Разработка пакета ОРД по ПДн

Организационно-распорядительная документация (ОРД) вошла в обиход во многих сферах нашей жизни, которые требуют документального регулирования. Работа с персональными данными (ПДн) не стала исключением, а если выразится точнее, то без правильно оформленной ОРД работа с ПДн, в принципе, не возможна. Поэтому, у любого Оператора ПДн (организация, которая осуществляет сбор, обработку и хранение ПДн) должен быть разработан исчерпывающий пакет ОРД в части работы с ПДн.

Имея большой опыт работы на рынке информационной безопасности, мы часто сталкиваемся с ситуацией, когда наши контрагенты довольно посредственно относятся к данному виду документации, а за частую вообще игнорируют её отсутствие в делопроизводстве организации. Конечно, такой подход крайне неверный! Давайте разбираться почему.

Основные цели разработки и внедрения ОРД в части работы с ПДн являются:

• Определить место обработки ПДн;
• Определить форму ПДн, которые обрабатываются (бумага и/или электронные данные), и места их хранения;
• Определить порядок взаимодействия с субъектами ПДн (согласие на обработку Пдн, уведомления об изменения условий обработки и хранения ПДн, заявление на уничтожение ПДн, заявление на отзыв согласия на обработку ПДн и т.д.)
• Определить ответственных лиц, которые отвечают за правильность обработки ПДн;
• Определить ответственных лиц, которые отвечают за безопасность ПДн и инфраструктуры, на которой осуществляется обработка ПДн;
• Определить действия персонала в случае внештатных ситуаций (утечка ПДн, уничтожение ПДн, сбои в работе технологической базы, форс-мажорные ситуации и т.д.)

Если не учесть все цели, которые описаны выше, то работа с ПДн будет хаотичной и неконтролируемой. Что в свою очередь довольно быстро приведет к утечкам и/или утере ПДн. Любой субъект (лицо, которому принадлежат) ПДн в таком случае может обратиться в надлежащие органы, для инициирования проверки условий обработки ПДн и привлечению к ответственности оператора ПДн за утерю и/или распространение ПДн без согласия их владельца.

Уверены, что ни одно ЮЛ по собственной инициативе не будет способствовать организации проверок регулятором у себя в офисе. Для этого нужно обеспечить обработку ПДн в соответствии с законодательством РФ, а наличие ОРД в части обработки ПДн является одним из требований законодательства.

Еще одно распространенное заблуждение наших Заказчиков – «Да что эти ОРД? Скачаем из интернета, шаблонов полно!».

Безусловно, во всемирной паутине шаблонов действительно много. Но наличие у ЮЛ шаблонных документов, не обеспечивает правильную работу с ПДн. Любая документация должна отображать объективную ситуацию в условиях конкретной организации, увы, шаблоны пишутся в универсальном формате, подразумевая, что под каждый конкретный объект будет осуществлена их всеобъемлющая доработка и подгонка. Естественно, доработкой и подгонкой шаблонов, как правило, никто не занимается, а равно можно считать, что и ОРД, как таковой, в организации нет. В этом случае у ЮЛ просто есть набор бланков, не имеющих ни чего общего с реальной обработкой ПДн этим ЮЛ (Оператором ПДн).

Еще одной из рядовых ошибок, является повальное скачивание всех шаблонов, которые можно найти в Интернет, и внедрение их в обиход своей организации. Такой подход в корне не верен. Например, ваша организация осуществляет обработку ПДн только в электронном виде, в пределах небольшой локально-вычислительной сети, не подключенной к Интернет. Тогда вам не нужны будут шаблоны по обработке ПДн на бумажных носителях, по работе с облачными системами хранения ПДн, по организации защищенной передачи ПДн по внешним каналам связи и т.д.

Работа в части разработки пакета ОРД должна быть выполнена максимально направленно, охватывая исключительно те условия, в которых осуществляется обработка ПДн у вас в организации.

Как же заполучить этот вожделенный набор ОРД?

• Сделать самостоятельно. Для этого вам понадобится:

• • Подробно изучить законодательство в части обработки и обеспечения защиты ПДн;
  • Определить типы ПДн, обработка которых осуществляется, и их количество;
  • Определить все места хранения ПДн и лиц, участвующих в их обработке;
  • Определить ответственных за обработку и безопасность лиц из числа сотрудников Оператора ПДн;
  • Найти подходящие и актуальные шаблоны ОРД;
  • Собрать всю указанную выше информацию в готовый пакет документов.

• Нанять организацию, которая разработает пакет ОРД, с вашим непосредственным вовлечением в процесс. Увы, данный вид работ нельзя полностью отдать на откуп третьему лицу, так как от Оператора ПДн все равно потребуется предоставление значительной части исходных данных. Если потенциальный подрядчик обещает сделать пакет ОРД, а Заказчику для этого просто нужно заплатить и подождать – скорее всего Заказчик на финише просто получит набор шаблонов, в которых будет вписано наименование Оператора Пдн.

Если у вас остались вопросы и понимание того, что не сможете самостоятельно решить вопрос с ОРД – можете всегда обратиться к нам за бесплатной консультацией нашего специалиста, либо сразу заказать коммерческое предложение на интересующий вас вид работ.