4 сентября 2015 г.

Про неживое положение по обработке ПДн

В общем-то почти от каждого клиента получаю вопросы о том, какими должны быть положение о персональных данных и политика. Некоторые специалисты перед тем, как задать такой вопрос, готовятся и находят различные варианты в Интернете, а также берут у коллег. Часто просят сравнить - сравниваем :)
Знаем мы многие варианты, но почему-то меня большинство из них не устраивают, когда начинаю сравнивать со своим положением :)

Я отвечаю всегда, что законодательство не накладывает требований, как этот документ должен называться и что должен содержать (кроме гос.учреждений по ПП211). Однако добавляю, что в законодательстве также нет требования, чтобы этот документ содержал в себе копию законодательства.

Во всей этой ситуации имеется еще и позиция Роскомнадзора, представители которого приходя к моим клиентам и задавая им вопросы в итоге говорят: "Да у Вас же положение то не живое!"

На основании чего, как Вы думаете? Ответ прост - оно не имеет взаимосвязи с головой ответственных лиц - они работают по другим правилам, а когда им задают вопросы именно в рамках сферы ПДн, то они плавают и не могут указать, каким образом и каким документом они вопросы закрывают. Согласитесь, что неживое здесь не только положение о ПДН, но и вся сфера ПДн, т.к. мало кто привык делать работу в разрезе ФЗ-152 .

Ну так вот. Неживым в итоге может оказаться любой документ, положенный под сукно и вынутый оттуда перед входом надзора в организацию.

Вообще мне очень не нравятся документы, представляющие собой сборку из выкопировок различных нормативных документов. Политика ПДн - из закона  "О персональных данных", Положение о бумажной обработке - из положения №687 и т.д. и т.п.
 
Вот скажите мне смысл этого? А если законы завтра поменяются? Что будете отслеживать? Важно ли это? Нет, не важно. А важно, по моему мнению, обеспечить непосредственную компетентность сотрудников. В чём она должна заключаться, то и должно быть в положении по ПДн.
 
А это:
  1. Знания о правовых основаниях обработки ПДн. Этакий попроцессный свод - справочник.
  2. Практики обработки ПДн. У нас мы насчитываем их около 25. Ну к примеру, "что делать если звонит кто-то в отдел кадров, чтобы узнать работает ли сотрудник".
И всё. Больше ничего, хотя объема получается страниц на 12 и несколько приложений, требуемых ПП687 - формы журналов и согласий.
 
Свод практик отвечать должен на требование ФЗ-152 о необходимости процедур по недопущению неправомерных действий с ПДн. По мне вполне достаточно того, что я указал. Ну а сам закон, как и Гражданский кодекс и Трудовой и любое другое законодательство сотрудники обязаны прочитать и знать сами в области своей компетенции.

Затрону политику в отношении обработки ПДн. Тоже не вижу смысла писать документ длиной в 30 страниц, 90% которого опять же выкопировки. В общем-то наша политика - 2 страницы: краткие данные о субъектах ПДн, правовых основаниях, принимаемых мерах, правах субъектов и информация для обратной связи. Всё. Заставлять читать больше - заставлять бежать кросс.

Комментариев нет:

Отправить комментарий