Как составить перечень обрабатываемых ПДн?

Перечень обрабатываемых персональных данных — это документ, который фиксирует, какие именно данные компания собирает, хранит, использует и передает. Он нужен, чтобы подтвердить законность и минимизацию обработки ПДн. Составить его важно с учётом специфики деятельности организации, категорий субъектов и целей обработки.

Алгоритм составления перечня:

1. Определите категории субъектов: сотрудники, клиенты, подрядчики, кандидаты, посетители сайта и т.п.
2. Опишите цели обработки: кадровый учет, оказание услуг, ведение бухгалтерии, исполнение договора, маркетинг.
3. Перечислите данные по каждой категории:
   • для сотрудников: ФИО, паспортные данные, адрес, ИНН, СНИЛС, трудовой договор, сведения о зарплате, дипломы, фото и др.;
   • для клиентов: ФИО, телефон, e-mail, адрес доставки, история заказов;
   • для подрядчиков: ФИО представителей, должность, контактные телефоны, реквизиты договора;
   • для кандидатов: резюме, опыт работы, контакты;
   • для посетителей сайта: IP-адрес, cookie, сведения из форм обратной связи.
4. Разделите данные по типам: обычные, специальные (здоровье, биометрия), биометрические.
5. Согласуйте документ с ответственным за ПДн и утвердите приказом руководителя.

Обоснование по законодательству

• Ст. 5 ФЗ-152 — обязывает ограничивать обработку только теми данными, которые необходимы для достижения целей. Перечень документально закрепляет этот принцип.
• Ст. 18.1 ФЗ-152 — оператор обязан принимать локальные акты, включая перечни ПДн.
• Приказ ФСТЭК № 21 от 18.02.2013 — устанавливает обязанность операторов разрабатывать организационно-распорядительные документы по ПДн, в том числе перечни.

Практика проверок Роскомнадзора

РКН при проверках регулярно запрашивает перечень ПДн.

• В одной компании перечень был составлен только для сотрудников, но не для клиентов. Проверка потребовала дополнить документ.
• В другой организации перечень был детализирован: по категориям субъектов, с указанием целей и правовых оснований. Роскомнадзор признал его корректным и отметил как положительный пример.
• Также РКН указывает, что «шаблонные» перечни из интернета не соответствуют требованиям, если они не отражают специфику деятельности компании.

Важные моменты при составлении

• Не включайте в перечень данные, которые компания фактически не собирает.
• Обязательно указывайте цели и правовые основания обработки для каждой категории.
• Если используется сайт — внесите данные пользователей (IP, cookie).
• Обновляйте перечень при любых изменениях в деятельности (например, внедрение новых сервисов).

Рекомендации и выводы

Да, перечень обрабатываемых ПДн обязателен. Чтобы составить его правильно:

1. Проанализируйте все бизнес-процессы, где используются ПДн.
2. Составьте перечень по категориям субъектов и видам данных.
3. Утвердите его приказом и обновляйте при изменениях.
4. Храните перечень вместе с другими документами по ФЗ-152.

Компания ICTech поможет вашей организации составить корректный перечень ПДн, адаптированный под деятельность компании, и включить его в пакет документов по ФЗ-152. Это обеспечит полное соответствие закону и упростит прохождение проверки РКН.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге