждан, вплоть до представления их интересов в суде;
  • ведет реестр операторов ПД.

С 01.09.2022 расширили список случаев, при которых подается уведомление. Один из самых заметных – это уведомление о намерении обработки ПД в целях трудового законодательства, то есть теперь уведомления подают все организации и индивидуальные предприниматели, которые имеют наемных работников (ст. 22 закона о перс. данных, письмо Роскомнадзора от 06.09.2022 № 08-80975).

Форму уведомления разрабатывает уполномоченный орган (ч. 8 ст. 22 закона о перс. данных).

На сегодняшний день действует рекомендованная форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94, также возможно заполнение уведомления на сайте Роскомнадзора.

Вот пример заполнения части уведомления, касающегося перечня действий:

Как составить перечень и правильно указать цели обработки персональных данных

Перечень действий, которые указывают в локальных актах, зависит от целей обработки и их правового обоснования (п.  3.1 ст. 22 закона о перс. данных).

При обработке персональных данных в целях ведения кадрового учета правовое основание – Трудовой кодекс, а перечень действий – сбор, запись, систематизация, накопление, хранение, изменение, удаление и уничтожение.

Передача ПД работника в отчетах контролирующим органам осуществляется в целях налогового и персонифицированного учета. Правовым обоснованием станут нормативные документы, на основании которых отправляются сведения о работниках и отчеты. Это Налоговый кодекс, закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний», закон от 01.04.1996 № 27-ФЗ о персонифицированном учете.

Цель – ведение воинского учета, обосновывается постановлением Правительства от 27.11.2006 № 719 «Об утверждении положения о воинском учете» и подразумевает сбор, хранение и передачу ПД.

При награждении и поощрении сотрудников их фотографии размещаются в сети Интернет на корпоративном сайте или на доске почета.

Повышение профессиональной репутации, поощрение работников – это все пишут в целях обработки персональных данных. Правовым обоснованием станет Трудовой кодекс, в силу которого работодатель поощряет работников, способствует повышению их квалификации. Перечень действий – распространение, публикация.

Необходимо помнить, что обработка в виде размещения ПД или передачи их третьим лицам требует письменного согласия работника.

Вот для примера образец, что писать в целях обработки персональных данных:

?

В разделах 3 и 4 указаны цели и правовое основание обработки ПД.

Примеры обработки, «которая может привести к высокому риску»

Параметры загрузки (открывает панель загрузки)

Варианты загрузки

Страницы

  • Все страницы
  • Эта страница

Формат

  • PDF

В следующем списке подробно описаны операции обработки, для которых ICO требует, чтобы вы заполнили DPIA, поскольку они «могут привести к высокому риску». Он основан на руководящих принципах, принятых Европейским советом по защите данных (EDPB) в отношении DPIA (WP248rev01). Таким образом, наш список дополняет и уточняет эти рекомендации.

Для иллюстрации мы также включили примеры существующих областей применения. Их не следует воспринимать как окончательные или исчерпывающие. В любом случае этот список не влияет на ваше основное обязательство в соответствии со статьей 35(1), которое заключается в оценке любой предлагаемой операции обработки на предмет соответствия требованиям по заполнению DPIA. ICO также считает, что лучше всего проводить DPIA независимо от того, может ли обработка привести к высокому риску.

Тип операции обработки, требующей DPIA Описание Неполные примеры существующих областей применения
Инновационные технологии

Обработка с использованием новых технологий или нового применения существующих технологий (включая ИИ).

DPIA требуется для любых предполагаемых операций по обработке, связанных с инновационным использованием технологий (или применением новых технологических и/или организационных решений) в сочетании с любым другим критерием из WP248rev01.

  • Искусственный интеллект, машинное и глубокое обучение
  • Подключенные и автономные транспортные средства
  • Интеллектуальные транспортные системы
  • Умные технологии
    (включая носимые устройства)
  • Маркетинговые исследования, включающие нейрометрию (т.е. анализ эмоциональных реакций и мозговой активности)
  • Некоторые приложения IoT, в зависимости от конкретных обстоятельств обработки
Отказ в обслуживании Решения о доступе человека к продукту, услуге, возможности или выгоде, которые в какой-либо степени основаны на автоматизированном принятии решений (включая профилирование) или включают обработку данных особой категории.
  • Кредитные чеки
  • Заявки на ипотеку или страхование
  • Другие процессы предварительной проверки, связанные с договорами (например, смартфоны)
Крупномасштабное профилирование Любое крупномасштабное профилирование лиц
  • Данные, обрабатываемые интеллектуальными счетчиками или приложениями IoT
  • Аппаратное/программное обеспечение для мониторинга фитнеса/образа жизни
  • Социальные сети
  • Применение ИИ к существующему процессу
Биометрические данные

Любая обработка биометрических данных с целью однозначной идентификации человека.

DPIA требуется для любых предполагаемых операций обработки биометрических данных с целью однозначной идентификации человека в сочетании с любым другим критерием из WP248rev01

  • Системы распознавания лиц
  • Системы доступа на рабочие места/проверка личности
  • Контроль доступа/проверка личности для оборудования/приложений (включая распознавание голоса/отпечатков пальцев/лиц)
Генетические данные 

Любая обработка генетических данных, кроме тех, которые обрабатываются отдельным врачом общей практики или медицинским работником для оказания медицинской помощи непосредственно субъекту данных.

DPIA требуется для любых предполагаемых операций обработки, связанных с генетическими данными, в сочетании с любым другим критерием из WP248rev01

  • Медицинская диагностика
  • Анализ ДНК
  • Медицинские исследования
Согласование данных
Объединение, сравнение или сопоставление персональных данных, полученных из нескольких источников
  • Предотвращение мошенничества
  • Прямой маркетинг
  • Мониторинг личного использования/получения установленных законом услуг или пособий
  • Службы федеративной идентификации
Невидимая обработка

Обработка персональных данных, которые не были получены непосредственно от субъекта данных в обстоятельствах, когда контролер считает, что соблюдение статьи 14 окажется невозможным или потребует непропорциональных усилий (как предусмотрено статьей 14.

5(b).

DPIA требуется для любых предполагаемых операций по обработке данных, в которых контролер полагается на Статью 14.5(b) в сочетании с любым другим критерием из WP248rev01

  • Брокерские операции со списками
  • Прямой маркетинг
  • Онлайн-отслеживание третьими лицами
  • Интернет-реклама
  • Агрегация данных/платформы агрегации данных
  • Повторное использование общедоступных данных
Отслеживание

Обработка, которая включает в себя отслеживание геолокации или поведения человека, включая, помимо прочего, онлайн-среду.

DPIA требуется для любой предполагаемой операции обработки с использованием данных геолокации в сочетании с любым другим критерием из WP248rev01

  • Социальные сети, программные приложения
  • Аппаратное/программное обеспечение для мониторинга физической формы/образа жизни/здоровья
  • Устройства, приложения и платформы IoT
  • Интернет-реклама
  • Веб-отслеживание и отслеживание между устройствами
  • Агрегация данных / платформы агрегации данных
  • Отслеживание взгляда
  • Обработка данных на рабочем месте
  • Обработка данных в контексте домашней и удаленной работы
  • Обработка данных о местоположении сотрудников
  • Схемы лояльности
  • Услуги по розыску (телесопоставление, телеприсоединение)
  • Профилирование состояния – выявление состоятельных лиц для целей прямого маркетинга

 

Ориентация на детей/других уязвимых лиц для маркетинга, профилирования для автоматического принятия решений или предложения онлайн-услуг Использование личных данных детей или других уязвимых лиц в маркетинговых целях, профилировании или другом автоматизированном принятии решений, или если вы намерены предлагать онлайн-услуги непосредственно детям.
  • Подключенные игрушки
  • Социальные сети
Риск физического вреда  Если обработка носит такой характер, что утечка персональных данных может поставить под угрозу [физическое] здоровье или безопасность людей.
  • Процедуры сообщения о нарушениях/жалоб
  • Записи социального обеспечения

записей о действиях по обработке (также: инвентаризация данных, сопоставление данных): информация, примеры, шаблоны, бесплатно Excel

Запись действий по обработке является требованием к документации Общего регламента ЕС по защите данных (GDPR). Согласно ст. 30 GDPR, компании должны составить список всех действий, в рамках которых они обрабатывают персональные данные (деятельности по обработке).

Для перечня действий по обработке термины «Инвентаризация данных» и «Отображение данных» также используются несколько неточно.

Обзор

  1. Что такое обработка?
  2. Какие примеры действий по обработке приведены в записи действий по обработке (примеры/шаблоны) в соответствии со ст. 30 Общего регламента по защите данных?
  3. Какая информация должна содержаться в записи о деятельности по обработке в соответствии со ст. 30 GDPR (примеры)?
  4. Где я могу найти примеры, образцы, шаблоны и бесплатный Excel для записей о деятельности по обработке?
  5. Что еще важно знать о записях об обработке (также: «Инвентаризация данных» и «Отображение данных»)?

1. Что такое деятельность по обработке?

Термин «процессинговая деятельность» не определен в GDPR. Поэтому часто неясно, что должно быть задокументировано в записях о деятельности по обработке и с какой степенью детализации.

«Активность обработки» может пониматься как набор шагов обработки, служащих одной всеобъемлющей цели, например. конкретный бизнес-процесс или ИТ-инструмент.

Примеры деятельности по обработке:

Использование специального программного обеспечения или устройств, с помощью которых данные сотрудников записываются, хранятся или оцениваются (например, система учета рабочего времени, цифровые личные дела, система электронных карт доступа, видеонаблюдение).

Стандартизированные внутренние процессы, в которых данные о сотрудниках постоянно или систематически собираются, хранятся или используются (например, обработка данных о кандидатах на работу, администрирование и обработка мероприятий по обучению, расчет заработной платы, информационные бюллетени по электронной почте для клиентов).

Часто возникает вопрос об уровне детализации действий по обработке, который должен быть задокументирован в записях действий по обработке (инвентаризация данных, отображение данных):

Чтобы определить, составляют ли определенные операции по обработке одно основное действие по обработке или несколько второстепенных действий по обработке могут быть приняты во внимание следующие аспекты:

Пример: Должны ли вы иметь одно действие по обработке «администрирование оценочных интервью» или два действия по обработке «целевое соглашение» и «измерение достижения цели»?

  • Высокая степень детализации приводит к запутанному количеству действий по обработке и излишне увеличивает административную нагрузку.
  • Слишком грубая детализация (например, «управление персональными данными») больше не позволяет проводить осмысленную проверку соблюдения требований по защите данных.
  • Для определения всеобъемлющей цели полезно ориентироваться на существующие бизнес-процессы или сферы ответственности.
  • Разграничение также может основываться на технических системах, лежащих в основе деятельности по обработке. Однако не каждую ИТ-систему следует рассматривать как отдельную деятельность по обработке данных.
  • Если деятельность по обработке будет подпадать под ответственность нескольких отделов, может быть уместно разделить эту деятельность.
  • С чисто прагматической точки зрения для небольших компаний можно было бы принять более низкий уровень детализации в определении деятельности по обработке.

Чисто абстрактная обработка без конкретной цели

Примеры: общее использование офисного программного обеспечения, общая организация проекта

или только отдельные операции по обработке

Примеры: ведение списков участников собраний

не обязательно рассматривать как «деятельность по обработке».

2. Каковы примеры действий по обработке в записи действий по обработке (примеры/шаблоны) в соответствии со ст. 30 Общего регламента по защите данных?

Типичные процессы обработки в компании показаны ниже. Список является примерным, а не исчерпывающим и предназначен только для справки.

Детализация больше ориентирована на небольшие компании. Например, в случае средних и крупных предприятий может быть полезна более подробная разбивка в области управления персоналом.

HR

  • Управление приложениями/рекрутинг
  • Управление кадровым делопроизводством
  • Расчет заработной платы
  • Запись времени (время прихода/ухода)
  • Развитие персонала / оценка сотрудников
  • Управление автопарком
  • Управление командировочными расходами

IT

  • Электронная почта для сотрудников
  • Доступ в Интернет для сотрудников
  • Файловый сервер
  • Интранет/справочник сотрудников
  • Гостевая беспроводная сеть

Онлайн

  • Работа с веб-сайтом
  • Управление подпиской на рассылку новостей
  • Трекинг (анализ посещаемости сайта)
  • Аккаунты в социальных сетях (например, страница Facebook)

Клиенты

  • Обработка договоров/продажи/распределение
  • CRM (база данных клиентов)
  • Маркетинг (например, списки подписчиков на информационные бюллетени, списки отказа)

Общие/Поставщики

  • Кредиторская задолженность
  • Дебиторская задолженность
  • Управление проектами
  • Производство (например, графики смен)
  • Аудит
  • Юридический
  • Соответствие

Разное

  • Видеонаблюдение

3.

     Какая информация должна содержаться в записи об обработке данных в соответствии со ст. 30 Общего регламента по защите данных (примеры)?

Обязательное содержание записи о деятельности по обработке установлено в ст. 30 Общего регламента по защите данных. В дополнение к названию и контактным данным компании и ответственного за защиту данных, если таковые имеются, для каждого отдельного действия по обработке должна быть предоставлена ​​следующая информация:

  • Цель обработки
  • Обработанные типы данных
  • Группа лиц, к которым относятся обрабатываемые данные (субъекты данных)
  • Получатели
  • Информация о переводах в страны за пределами ЕС/ЕЭЗ
  • Периоды удаления
  • Меры безопасности данных

Кроме того, могут быть добавлены следующие организационные данные:

  • Краткое описание (название) деятельности по обработке
  • Внутреннее ответственное подразделение и лицо
  • Дата записи/последних изменений

Если компания основывает свою обработку данных на правовой основе «баланса интересов» (статья 6, пункт 1, лит. f. GDPR), это должно быть отмечено в записях об обработке данных вместе с указанием преследуемые конкретные интересы. Эта информация необходима для выполнения информационного обязательства GDPR.

Полезно, хотя и не требуется по закону:

  • Правовые основания согласно ст. 6 GDPR, на котором основана обработка, в случае «баланса интересов» дополнительно законные интересы (информация требуется для уведомлений о защите данных в соответствии со статьей 13, абзацем 1, лит. c и d GDPR).
  • Описание ИТ-системы, используемой для обработки данных
  • Использование процессоров данных
  • Если специальные категории персональных данных в соответствии со ст. 9 GDPR является предметом
  • Более подробное объяснение обработки данных
  • Соглашения производственного совета, регулирующие обработку данных

Объем информации о деятельности по обработке зависит от цели, преследуемой записями. Если цель состоит в том, чтобы как можно точнее соответствовать формальным юридическим требованиям, достаточно обязательной информации с кратким описанием.

Однако записи об обработке данных также являются центральным компонентом системы управления защитой данных для обеспечения соблюдения закона о защите данных. Например, на основе записей об обработке данных можно проверить отдельные операции обработки на предмет их соответствия GDPR и определить необходимые улучшения. Однако для этого часто требуется документирование деятельности по обработке, которая выходит за рамки обязательной информации. Кроме того, более подробный учет деятельности по обработке помогает компании соблюдать так называемый принцип подотчетности. В соответствии с принципом подотчетности компания также должна иметь возможность подтверждает соответствие GDPR. Записи об обработке данных также являются важным инструментом при составлении информации/уведомлений/политик о защите данных (например, для сотрудников или соискателей) и при обработке запросов на доступ к данным от субъектов данных.

Поскольку записи об обработке данных должны предоставляться по запросу в надзорный орган, следует обеспечить, чтобы в этом случае можно было извлечь только обязательные данные.

Во избежание повторения рекомендуется размещать определенные части информации отдельно и ссылаться на них в отдельных действиях по обработке при условии, что в конкретной процедуре не возникает никаких особенностей. Этот метод предварительного зажима особенно полезен в отношении периодов удаления, мер безопасности данных и, если применимо, получателей данных.

Описание в записях действий по обработке обычно может быть кратким и, при необходимости, даже в виде маркированного списка, но должно быть полным и не требующим пояснений. Чем больше обработка данных может затронуть интересы субъектов данных, тем более точным должно быть описание. Критериями для этого являются, например, конфиденциальность данных, объем данных, количество субъектов данных, характер и тип обработки.

Иногда записи об обработке данных смешиваются с контрольными списками для оценки соответствия обработки данных GDPR. Я лично рекомендую четко разделять записи о действиях по обработке данных (чистая документация) и обзор действий по обработке данных.

4.     Где я могу найти примеры, образцы, шаблоны и бесплатный Excel для записей о действиях по обработке?

Информация о записях об обработке данных в соответствии со ст. 30 GDPR от органов надзора за защитой данных Германии (Datenschutzkonferenz — DSK): https://www.lda.bayern.de/media/dsk_hinweise_vov.pdf

Практическая помощь от Общества защиты данных и безопасности данных (GDD) для записи об обработке: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf

Пояснения к записям обработки данных от Bitkom e.V. (Немецкая ассоциация информационных технологий, телекоммуникаций и новых медиа), включая советы по его составлению: https://www.bitkom.org/sites/default/files/file/import/180529-LF-Verarbeitungsverzeichnis-online.pdf

Очень простые примеры и шаблоны для записей об обработке данных для малых предприятий от Баварского органа по защите данных (для ассоциаций, автомастерских, ремесленного бизнеса, медицинской практики, интернет-магазина, гостиничного бизнеса): https://www. lda.bayern .de/de/kleine-unternehmen.html

5. Что еще важно знать о записях об обработке данных (также: «Инвентаризация данных» и «Отображение данных»)?

  • Записи об обработке данных часто воспринимаются как раздражающее требование к документации, но это центральный компонент для обеспечения соблюдения требований по защите данных в компании.
  • За ведение записей об обработке данных отвечает компания, а не сотрудник по защите данных (DPO). Тем не менее, задача может быть делегирована DPO, если последний согласен. До GDPR это было спорным вопросом, но теперь возможность делегирования признается надзорными органами.
  • Предположение о том, что компании с числом сотрудников менее 250 человек не обязаны вести учет операций по переработке, ошибочно, поскольку исключение в отношении отзыва согласно ст. 30 абз. 5 Общего регламента по защите данных обычно применяется.
  • Не следует недооценивать усилия, необходимые для первоначального создания записей об обработке.

    No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *