Ключевым фактором является не масштаб деятельности и не количество клиентов, а сам факт обработки персональных данных физического лица. Даже данные одного клиента — это объект правовой защиты, на который в полном объёме распространяется действие 152-ФЗ.
На практике именно бизнес с минимальным количеством клиентов чаще всего допускает нарушения, полагая, что «малый объём» не требует формализации. Однако Роскомнадзор оценивает не количество субъектов данных, а соблюдение принципов законности, минимизации, безопасности и защиты прав субъектов персональных данных.
От чего зависит обязанность иметь ОРД
Обязанность разрабатывать организационно-распорядительную документацию по персональным данным зависит не от количества клиентов, а от факта и характера обработки персональных данных.
Что считается обработкой персональных данных
Под обработкой понимаются любые действия с персональными данными, включая:
-
сбор;
-
хранение;
-
использование;
-
передачу;
-
уничтожение.
Если бизнес выполняет хотя бы одно из этих действий в отношении данных физического лица, он обязан соблюдать требования 152-ФЗ и иметь соответствующие ОРД.
Кто обязан иметь ОРД
ОРД обязаны иметь все операторы персональных данных, в том числе:
-
юридические лица;
-
индивидуальные предприниматели;
-
иные лица, осуществляющие обработку ПДн.
Форма бизнеса, выручка и количество клиентов не имеют значения.
Нормативное основание
Обязанность обеспечивать законность обработки и защиту персональных данных установлена 152-ФЗ. ОРД являются инструментом реализации этих обязанностей и подтверждением того, что у оператора выстроена система управления персональными данными.
Почему даже один клиент требует ОРД
Даже единичная обработка персональных данных подпадает под требования закона и требует документального регулирования.
Персональные данные одного клиента — уже объект защиты
Как только вы получаете данные, позволяющие идентифицировать человека (ФИО, телефон, email, адрес и т.п.), возникает обязанность:
-
обеспечить законность обработки;
-
определить цели и основания обработки;
-
обеспечить защиту данных;
-
соблюдать права субъекта ПДн.
Количество клиентов при этом юридического значения не имеет.
Идентификация физического лица
Даже при одном клиенте вы:
-
устанавливаете личность субъекта данных;
-
связываете информацию с конкретным физическим лицом;
-
принимаете решения о способах хранения и использования данных.
Именно эти действия делают вас оператором персональных данных, а не объём базы.
Права субъекта ПДн сохраняются в полном объёме
Даже один клиент вправе:
-
запрашивать информацию об обработке его данных;
-
требовать их изменения или удаления;
-
отозвать согласие;
-
обжаловать нарушения.
Без ОРД у оператора отсутствует механизм реализации этих прав.
Когда можно ограничиться минимальным комплектом документов
Минимизация возможна только по объёму и сложности документов, но не по сути требований 152-ФЗ.
Упрощение за счёт масштаба процессов
Если у бизнеса:
-
нет сотрудников;
-
нет сложных ИТ-систем;
-
обрабатываются данные ограниченного числа клиентов,
то ОРД могут быть:
-
компактными;
-
без избыточных регламентов;
-
ориентированными на реальные процессы.
Это не освобождение от требований, а их адаптация под масштаб деятельности.
Отсутствие избыточной бюрократии
При одном клиенте не требуется:
-
десятки приказов;
-
многоуровневая система доступа;
-
сложные модели угроз.
Но базовые правила обработки, защиты и передачи данных должны быть зафиксированы документально.
Фокус на ключевых требованиях
Даже при минимальном объёме обработки должны быть обеспечены:
-
законность обработки;
-
ограничение доступа к данным;
-
защита от утечек;
-
порядок хранения и уничтожения данных.
Какие ОРД необходимы даже при минимальном количестве клиентов
Существуют документы, без которых оператор персональных данных не может законно работать даже с одним клиентом.
Политика обработки персональных данных
Это базовый документ, который должен содержать:
-
цели обработки персональных данных;
-
категории данных и субъектов;
-
порядок обработки и защиты данных;
-
права субъектов ПДн.
Даже при одном клиенте отсутствие политики означает отсутствие формализованной системы обработки ПДн.
Порядок хранения и уничтожения данных
Оператор обязан определить:
-
где и как хранятся данные клиента;
-
кто имеет к ним доступ;
-
в какие сроки и каким образом данные уничтожаются.
Неопределённость в этих вопросах квалифицируется как нарушение требований к защите ПДн.
Согласия субъектов ПДн (при необходимости)
Согласия требуются, если данные используются:
-
вне рамок исполнения договора;
-
для маркетинга и рекламы;
-
для публикации информации;
-
при обработке специальных или биометрических данных.
Договоры и регламенты при передаче данных третьим лицам
Если данные клиента передаются:
-
в бухгалтерию;
-
платёжным сервисам;
-
курьерским компаниям;
-
CRM и облачным сервисам,
должны быть оформлены договоры с условиями обработки ПДн и регламенты передачи данных.
Для формирования корректного комплекта документов разрабатывается организационно-распорядительная документация по защите персональных данных.
