Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Войти

Политика обработки персональных данных: структура, образец

426
15 апреля

Задача оператора персональных данных (ПД) — это соблюдение конфиденциальности при работе со сведениями субъектов. Для ее достижения нужно выполнить ряд определенных действий, имеющих организационный либо технический характер. В их число входит создание внутренних актов компании, в частности, под ними понимаются документы, определяющие политику обработки ПД, и иные подобные акты. Но в этой статье остановимся только на одном из самых главных документов — на политике обработки персональных данных (ПОПД). Расскажем, какие требования в этой области предусматривает закон и как соблюдать на практике указанные положения законодательства.

Над статьей работали:
редактор: Чапис Елена

Содержание:

  1. Для кого обязательна политика обработки персональных данных
  2. Утверждение политики обработки персональных данных
  3. Структура политики обработки персональных данных
  4. Цели сбора персональных данных
  5. Правовые основания обработки персональных данных
  6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  7. Порядок и условия обработки персональных данных
  8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов о доступе к персональным данным
  9. Политика обработки персональных данных: образец

Для кого обязательна политика обработки персональных данных

Неважно кто вы — ООО, ИП или просто физлицо, если вы работаете с конфиденциальными данными субъектов ПД, то являетесь их оператором. А поэтому вам необходимо создать соответствующий документ (ы). При этом конкретный перечень таких актов законодательно не установлен. Однако на практике выработался некий подход, связанный с политикой обработки. Но сначала немного терминологии.

Во-первых, перечислим всех, кто является оператором. Таковыми являются:
— гос- или муниципальный орган;
— юрлицо или физлицо.
Всех данных лиц (в контексте нормы закона) объединяет, что они:
— организуют и совершают обработку персональных данных (ОПД);
— определяют цели, состав и действия, совершаемые с данными.

Субъектом же ПД всегда является физическое лицо, то есть просто человек, сведения которого вы затрагиваете.
Персональные же данные — это та информация, которая прямо (косвенно) относится к субъекту.

Итак, вернемся к основному вопросу раздела, а именно кому в обязательном порядке необходимо издавать такой документ. Напомню, что конкретного перечня обязательных актов в законе нет. Однако имеется обязанность издавать документы, определяющие ПОПД и иные акты. Это прописано в пункте 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Данный федеральныйзакон является основным в области ОПД.
Из этого следует, что каждый оператор должен иметь акт, регулирующий работу с ПД. В числе таких документов, как правило, и содержится политика. То есть каждый оператор должен иметь ПОПД.

Не стоит путать политику и положение о защите ПД. Это разные документы, имеющие различный смысл. При этом требования к обоим актам не запрещается совмещать в одном документе. Но целесообразнее их все-таки разделить на два.

Что собой представляет положение, было изложено в статье  «Положение о защите персональных данных работников: образец 2024 года»

Утверждение политики обработки персональных данных

Итак, для работы с конфиденциальными сведениями нужно создать минимум два документа:

1. Положение о защите ПД. В нем устанавливаются:
• порядок работы;
• перечень лиц с допуском;
• правила хранения документов;
• способы защиты.
Утверждается положение приказом руководителя. Каждого работника при этом нужно ознакомить под подпись с таким приказом.

2. Политику ОПД. В этом акте определяют:
• цели сбора, правовые основания;
• объем и категорию данных;
• порядок и условия обработки.
Политика, как правило, тоже утверждается приказом руководителя.

Приказ составляется в произвольном виде. Обычно в него входит следующая информация:
— наименование, ОГРН, ИНН, КПП, адрес, телефон, электронная почта компании;
— город и дата;
— основания обработки и нормы закона (например, ст. 6, 7 закона № 152);
— указывается, что вы приказываете утвердить ПОПД, и дата;
— перечисляют лиц, которые в своей деятельности должны руководствоваться этой политикой, например, начальник службы кадров;
— приказывается начальнику кадров довести приказ до сведения работников;
— возложить контроль за исполнение настоящего приказа, Ф.И.О. и должность такого сотрудника;
— приложение — в нашем случае это ПОПД;
— подпись и Ф.И.О. руководителя;
— подписи, Ф.И.О. и должности лиц, ознакомленных с приказом.

Сотрудники компании также должны быть знакомы с ПОПД. Однако конкретного порядка ознакомления для этого случая закон не устанавливает. Но вы можете использовать уже существующий порядок, например, как при ознакомлении работников с ПВТР.
Для этого предусмотрены разные способы. Обычно это лист ознакомления, который идет приложением к политике. Лист составляется в произвольной форме. Как правило, в него включают:
— реквизиты политики;
— Ф.И.О. и должность работников, которых вы знакомите с актом;
— дату ознакомления и подпись.
Также можно ознакомить лиц электронным способом, если вы используете электронный документооборот.

Но это еще не все. Нужно в обязательном порядке опубликовать политику. Для этого создайте ПОПД в электронном виде для сайта, если он у вас есть. Если невозможно опубликовать акт таким способом, его можно разместить на информационном стенде офиса.
Однако учтите следующее. Если сбор ПД осуществляется через IТ-сеть, вы обязаны публиковать политику в электронном виде, в том числе на сайте. Также нужно обеспечить возможность доступа к ПОПД через эту сеть. Требование следует:
— из части 2 статьи 18.1 закона № 152;
— письма Роскомнадзора от 19.10.2021 № 08-71063.
Кроме того, что вы должны обеспечить беспрепятственный доступ, иногда нужно представлять ПОПД по требованию. Такой запрос может направить вам Роскомнадзор.

Структура политики обработки персональных данных

Структура и содержание политики определяются оператором самостоятельно. Об этом конкретно говорится в письме от 19.10.2021 № 08-7106.

При этом существуют рекомендации Роскомнадзора, которые можно использовать при составлении ПОПД, это необязательное требование. Однако полагаем, руководствоваться ими будет целесообразнее. Ну и конечно, нужно учитывать основные положения закона № 152.

Политика по общему правилу содержит следующую информацию:
— дату, ФИО руководителя, наименование ООО. Там же должна стоять пометка «УТВЕРЖДАЮ»;
— наименование самого документа;
— общие положения.

Данный раздел включает в себя такую информацию:
• нормы закона, во исполнение которых разработана политика. В частности, пункт 2 части 1 ст. 18.1 закона № 152;
• на кого распространяется ее действие;
• основные понятия, которые используются в акте;
• основные права и обязанности оператора;
• основные права субъекта ПД;
• кем осуществляется контроль за исполнением приказа;
• порядок определения ответственности.

— все остальные разделы ПОПД мы рассмотрим подробнее далее. Наименование каждого следующего раздела статьи соответствует наименованию раздела политики;

— в конце документа указывают: «Согласовано» и дату. Там же отображают должности главного бухгалтера и начальника отдела кадров и место для их подписей.

Цели сбора персональных данных

В этом разделе следует указать на ограничение, которым вы руководствуетесь. В частности, что вы не можете продолжать обрабатывать сведения, если вы достигли конкретные, заранее определенные и законные цели.

Обычно прописывается полный текст абзаца части 2 ст. 5 закона № 152-ФЗ. Также иные положения статьи 5 относительно целей. В частности, что работать можно только с теми данными, которые отвечают целям ОПД.

Цели могут быть, например, такими:
— осуществление деятельности в соответствии с уставом общества. Сюда входит также заключение и исполнение договоров с контрагентами;
— исполнение трудового законодательства. Также можно перечислить, какие именно действия связаны с таким исполнением. Например, содействие в трудоустройстве, постановка на персонифицированный учет и прочее;
— осуществление пропускного режима.

Можно добавить, что работа со сведениями происходит в целях соблюдения законодательства, иных нормативных правовых актов.
Прописывать цели можно разными способами. Все зависит от того, какие и чьи сведения вы обрабатываете и в каком количестве.

То есть можно указать широкое определение, которое будет включать в себя сразу все. К примеру, «в целях ведения деятельности, в соответствии с законом и уставом». Или же подробно расписать каждый случай сбора информации. Полагаю, второй вариант больше подходит в ситуации, когда у вас очень ограниченный сбор информации. Иначе указать все варианты случаев сбора данных может быть просто невозможно.

Правовые основания обработки персональных данных

Видится, что основания можно поделить на внешние и внутренние. Закон такого деления не устанавливает, но полагаю, так проще будет для понимания.

Внешними в данном контексте я бы называл нормативные правовые акты (далее НПА). То есть во исполнение данных НПА оператор осуществляет обработку. Их я бы, в свою очередь, также разделил на два вида:
• общие НПА;
• соответствующие деятельности оператора.

Рассмотрим на примере организации – турагента (ООО). У такой компании есть сотрудники, клиенты и контрагенты. Каждая из этих категорий лиц подлежит ОПД.
Для нее общими НПА будут:
— Конституция РФ;
— Гражданский, Трудовой, Налоговый кодексы РФ;
— Федеральный закон  об ООО;
— Федеральный закон о бухучете;
— Федеральный закон об обязательном пенсионном страховании.

Документом же, который соответствует деятельности, будет Федеральный закон от 24.11.1996 № 132 «Об основах туристической деятельности в РФ». Потому что в нашем примере оператор является турагентом.

Если таких актов несколько, вы можете использовать следующую формулировку: «иные НПА регулирующие отношения, связанные с деятельностью оператора».

К внутренним основаниям можно отнести:
-устав организации;
— договоры, которые оператор заключает с субъектами ПД;
— согласие субъектов на обработку ПД.

Перечисленные случаи не регулируются законом напрямую. Это отношения, которые складываются между оператором и субъектами непосредственно. Но тем не менее их природа позволяет быть правовым основанием для обработки ПД.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Объем и категории ПД

В этой части раздела, прописывается следующее. Указывается, что содержание и объем должны соответствовать заявленным целям. Далее идет ссылка на раздел политики, в котором прописаны цели. Обрабатываемые сведения не должны быть избыточными по отношению к целям.
Объем и категории сведений далее прописывается в каждой конкретной категории субъекта.

Категории субъектов

Здесь нужно обозначить класс людей, у которых вы будете собирать информацию. Например:
• кандидаты для приема на работу;
• действующие работники;
• клиенты и контрагенты оператора;
• представители клиентов и контрагентов.
По каждой категории субъекта прописывается, какие данные собираются. Там же нужно указать для каких целей.
Если это кандидаты для работы, то целью будет исполнение трудового законодательства. Также целью может быть осуществление пропускного режима и тому подобное. Далее отразите сведения. Это могут быть:
• Ф.И.О.;
• пол;
• гражданство;
• дата и место рождения;
• контактные данные;
• образование, опыт работы, квалификация;
• иная информация для резюме.

Таким образом, вы фиксируете:
— объем ПД, который соответствует целям;
— категории ПД и субъектов.

Если вы берете у людей биометрику, укажите, что основанием является законодательство РФ. В такое законодательство входит статья 11 закона № 152 и закона № 572 от 29.12.2022.

Также рекомендуется сообщать, какую информацию вы не собираете. Так вы уменьшите риск вопросов со стороны Роскомнадзора. Как вариант, укажите, что вы не собираете сведения, которые касаются:
— расовой и национальной принадлежности;
— политических взглядов;
— религиозных или философских убеждений;
— состояния здоровья;
— интимной жизни.
Все перечисленное называется специальной категорией ПД. Однако учтите, что собирать такую информацию можно в некоторых случаях. Они перечислены в части 2 статьи 10 закона № 152. Для этого используйте формулировку: «За исключением случаев, предусмотренных законодательством РФ».

Порядок и условия обработки персональных данных

Этот раздел раскрывает действия, которые будет совершать оператор. Также обозначаются способы, сроки и иная информация. Учитывайте следующие пункты:
— сообщите, что ОПД осуществляется в соответствии с требованиями закона;
— отразите, что все происходит с согласия субъектов. Если без согласия, то в случаях, установленных законом;
— пропишите способы. Они могут быть автоматизированными, неавтоматизированными и смешанными;
— установите, как вы будете обрабатывать информацию, например:
• путем получения в письменной (устной) форме от субъекта;
• внесения полученных сведений в журналы (реестры) и тому подобное;
• иными способами;
— не допускается раскрытие ПД третьим лицам без согласия. Если иное не установлено законом;
— порядок передачи информации органам дознания и следствия;
— какие организационные и технические меры принимает оператор для защиты, в частности, принятие ЛНА, назначение ответственных лиц и прочее;
— данные должны храниться не более, чем того требует цель. Иной срок может быть установлен законом или договором;
— при выявлении неправомерной обработки она прекращается в течение 3 рабочих дней. Укажите также иные случаи ее прекращения;
— если субъект обратился с требованием, то ОПД прекращается в течение 10 рабочих дней. Иное может быть установлено законом;
— укажите, что конкретно вы делаете, в частности, это систематизация, сбор, хранение и прочее.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов о доступе к персональным данным

В работе со сведениями возникает множество обстоятельств. Они могут измениться, быть ошибочными, истек их срок или они вовсе незаконно получены. В любой ситуации с ними нужно будет совершить какие-то действия.

Об обязанностях оператора в таком случае гласит статья 21 закона № 152 ФЗ. Поэтому в зависимости от того, что случилось, оператор должен:
— актуализировать информацию;
— блокировать ее;
— прекратить ОПД;
— совершить иные действия, предусмотренные законом.

Все это прописывается в данном разделе. Также указывается срок, в течение которого нужно совершить те или иные действия.

Здесь же прописывается, что вы должны  предпринять, если получили запрос от субъекта ПД. , как то:
— сообщить о наличии ПД;
— дать с ними ознакомиться;
— совершить иные действия в соответствии с законом.

Субъект имеет право на получение информации в соответствии с п. 7 ст. 14 закона № 152.

Если возникла неправомерная передача ПД, оператор должен:
— уведомить об инциденте Роскомнадзор в течение 24 часов;
— уведомить Роскомнадзор о результатах внутреннего расследования в течение 72 часов.

Что касается уничтожения, нужно прописать условия и срок, например, достижение цели ОПД – в течение 30 дней.

Политика обработки персональных данных: образец

Ознакомиться с образцом документа можно по ссылке.

Читайте также
эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь