Роскомнадзор объяснил структуру «Политики работы с персональными данными»

Роскомнадзор подготовил для организаций рекомендации о том, что должно быть описано в документе, определяющем политику оператора в отношении обработки персональных данных.

Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме такого документа.

Содержание рекомендаций представлено в таблице.

ТАБЛИЦА: «Политика работы с персональными данными. Структура документа»

Раздел Содержание
1. Общие положения Описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персданных, оператор, субъект персданных, конфиденциальность таких данных и т.д.), перечислить основные права и обязанности оператора и субъектов этих данных
2. Цели сбора персональных данных

Обработка персданных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персданных, несовместимая с целями их сбора.

Цели могут происходить в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персданных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных)

3. Правовые основания обработки персональных данных

Правовым основанием обработки персданных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет их обработку.

В качестве правового основания могут быть указаны:

— федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;

— уставные документы оператора;

— договоры, заключаемые между оператором и субъектом персональных данных;

— согласие на обработку персданных (в случаях, прямо не предусмотренных законодательством, но соответствующих полномочиям оператора).

Закон «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку он регулирует отношения, связанные с обработкой персданных, а также закрепляет требования, предъявляемые к операторам при обработке

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых персданных должны соответствовать заявленным целям обработки. Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персданных могут быть отнесены в том числе:

— работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;

— клиенты и контрагенты оператора (физлица);

— представители/работники клиентов и контрагентов оператора (юрлиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персданные, а также, если применимо, отдельно описать все случаи обработки специальных категорий таких данных и биометрических персданных

5. Порядок и условия обработки персональных данных

Рекомендуется указывать перечень действий, совершаемых оператором с персданными субъектов, а также используемые оператором способы и сроки обработки этих данных.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки рекомендуется указывать условия передачи данных в адрес третьих лиц (например, наличие договора поручения на обработку персданных), в том числе находящихся за пределами России (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение третьих лиц, цели передачи сведений, объем передаваемых персданных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых сведений.

Кроме того, оператор вправе передавать персданные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством.

Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персданных, установленных ст. 7 Закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 данного закона.

Условием прекращения обработки персданных может являться достижение целей обработки, истечение срока действия согласия или отзыв согласия субъекта персданных на обработку, а также выявление неправомерной обработки.

Хранить персданные рекомендуется в форме, позволяющей определить субъекта этих данных не дольше, чем этого требуют цели обработки, кроме случаев, когда срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект данных.

Рекомендуется указывать сроки хранения этих сведений (конкретная дата (число, месяц, год) и основание (условие), наступление которого повлечет прекращение обработки).

При хранении персданных оператор обязан использовать базы данных, находящиеся на территории России, в соответствии с ч. 5 ст. 18 Закона «О персональных данных».

Рекомендуется указывать иные условия хранения данных, в том числе при обработке без использования средств автоматизации

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае подтверждения факта неточности персданных или неправомерности их обработки они подлежат актуализации оператором, а обработка должна быть прекращена

При достижении целей обработки, а также в случае отзыва субъектом согласия на их обработку персданные подлежат уничтожению, если:

— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект данных;

— оператор не вправе осуществлять обработку без согласия субъекта персданных на основаниях, предусмотренных Законом «О персональных данных» или иными федеральными законами;

— иное не предусмотрено иным соглашением между оператором и субъектом персданных.

Оператор обязан сообщить субъекту или его представителю информацию об осуществляемой им обработке данных такого субъекта по его запросу

Также рекомендуется включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персданных и их представителей, уполномоченных органов по поводу неточности персданных, неправомерности их обработки, отзыва согласия и доступа субъекта данных к своим сведениям, а также соответствующие формы запросов/обращений

«РЕКОМЕНДАЦИИ по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Документ включен в СПС "Консультант Плюс"

Примечание редакции:

издание оператором-юрлицом «Политики по обработке персональных данных» (название может быть иным), – обязанность, предусмотренная п. 2 ч. 1 ст. 18.1 Закона «О персональных данных».

Штрафы за нарушения, связанные с такой Политикой, могут быть наложены на компанию, например:

  •  за необеспечение неограниченного доступа к ней: от 15 до 30 тыс. рублей (ч. 3 ст. 13.11 КоАП РФ);
  •  за непредоставление субъекту персданных информации, касающейся их обработки, содержащейся в такой Политике: от 20 до 40 тыс. рублей (ч. 4 ст. 13.11 КоАП РФ).

Напомним, что указанная статья кодекса недавно претерпела масштабные изменения. Штрафы доходят до 75 тыс. рублей. Более подробно об изменениях и примерах нарушений читайте здесь.

 

Задать вопрос

Please leave this field empty.

Please leave this field empty.Please leave this field empty.