Организационно-распорядительные документы – это основа, на которой базируется весь порядок и методология работы с персональными данными внутри организации.
Организационно-распорядительная документация (ОРД) вошла в обиход во многих сферах нашей жизни, которые требуют документального регулирования. Работа с персональными данными (ПДн) не стала исключением, а если выразится точнее, то без правильно оформленной ОРД работа с ПДн, в принципе, не возможна. Поэтому, у любого Оператора ПДн (организация, которая осуществляет сбор, обработку и хранение ПДн) должен быть разработан исчерпывающий пакет ОРД в части работы с ПДн.
Имея большой опыт работы на рынке информационной безопасности, мы часто сталкиваемся с ситуацией, когда наши контрагенты довольно посредственно относятся к данному виду документации, а за частую вообще игнорируют её отсутствие в делопроизводстве организации. Конечно, такой подход крайне неверный! Давайте разбираться почему.
Основные цели разработки и внедрения ОРД в части работы с ПДн являются:
Если не учесть все цели, которые описаны выше, то работа с ПДн будет хаотичной и неконтролируемой. Что в свою очередь довольно быстро приведет к утечкам и/или утере ПДн. Любой субъект (лицо, которому принадлежат) ПДн в таком случае может обратиться в надлежащие органы, для инициирования проверки условий обработки ПДн и привлечению к ответственности оператора ПДн за утерю и/или распространение ПДн без согласия их владельца.
Уверены, что ни одно ЮЛ по собственной инициативе не будет способствовать организации проверок регулятором у себя в офисе. Для этого нужно обеспечить обработку ПДн в соответствии с законодательством РФ, а наличие ОРД в части обработки ПДн является одним из требований законодательства.
Еще одно распространенное заблуждение наших Заказчиков – «Да что эти ОРД? Скачаем из интернета, шаблонов полно!».
Безусловно, во всемирной паутине шаблонов действительно много. Но наличие у ЮЛ шаблонных документов, не обеспечивает правильную работу с ПДн. Любая документация должна отображать объективную ситуацию в условиях конкретной организации, увы, шаблоны пишутся в универсальном формате, подразумевая, что под каждый конкретный объект будет осуществлена их всеобъемлющая доработка и подгонка. Естественно, доработкой и подгонкой шаблонов, как правило, никто не занимается, а равно можно считать, что и ОРД, как таковой, в организации нет. В этом случае у ЮЛ просто есть набор бланков, не имеющих ни чего общего с реальной обработкой ПДн этим ЮЛ (Оператором ПДн).
Еще одной из рядовых ошибок, является повальное скачивание всех шаблонов, которые можно найти в Интернет, и внедрение их в обиход своей организации. Такой подход в корне не верен. Например, ваша организация осуществляет обработку ПДн только в электронном виде, в пределах небольшой локально-вычислительной сети, не подключенной к Интернет. Тогда вам не нужны будут шаблоны по обработке ПДн на бумажных носителях, по работе с облачными системами хранения ПДн, по организации защищенной передачи ПДн по внешним каналам связи и т.д.
Работа в части разработки пакета ОРД должна быть выполнена максимально направленно, охватывая исключительно те условия, в которых осуществляется обработка ПДн у вас в организации.
Как же заполучить этот вожделенный набор ОРД?
Если у вас остались вопросы и понимание того, что не сможете самостоятельно решить вопрос с ОРД – можете всегда обратиться к нам за бесплатной консультацией нашего специалиста, либо сразу заказать коммерческое предложение на интересующий вас вид работ.