Что такое реестр процессов обработки персональных данных и как вести его правильно и удобно

Фото Mimi Thian на Unsplash

Недавно произошло очередное ужесточение ответственности за нарушения в сфере обработки персональных данных, поэтому компаниям необходимо обратить внимание на уровень их соответствия законодательству о персональных данных.

Первым шагом к выполнению требований законодательства о персональных данных является инвентаризация процессов (целей) обработки персональных данных. Этот шаг позволяет не только выполнить обязательные требования Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» (далее – «Закон о персональных данных»), но и повысить прозрачность и контроль за обработкой персональных данных, оптимизировать внутренние процессы, а также подготовиться к проверкам и запросам со стороны Роскомнадзора.

Инвентаризация процессов предполагает определение целей обработки персональных данных, состава данных, действий с данными, а также целого ряда иных параметров обработки данных конкретным оператором.

Инвентаризация должна завершаться составлением реестра процессов обработки персональных данных (RoPA) и его утверждением в качестве локального нормативного акта. Следует отметить, что название «реестр процессов» наиболее распространено, но не является единственно возможным.  Оператор может назвать полученный артефакт «перечнем», «списком» или любым иным подобным термином по своему усмотрению.

На основе реестра процессов обработки персональных данных, а также с учетом иных документов, регулирующих вопросы обработки персональных данных, оператор должен направить в Роскомнадзор уведомление об обработке персональных данных. Это уведомление оператор должен обновлять по мере появления изменений в процессах.

Далее мы разберем, для чего нужен реестр, какие требования предъявляются к его содержанию, как его вести и как можно автоматизировать этот процесс с помощью сервиса PrivacyLine.

Зачем нужен реестр процессов обработки персональных данных?

  • Соблюдение требований законодательства
    Учёт процессов обработки персональных данных является обязательным требованием Закона о персональных данных. Отсутствие реестра процессов может привести к административной ответственности и предписаниям со стороны Роскомнадзора.
  • Прозрачность и контроль
    Реестр позволяет компании точно понимать, чьи и какие данные обрабатываются, с какой целью, как долго оператор вправе их обрабатывать. Это помогает минимизировать риски нарушения правил обработки персональных данных, утечек и несанкционированного доступа к данным.
  • Оптимизация процессов обработки
    С помощью реестра можно выявить избыточные или устаревшие процессы обработки данных, что позволяет оптимизировать внутренние процедуры и снизить издержки на хранение и обработку данных.
  • Подготовка к проверкам
    Реестр процессов помогает компании быть готовой к проверкам со стороны надзорных органов, например таких, как Роскомнадзор. Наличие систематизированной информации о параметрах обработки данных облегчает взаимодействие с надзорными органами и снижает риск получения штрафов и предписаний.

Каковы требования к содержанию реестра процессов?

Согласно п. 2 ч. 1 ст. 18.1 Закона о персональных данных, оператор должен издать локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки следующие параметры:

  • Категории субъектов — кто является субъектом данных (соискатели, работники, клиенты, пользователи и т.д.).
  • Категории и перечень персональных данных — какие данные обрабатываются (ФИО, паспортные данные, контактная информация и т.д.).
  • Способы обработки — как данные обрабатываются (автоматизированным или неавтоматизированным способом).
  • Сроки обработки и хранения — как долго можно обрабатывать и хранить данные.
  • Порядок уничтожения персональных данных — как данные уничтожаются после истечения срока обработки, достижения целей обработки или при наступлении иных законных оснований.

Дополнительно к этому мы рекомендуем включать в реестр процессов для каждой цели обработки еще два параметра, которые необходимо указывать в уведомлении об обработке, подаваемом в Роскомнадзор в соответствии с ч. 3.1 ст. 22 Закона о персональных данных:

  • Правовые основания обработки персональных данных — на каком основании обрабатываются данные (согласие субъекта, договор, требование закона и т.д.).
  • Перечень действий с персональными данными — какие операции выполняются с данными (сбор, хранение, передача, уничтожение и т.д.).

В реестр процессов, который утверждается в качестве локального нормативного акта, стоит включать только те параметры, которые требуются для выполнения п. 2 ч. 1 ст. 18.1 и ч. 2.1 ст. 22 Закона о персональных данных. Это позволит сократить объем работы, связанной с обновлением реестра процессов (и, соответственно, снизить частоту пересмотра реестра процессов в качестве локального нормативного акта). Иные параметры обработки персональных данных оператор может учитывать в той части реестра процессов, которая не требует утверждения.

Существуют разные способы ведения реестра процессов обработки персональных данных. Как правило, это делается в виде таблицы, которая содержит описание актуальных параметров обработки данных. Для ведения такой таблицы можно использовать офисные приложения, сервисы для совместной работы и управления проектами, или специализированные сервисы для учета, например, PrivacyLine.

PrivacyLine предоставляет готовую структуру для ведения реестра процессов обработки персональных данных в соответствии с требованиями законодательства, а также содержит подсказки для заполнения сведений о каждом параметре обработки. Из системы можно выгрузить таблицу (реестр) с необходимой информацией для последующего утверждения в качестве локального нормативного акта. Иные параметры обработки, которые не требуют такого утверждения, удобно хранить в системе с тем, чтобы контролировать общий ландшафт обработки данных в компании и решать сопутствующие задачи.

Заключение

Ведение реестра процессов обработки персональных данных — это не только обязательное требование закона, но и важный инструмент для обеспечения безопасности данных и минимизации правовых рисков. С помощью PrivacyLine вы можете автоматизировать этот процесс, сэкономив время и ресурсы, а также обеспечить соответствие требованиям законодательства.

Если вы хотите узнать больше о том, как PrivacyLine может помочь вашей компании в ведении реестра процессов обработки персональных данных, свяжитесь с нами для демонстрации продукта.

Связаться с нами