Что такое перечень действий и зачем он нужен?
Перечень действий – это полный список операций, которые вы совершаете с персональными данными: от получения до уничтожения. Он дает Роскомнадзору четкое представление о том, как, где и зачем вы используете ПДн.
Правильно составленный перечень – залог соблюдения требований закона 152-ФЗ и спокойствия вашего бизнеса.
Как правильно указать перечень действий: пошаговая инструкция
1. Определите все этапы обработки ПДн
Нарисуйте схему: откуда данные приходят, как обрабатываются, куда уходят, как хранятся.
2. Конкретные действия на каждом этапе
Для каждого этапа определите, какие операции вы выполняете с данными. Ниже полный перечень действий из 152-ФЗ, который нужно учитывать:
- Сбор (получение)
- Запись
- Систематизация
- Накопление
- Хранение
- Уточнение (обновление, изменение)
- Извлечение
- Использование
- Передача (распространение, предоставление, доступ)
- Обезличивание
- Блокирование
- Удаление
- Уничтожение
- Автоматизированная обработка
- Неавтоматизированная обработка
- Смешанная обработка
3. Четкие формулировки
Избегайте общих фраз (например, "обработка данных”).
Указывайте конкретные действия: “хранение в базе данных”, “отправка email-рассылки”, “передача курьерской службе”.
4. Связь с целями обработки
Все действия должны соответствовать заявленным в уведомлении целям обработки ПДн.
Примеры перечня действий:
Пример для интернет-магазина
- Получение ПДн при оформлении заказа (сайт, телефон, email).
- Запись данных в CRM.
- Систематизация данных (ФИО, адрес, история заказов).
- Хранение данных на серверах (защищенных).
- Использование: подтверждение заказа, связь с клиентом, доставка товара.
- Передача курьерской службе, платежной системе.
- Обезличивание данных для статистики.
- Удаление/уничтожение по истечении срока хранения (или запросу клиента).
- Автоматизированная обработка в CRM.
Пример для кадровой службы
- Сбор ПДн от соискателей (резюме, анкеты).
- Запись данных в личные дела (бумажные и электронные).
- Систематизация данных в кадровой базе.
- Хранение в шкафах/на серверах (ограниченный доступ).
- Использование: заключение договоров, начисление зарплаты, оформление отпусков.
- Предоставление данных в государственные органы.
- Уничтожение по истечении срока хранения.
- Неавтоматизированная обработка (ведение личных дел в бумажном виде).
Пример формулировки в уведомлении: оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение, автоматизированная обработка.
Важно помнить!
- Укажите все действия, которые вы совершаете с ПДн, даже самые специфичные для вашего бизнеса.
- Перечень действий должен отражать реальные бизнес-процессы вашей организации.
- Регулярно пересматривайте и обновляйте перечень, чтобы он соответствовал изменениям в ваших процессах.
Составление перечня действий – важный, но выполнимый шаг. Следуя этой инструкции и используя примеры, вы сможете корректно заполнить раздел уведомления в РКН и избежать проблем с законом.