Законы пишутся на бумаге, порождая множество производных бумаг. Обеспечение соответствия закону — это, прежде всего, написание большого количества новых бумаг, особенно, если это касается обеспечения безопасности. Подсчитано, что для обеспечения соответствия ФЗ-152 «О персональных данных» оператору требуется разработать и ввести в действие в среднем около 40 новых документов. Примерно на те же цифры мы выходим и в случае обеспечения соответствия ISO 27001.
У бумаг тоже существует своя иерархия, своя степень важности и востребованности. Расскажем здесь о самой важной бумаге для оператора ПДн и ее кратком содержании. Для этого приведем краткий перечень основных обязанностей оператора ПДн. Их не так много:
- определить цели и содержание обработки персональных данных (ст. 3, п. 2)
- обеспечить конфиденциальность ПДн (ст. 7, п. 1), за исключением обезличенных и общедоступных ПДн
- соблюдать базовые принципы обработки ПДн, определяемые законодательством (ст. 5)
- получить согласие субьектов на обработку ПДн (ст. 6, п. 1), за исключением случаев, когда обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных и ряда других случаев
- предоставить доказательства согласия субъекта на обработку его ПДн (ст. 9, п. 3), для этого желательно получать письменное согласие по определяемой законом форме (ст. 9, п. 4)
- если персональные данные были получены не от субъекта персональных данных … предоставить субъекту персональных данных информацию об их обработке, определяемую в законе (ст. 18, п. 3)
- предпринимать меры по обеспечению безопасности ПДн, определяемые Правительством РФ (ст. 19)
- до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ст. 22, п. 1) за исключением случаев, предусмотренных законом
- в случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке (ст. 6, п. 4)
Это основные обязанности. Кроме них есть еще более специфичные обязанности, связанные с трансграничной передачей ПДн, предоставлением или уничтожением ПДн по требованию субъекта и ньюансы, связанные с обработкой специальных категорий ПДн.
Поэтому, для того чтобы соответствовать требованиям ФЗ-152, понимать как и в чем вы соответствуете и быть способным продемонстрировать свое соответствие, каждому оператору ПДн следует разработать специальный документ под названием «Положение об обработке персональных данных в организации» (называться может и по другому, но суть от этого не меняется), в котором простым человеческим языком, подробно, с конкретизацией по каждой идентифицированной ИСПДн, описать каким образом в организации выполняется каждый из перечисленных выше пунктов.
Положение об обработке персональных данных — самая важная бумага для оператора ПДн. С ее написания должна начинаться и ей должна заканчиваться любая деятельность по обеспечению соответствия ФЗ-152.