Подготовка перечня обрабатываемых персональных данных
Инвентаризация и категорирование персональных данных, подготовка перечня персональных данных, подлежащих защите
Перечень персональных данных, подлежащих защите - подробный, четко структурированный документ, содержащий информацию обо всех категориях и видах ПДн, обрабатываемых оператором с применением средств автоматизации или без таковых, как являющихся собственностью оператора, так и передаваемые (предоставляемые) в распоряжение (пользование) другими операторами (Пример перечня).
Для составления Перечня привлекается широкий круг должностных лиц структурных подразделений, отделов оператора с тем, чтобы ни одно из возможных направлений его деятельности не было упущено при его разработке.
В ходе подготовки Перечня должностные лица проводят анализ всех сторон деятельности оператора с целью определения состава обрабатываемых ПДн, целей (трудовые отношения, сбор данных граждан, оформление пропусков, договор оказания услуг и т.п.) и условий их обработки, сроков обработки и хранения ПДн различных категорий.
В результате данного шага оператор получает сформированное мнение о составе и содержании обрабатываемых в его структуре ПДн, оформленное в виде Перечня ПДн, подлежащих защите, утвержденного руководителем оператора и доведенного до всех сотрудников оператора, допущенных к обработке ПДн, под роспись.
Следует особое внимание уделять обоснованию сроков обработки и хранения всех ПДн, так согласно п. 7 статьи 5 Федерального закона № 152-ФЗ «О персональных данных» Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
В соответствии с частью 4 статьи 21 закона В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.