Роскомнадзор на своём официальном сайте разместил рекомендации для разработки документов, которые должны определять политику операторов и касаются обработки персональной информации.
На основании Федерального закона №13-ФЗ от 07.02.2017 в Кодексе РФ об административных правонарушениях появились изменения, затрагивающие область работы с персональными данными. С 1 июля 2017 года туда добавлены семь новых составов нарушений, за которые можно получить административные наказания (штрафы). Статьёй 13.11 Части 3 КоАП РФ установлена ответственность, если оператором не будет опубликован документ, который определяет политику оператора по сбору и обработке персональных данных.
Этот вопрос актуален для значительного числа онлайн-сервисов, сайтов и ресурсов и запрашивающих и использующих личную информацию интернет-пользователей. Рассмотрим содержание опубликованных «Рекомендаций».
В документе приводится расшифровка всех используемых понятий, в том числе: персональные данные (ПДн), оператор персональных данных (ОПДн), обработка персональных данных и другие.
Роскомнадзор рекомендует структурировать текст Политики, включив в него следующие разделы:
- Общие положения. Здесь должно быть раскрыто назначение Политики, включены основные используемые понятия, права и обязанности сторон (субъектов ПДн и операторов).
- Цели сбора сведений. В этом разделе должны быть описаны задачи и цели, для которых планируется получать ПДн. Эти цели должны быть определены заранее, оговорены в тексте и обязательно являться законными. Не должна допускаться обработка личной информации, не отвечающая заявленным целям. При этом цели, для которых обрабатываются индивидуальные сведения, должны соответствовать деятельности и бизнес-процессам ОПДн, которые предусмотрены в их учредительных документах.
- Правовые основания. В раздел обязательно включаются документы, дающие правовую основу работе с ПДн. Здесь может быть перечень федеральных законов, всевозможных правовых актов, соответствующих функциям и работе операторов, а также уставные документы, договоры, заключаемые ОПДн с владельцами личных данных, согласия на обработку информации.
- Объем и категории данных. В этом пункте Политики указывается только тот объем личных сведений, который будет запрашиваться. Данные должны отвечать указанным оператором целям работы с полученной информацией и не быть избыточными.
В этот же раздел включают категории субъектов ПДн, к которым могут относиться: работники оператора (в т. ч. бывшие), кандидаты на должности и родственники сотрудников. Для каждой из этих групп субъектов должны быть при необходимости отдельно описаны все случаи специальных обрабатываемых данных.
- Порядок и условия. В разделе следует указать порядок и перечень действий, совершаемых ОПДн в процессе, именуемом обработкой ПД, а также способы такой обработки и её сроки. При необходимости взаимодействия ОПДн с третьими лицами, здесь же следует описать условия и порядок передачи сведений как в пределах РФ (по договору поручения, разрешающего информацию передавать и обрабатывать), так и за пределы страны (при трансграничной передаче).
Рекомендовано информацию о третьих лицах (их наименование, местонахождение, объём отправляемых к ним сведений и их защиту) указать в тексте Политики. А также следует указать в документе о тех органах и лицах, кому ОПДн на основании законодательства РФ сведения передавать вправе.
В этот пункт следует включить информацию о выполнении требований конфиденциальности и дополнить его перечнем условий прекращения обработки, а также указывать для собранных личных данных срок и условия их хранения.
- Исправления и актуализация. А также удаление и уничтожение собственных данных пользователей, ответы на различные запросы о доступе к персональным сведениям – всё это должно быть в текущем пункте. В раздел включается информация и о том, что выявленные неточности в сведениях подлежат актуализации, а в случае неправомерности обработки ПД такая обработка должна прекращаться. Следует предусмотреть порядок уничтожения данных, если они будут отозваны владельцем или же будет достигнута цель сбора и обработки. В Политике должен быть текст, информирующий пользователя о том, что ОПДн не вправе без согласия владельца персональных сведений использовать их, обрабатывать или кому-либо передавать, а также должен сообщать владельцу (или представителю) по запросу о том, какая обработка данных осуществляется.
Роскомнадзор даёт рекомендации разработать и включить в текст Политики порядок (регламент) и формы для запросов, с помощью которых будут оформляться и отрабатываться обращения и запросы от уполномоченных органов, а также от владельцев личных данных либо их представителей.
Чтобы больше узнать о требованиях к обработке персональных данных, скачайте и обязательно посмотрите бесплатный вебинар «5 ошибок владельца сайта по ПД». Для этого заполните формы и мы пришлем вам запись на email.
Кроме документов, связанных с обработкой персональных данных, вашему онлайн-проекту понадобятся и другие документы. Узнайте, какие.
Юристы «Право в сети» помогут вам с документами на сайт. Мы поможем составить:
- политику обработки персональных данных;
- согласие на обработку персональных данных;
- уведомление в Роскомнадзор;
- публичную оферту;
- пользовательское соглашение и другие.
Оставьте заявку на бесплатную консультацию, мы свяжемся с вами и в течение 15 минут ответим на ваши вопросы.
Вы можете связаться с вами и другими способами:
- телефон +7 (920) 219-69-16;
- WhatsApp, Viber, Telegram +7 (950) 768-52-77;
- почта manager@lawinweb.ru;
- напишите ваш вопрос во всплывающем слева окне.