c. Типовой перечень персональных данных (пункт 4 программы действий)

В организации БС РФ рекомендуется сформировать перечень персональных данных с указанием целей и сроков их обработки (в т.ч. и хранения). Это позволит облегчить решение ряда задач, например:

разработка положения о защите персональных данных и иной организационно-распорядительной документации в области обработки персональных данных;

планирование и реализация мероприятий по защите персональных данных;

разработка уведомления в Роскомнадзор;

реагирование на запросы субъектов персональных данных.

При составлении Перечня персональных данных организация БС РФ может воспользоваться примерным перечнем, приведенным в Приложении 3.

При составлении перечня персональных данных, обрабатываемых организацией БС РФ, важно определить цели и сроки такой обработки. Например, если для регистрации паспортных данных посетителей организации БС РФ выбрана цель - "однократный проход посетителей на территорию организации БС РФ", то покидание посетителем организации БС РФ приводит к необходимости уничтожения зафиксированных персональных данных. Этого требует Федеральный закон "О персональных данных", так как по достижению цели обработки персональные данные должны быть уничтожены. Это пример некорректно выбранной цели. Теперь приведем пример некорректно выбранного срока хранения персональных данных. Если во внутренних документах организации БС РФ написано, что "хранение персональных данных персонала организации БС РФ осуществляется в течение срока действия трудового договора", то организация БС РФ может столкнуться с ситуацией, когда персональные данные уволенного работника должны быть удалены, а сделать это невозможно, так как эти данные должны быть использованы при предоставлении отчетности в органы Федеральной налоговой службы, Пенсионный Фонд Российской Федерации, Фонд обязательного медицинского страхования и т.п. С целью упрощения определения целей и сроков обработки персональных данных организация БС РФ может воспользоваться формулировками, приведенными в Перечне персональных данных, обрабатываемых организацией БС РФ (Приложение 3).

Данный этап также позволит выделить персональные данные, которые потребуют особых условий обработки, - видео и фотоизображения человека, геометрия руки и дактилоскопия, голосовые данные в центрах обработки вызовов и т.п.

При наличии в организации БС РФ утвержденного Перечня сведений конфиденциального характера допускается включить в него новый пункт - "персональные данные" (вместо разработки и утверждения отдельного Перечня обрабатываемых персональных данных). Это позволит легитимным образом распространить уже существующие режимы конфиденциальности, а также разработанную по этим вопросам нормативно-распорядительную документацию, и на обрабатываемые в организации БС РФ персональные данные.

При обработке персональных данных клиентов организации БС РФ рекомендуется минимизировать обработку персональных данных, отнесенных Федеральным законом "О персональных данных" (статья 10) к специальным категориям персональных данных.