Политика обработки персональных данных — составляем правильно (новые рекомендации Роскомнадзора)

operator personal'nih dannih

Роскомнадзор на своём официальном сайте разместил рекомендации для разработки документов, которые должны определять политику операторов и касаются обработки персональной информации.

На основании Федерального закона №13-ФЗ от 07.02.2017 в Кодексе РФ об административных правонарушениях появились изменения, затрагивающие область работы с персональными данными. С 1 июля 2017 года туда добавлены семь новых составов нарушений, за которые можно получить административные наказания (штрафы).  Статьёй 13.11 Части 3 КоАП РФ установлена ответственность, если оператором не будет опубликован документ, который определяет политику оператора по сбору и обработке персональных данных.

Этот вопрос актуален для значительного числа онлайн-сервисов, сайтов и ресурсов и запрашивающих и использующих личную информацию интернет-пользователей. Рассмотрим содержание опубликованных «Рекомендаций».

В документе приводится расшифровка всех используемых понятий, в том числе: персональные данные (ПДн), оператор персональных данных (ОПДн),  обработка персональных данных и другие.

obrabotka personalnih dannih

Роскомнадзор рекомендует структурировать текст Политики, включив в него следующие разделы:

  1.      Общие положения. Здесь должно быть раскрыто назначение Политики, включены основные используемые понятия, права и обязанности сторон (субъектов ПДн и операторов).
  2.      Цели сбора сведений. В этом разделе должны быть описаны задачи и цели, для которых планируется получать ПДн. Эти цели должны быть определены заранее, оговорены в тексте и обязательно являться законными. Не должна допускаться обработка личной информации, не отвечающая заявленным целям. При этом цели, для которых обрабатываются индивидуальные сведения, должны соответствовать деятельности и бизнес-процессам ОПДн, которые предусмотрены в их учредительных документах.
  3.      Правовые основания. В раздел обязательно включаются документы, дающие правовую основу работе с ПДн. Здесь может быть перечень федеральных законов, всевозможных правовых актов, соответствующих функциям и работе операторов, а также уставные документы, договоры, заключаемые ОПДн с владельцами личных данных, согласия на обработку информации.

operator personal'nih dannih

  1.      Объем и категории данных. В этом пункте Политики указывается только тот объем личных сведений, который будет запрашиваться. Данные должны отвечать указанным оператором целям работы с полученной информацией и не быть избыточными.

В этот же раздел включают категории субъектов ПДн, к которым могут относиться: работники оператора (в т. ч. бывшие), кандидаты на должности и родственники сотрудников. Для каждой из этих групп субъектов должны быть при необходимости отдельно описаны все случаи специальных обрабатываемых данных.

  1.      Порядок и условия. В разделе следует указать порядок и перечень действий, совершаемых ОПДн в процессе, именуемом обработкой ПД, а также способы такой обработки и её сроки. При необходимости взаимодействия ОПДн с третьими лицами, здесь же следует описать условия и порядок передачи сведений как в пределах РФ (по договору поручения, разрешающего информацию передавать и обрабатывать), так и за пределы страны (при трансграничной передаче).

Рекомендовано информацию о третьих лицах (их наименование, местонахождение, объём отправляемых к ним сведений и их защиту) указать в тексте Политики. А также следует указать в документе о тех органах и лицах, кому ОПДн на основании законодательства РФ сведения передавать вправе.

В этот пункт следует включить информацию о выполнении требований конфиденциальности и дополнить его перечнем условий прекращения обработки, а также указывать для собранных личных данных срок и условия их хранения.

  1.      Исправления и актуализация. А также удаление и уничтожение собственных данных пользователей, ответы на различные запросы о доступе к персональным сведениям – всё это должно быть в текущем пункте. В раздел включается информация и о том, что выявленные неточности в сведениях подлежат актуализации, а в случае неправомерности обработки ПД такая обработка должна прекращаться. Следует предусмотреть порядок уничтожения данных, если они будут отозваны владельцем или же будет достигнута цель сбора и обработки. В Политике должен быть текст, информирующий пользователя о том, что ОПДн не вправе без согласия владельца персональных сведений использовать их, обрабатывать или кому-либо передавать, а также должен сообщать владельцу (или представителю) по запросу о том, какая обработка данных осуществляется.

Роскомнадзор даёт рекомендации разработать и включить в текст Политики порядок (регламент) и формы для запросов, с помощью которых будут оформляться и отрабатываться обращения и запросы от уполномоченных органов, а также от владельцев личных данных либо их представителей.

 

Если статья была вам полезна, поделитесь с коллегами и друзьями!
Комментарии к новости "Политика обработки персональных данных — составляем правильно (новые рекомендации Роскомнадзора)"
Здесь вы можете написать комментарий

* Обязательные для заполнения поля
Нажимая кнопку "Отправить", я принимаю условия Политики конфиденциальности. и даю своё согласие ИП Ледовских М. А. на обработку моих персональных данных , в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ "О персональных данных", в соответствии с целями и условиями, определенными Политикой конфиденциальности.