Алексей Ветров
Эксперт по защите данных IC-TECH
Да, утверждённый перечень персональных данных, обрабатываемых в организации, является обязательным документом. Он помогает формализовать процесс обработки и подтвердить, что компания не собирает «лишние» данные, выходящие за рамки целей обработки.
Для чего нужен перечень:
- фиксирует конкретные категории ПДн, с которыми работает компания (например: ФИО, дата рождения, паспортные данные, контактная информация, данные трудового договора и др.);
- подтверждает соблюдение принципа «минимально необходимого объёма данных» (ст. 5 ФЗ-152);
- служит ориентиром для сотрудников при сборе и использовании ПДн;
- используется как базовый документ при проверке Роскомнадзора.
Для чего нужен перечень:
- фиксирует конкретные категории ПДн, с которыми работает компания (например: ФИО, дата рождения, паспортные данные, контактная информация, данные трудового договора и др.);
- подтверждает соблюдение принципа «минимально необходимого объёма данных» (ст. 5 ФЗ-152);
- служит ориентиром для сотрудников при сборе и использовании ПДн;
- используется как базовый документ при проверке Роскомнадзора.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан принимать локальные акты, определяющие его политику и порядок обработки ПДн. Перечень обрабатываемых данных является частью таких актов.
- Ст. 5 ФЗ-152 — закрепляет принципы обработки: объём данных должен соответствовать заявленным целям и не быть избыточным. Перечень как раз фиксирует этот объём.
- Приказ ФСТЭК № 21 от 18.02.2013 — указывает на необходимость ведения документации, включая перечень обрабатываемых ПДн.
Практика проверок Роскомнадзора
- При проверках РКН часто требует перечень обрабатываемых ПДн. Его отсутствие трактуется как нарушение.
- В одной компании было положение об обработке ПДн, но не было отдельного перечня. Проверка указала, что без перечня невозможно подтвердить соблюдение принципа минимизации.
- В другой организации перечень был разработан и утверждён приказом. Это позволило избежать претензий, так как было видно, какие именно данные собираются и зачем.
Важные моменты
- Перечень утверждается приказом руководителя.
- Он может быть самостоятельным документом или приложением к положению об обработке ПДн.
- При изменении процессов (например, запуск онлайн-формы на сайте) перечень нужно актуализировать.
- В перечне лучше разделять данные по категориям субъектов: сотрудники, клиенты, подрядчики.
Рекомендации и выводы
Да, перечень обрабатываемых ПДн необходимо утверждать и поддерживать в актуальном состоянии. Это один из документов, который Роскомнадзор проверяет в первую очередь. Чтобы всё было правильно:
- Определите, какие именно ПДн вы собираете и обрабатываете.
- Составьте перечень в разрезе категорий субъектов.
- Утвердите документ приказом руководителя.
- Обновляйте перечень при изменениях в деятельности.
Компания ICTech поможет вашей организации составить полный и корректный перечень обрабатываемых ПДн и закрепить его в пакете документов по ФЗ-152. Это позволит показать соответствие закону и избежать претензий со стороны Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
