Политика обработки персональных данных на предприятии. Какой должна быть политика в отношении обработки персональных данных согласно закону? Правовое основание обработки персональных данных

Содержание
  1. Какой должна быть политика в отношении обработки персональных данных согласно закону?
  2. Актуальность вопроса
  3. Титульная страница
  4. Сведения об организации
  5. Цели работы с информацией
  6. Категории сведений
  7. Принципы работы со сведениями
  8. Третьи лица, задействованные в работе с личными данными
  9. Меры безопасности
  10. Права носителей персональных данных
  11. Ограничение прав
  12. Важные моменты
  13. Контактные сведения
  14. Заключительные положения
  15. Приказ об утверждении
  16. Дополнительно
  17. Заключение
  18. Политика обработки персональных данных: как составить документ
  19. Структура Политики обработки персональных данных
  20. 1. Общие цели
  21. 2. Цели сбора персональных данных
  22. 3. Правовые основания обработки персональных данных
  23. 4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  24. 5. Порядок и условия обработки персональных данных
  25. 6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
  26. Размещение Политики обработки персональных данных в офисе и на сайте
  27. Что отразить в политике в области персональных данных? – Статьи – Консалтинговая группа
  28. Общие положения
  29. Цели сбора ПД
  30. Правовые основания обработки ПД
  31. Характеристика обрабатываемых данных и субъектов ПД
  32. Порядок и условия обработки ПД
  33. Действия оператора с ПД
  34. * * *

Какой должна быть политика в отношении обработки персональных данных согласно закону?

Политика обработки персональных данных на предприятии. Какой должна быть политика в отношении обработки персональных данных согласно закону? Правовое основание обработки персональных данных

С 1.07.2017 г. вступили в действие изменения в КоАП и ФЗ № 152. В соответствии с ними, всем организациям, учреждениям, предприятиям необходимо разработать и утвердить особый документ – Политику в отношении обработки персональных данных.

Актуальность вопроса

Новые требования законодательства направлены на защиту граждан от несанкционированного доступа и незаконного использования их личных сведений. Особое внимание законодатель уделил социально значимым объектам: ДОУ, школам.

Политика в отношении обработки персональных данных позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации.

Законодательством предусмотрены периодические проверки субъектов на предмет соответствия фактического уровня защиты установленным требованиям. Мониторинг осуществляют территориальные подразделения Роскомнадзора.

Политика в отношении обработки персональных данных – это документ, состоящий из нескольких разделов.

В них приводятся сведения о субъекте, осуществляющем сбор и обработку данных, и о третьих лицах, участвующих в этом процессе, меры по защите информации, ссылки на нормативные документы, права носителей персональных сведений. Далее будет описан типовой образец Политики в отношении обработки персональных данных.

Титульная страница

Справа вверху должен присутствовать гриф утверждения. В нем присутствуют: наименование должности, Ф. И. О. руководителя и его подпись, а также печать организации.

По центру, с небольшим отступом от грифа указывается наименование документа. Например, оно может быть таким:

“Политика ООО “__” в отношении обработки персональных данных и сведениях о реализуемых мерах по их защите”.

Как правило, с титульного листа начинается текст документа.

В Общих положениях Политики в отношении обработки персональных данных приводится информация о самом документе. Ключевые его задачи состоят в:

  1. Раскрытии основных категорий персональных сведений, целей, способов, принципов их обработки, обязанностей и прав предприятия в процессе использования данных.
  2. Обеспечении защиты конфиденциальности персональной информации.

Образец Политики в отношении обработки персональных данных содержит также указание на общедоступность документа.

Сведения об организации

В качестве субъекта, осуществляющего сбор и обработку личных сведений, может выступать любое предприятие, организация, в том числе оказывающая услуги оператора. Политика в отношении обработки персональных данных содержит информацию о:

  1. Наименовании субъекта. Оно приводится в полной и сокращенной форме.
  2. ИНН.
  3. Фактическом адресе.
  4. Телефоне, факсе.

В Политику оператора в отношении обработки персональных данных включаются также сведения о номере, дате и основании их внесения в единый реестр.

В этом разделе Политики организации в отношении обработки персональных данных приводятся указания на правовые документы, которыми руководствуется компания при работе с личными сведениями. К основным нормативным актам относят:

  • Конституцию РФ.
  • ТК РФ.
  • ГК РФ.
  • ФЗ № 160.
  • ФЗ № 152.
  • ФЗ № 210.
  • ФЗ № 326.
  • ФЗ № 149.

В целях реализации Политики в отношении обработки персональных данных компания принимает ряд локальных актов. В их числе Перечни:

  • Личных сведений, подвергающихся обработке.
  • Информационных систем, используемых при работе с информацией.
  • Сотрудников, имеющих допуск к персональным данным.

Кроме того, утверждаются:

  • Правила обработки информации.
  • Акты классификации информсистем.
  • Модели возможных угроз безопасности личных данных в ходе их обработки.

Цели работы с информацией

В Политике в отношении обработки персональных данных должен присутствовать закрытый перечень задач, реализуемых организацией. Обработка сведений должна осуществляться для:

  1. Обеспечения реализации госполитики по соцподдержке и социальному обслуживанию граждан, в том числе относящихся к категории особо нуждающихся. В их числе: малоимущие, пенсионеры, инвалиды любой группы, многодетные семьи, несовершеннолетние и пр.
  2. Оформления трудовых договоров, гражданско-правовых соглашений, контрактов с контрагентами и исполнения их условий.
  3. Организации пропускного режима.

Категории сведений

Политика в отношении обработки персональных данных предусматривает работы с личными сведениями:

  • сотрудников;
  • получателей услуг, их родственников, представителей.

Источниками этой информации являются сами ее носители.

Принципы работы со сведениями

Согласно Политике в отношении обработки персональных данных, субъект, работающий с информацией, обязан соблюдать положения 5 статьи ФЗ № 152.

Если организация не работает с биометрическими данными, в Политике должно быть это указано. Биометрические сведения характеризуют биологические и физиологические особенности человека, по которым устанавливается его личность.

К другим основополагающим принципам работы с личной информацией следует отнести:

  1. Неиспользование специальных категорий сведений, относящихся к национальной/расовой принадлежности, религиозным, политическим взглядам, философским убеждениям, интимной жизни, состоянию здоровья.
  2. Исключение трансграничной передачи информации (в другое государство, иностранному гражданину или юрлицу).
  3. Передача сведений сторонним лицам осуществляется исключительно с согласия носителя на основании соглашения.
  4. Формирование общедоступных источников личных данных (справочников, адресных книг), сообщаемых гражданином. Информация, в соответствии с Политикой конфиденциальности в отношении обработки персональных данных, включается в них только с его согласия.

Третьи лица, задействованные в работе с личными данными

Для реализации требований законодательства, достижения целей работы с персональной информацией, в интересах и по согласию носителей сведения передаются:

  • ФНС.
  • ПФР.
  • Субъектам системы электронного межведомственного взаимодействия.
  • Отделениям негосударственных пенсионных фондов.

Меры безопасности

Этот раздел Политики в отношении обработки персональных данных считается одним из самых значимых.

Субъект, работающий с личной информацией граждан, обязан предпринять все юридические, технические и организационные меры по предотвращению случайного или противоправного доступа, изменения, уничтожения, копирования, блокирования, распространения и совершения иных противозаконных действий с ней.

В организации должны быть назначены служащие, ответственные за организацию работы с информацией.

В обязательном порядке предусматривается внутренний контроль/аудит соответствия обработки сведений требованиям ФЗ № 152, а также нормативным документам, принятым на его основании, в том числе локальным актам. Все сотрудники, работающие с личной информацией граждан, должны быть ознакомлены с их положениями.

До ввода в эксплуатацию информсистемы должна быть проведена оценка эффективности мер, предпринимаемых для обеспечения защиты сведений.

Факты несанкционированного доступа к персональным данным должны выявляться оперативно. При их обнаружении организация обязана принимать меры по восстановлению измененных либо уничтоженных сведений.

Доступ к персональным данным должен осуществляться по установленным в законодательстве и других, в том числе локальных актах. В организации должны обеспечиваться регистрация и учет действий, совершаемых с личной информацией граждан.

Обязательным требованием законодательства является установление контроля за мерами, предпринимаемыми для защиты данных и информсистем.

В должностных регламентах определяются обязанности сотрудников, работающих с личной информацией.

Права носителей персональных данных

Граждане вправе получать сведения о процессе обработки их личной информации. Носитель данных может потребовать их уточнения, уничтожения либо блокирования, если они:

  • устарели;
  • являются неполными/неточными;
  • получены противоправным способом;
  • не являются необходимыми для заявленных целей обработки.

Носитель информации вправе принимать меры для защиты своих интересов в рамках действующего законодательства.

Ограничение прав

Оно допускается исключительно в случаях, предусмотренных законом. Права граждан на доступ к их персональным данным ограничивается, если:

  • Обработка информации, включая ту, что получена при оперативно-розыскной, разведывательной или контрразведывательной деятельности, осуществляется для обеспечения безопасности, обороноспособности государства и охраны порядка.
  • С личными сведениями работают органы, производившие задержание лиц, подозреваемых/обвиняемых в преступлениях, применившие к субъектам меры пресечения. Исключение составляют случаи, закрепленные УПК.
  • Обработка данных направлена на противодействие отмывания (легализации) доходов, полученных незаконным путем, а также на пресечение финансирования терроризма.
  • Работа с информацией осуществляется для обеспечения безопасного функционирования транспортной инфраструктуры, защиты прав и интересов личности, государства и общества в транспортной сфере.

Важные моменты

В Политике об обработке персональной информации должны закрепляться меры, которые может предпринимать гражданин для защиты своих прав. В частности, субъект может обратиться непосредственно к лицам, работающим с его личными данными.

Организация должна рассматривать любые жалобы и обращения, тщательно изучать их. При необходимости проводится внутреннее расследование нарушений.

Организация обязана предпринять все меры для незамедлительного устранения выявленных нарушений, наказания виновных и урегулирования конфликтов в досудебном порядке.

Носитель персональных сведений может оспорить действия/бездействия организации, ее сотрудников посредством обращения в орган, уполномоченный на реализацию функций по защите прав субъектов персональной информации. Он также может потребовать компенсации морального либо материального вреда в судебном порядке.

Контактные сведения

В Политике должна присутствовать информация о лицах, ответственных за организацию работы с персональными сведениями.

Им может являться руководитель отдела по приему граждан, организационно-технической работы и социального сопровождения. Должны указываться его Ф. И. О., должность, номер телефона.

По усмотрению руководства организации в контактных данных может присутствовать адрес эл. почты.

Кроме того, в этом разделе Политики должны указываться сведения о контролирующем органе:

  1. Почтовый адрес.
  2. Наименование.
  3. Официальный сайт.
  4. Адрес эл. почты.
  5. Номера телефонов.

Заключительные положения

В этом разделе приводится информация о разработчиках Политики и лице, контролирующем ее исполнение в организации. В качестве первых выступает, как правило, юридический отдел компании. Контроль исполнения положений возлагается на руководителя организации или его заместителя. Ф. И. О. и должность ответственного лица должна обязательно указываться в документе.

Приказ об утверждении

Разработанный проект Политики передается руководителю для согласования. Утверждение документа осуществляется по приказу директора. Этот акт составляется по типовому образцу, принятому в соответствии с номенклатурой дел, на основании Инструкции по делопроизводству.

В Приказе присутствуют следующие сведения:

  1. Наименование организации.
  2. Название документа.
  3. Дата составления, номер.
  4. Преамбула.
  5. Текст.
  6. Дата вступления в силу.
  7. Ф. И. О. руководителя предприятия, подпись.
  8. Подписи лиц, ознакомленных с приказом.

Преамбула, как правило, обычно выглядит следующим образом:

“В соответствии с п. 2 ст. 18.1 ФЗ № 152 “О персональных данных”, Постановлением правительства № 211 от 21.03.2012 г., принятыми на их основании нормативными актами, приказываю…”

текста может быть таким:

“Утвердить Политику “___” в отношении обработки персональных данных”.

Операторы должны размещать утвержденный документ на официальном сайте региона в разделе “Реестр поставщиков соц. услуг”. В этой связи в приказе указывается следующее:

“Начальнику отдела по работе с гражданами (Ф. И. О.) в течение 10 дней с даты утверждения опубликовать Политику на официальном сайте (наименование региона) в разделе “Реестр поставщиков социальных услуг”.

Дополнительно

Если в организации ранее была утверждена Политика, ее следует пересмотреть и при необходимости внести изменения. Откорректированный документ следует утвердить заново.

При этом приказ, на основании которого была принята действовавшая до изменений Политика, нужно отменить. Для этого издается распоряжение.

В нем можно одновременно отменить ранее действовавший приказ и утвердить откорректированную политику.

Заключение

В последнее время вопросу обеспечения защиты персональных сведений уделяется повышенное внимание. Это связано со стремительным развитием компьютерных технологий, появлением новых возможностей для недобросовестных пользователей. Каждая организация, работающая с персональными данными, должна гарантировать их носителям безопасность.

Положения Политики должны быть доведены до сведения всех работников. Требования, предусмотренные документом, являются обязательными для исполнения всеми подразделениями компаний, учреждений, предприятий и других лиц, участвующими в работе с личной информацией граждан.

Нарушение предписаний влечет ответственность в соответствии с нормами действующего законодательства.

Источник: https://FB.ru/article/332702/kakoy-doljna-byit-politika-v-otnoshenii-obrabotki-personalnyih-dannyih-soglasno-zakonu

Политика обработки персональных данных: как составить документ

Политика обработки персональных данных на предприятии. Какой должна быть политика в отношении обработки персональных данных согласно закону? Правовое основание обработки персональных данных

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.

2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц.

Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

Структура Политики обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

  • Общие положения
  • Цели сбора персональных данных
  • Правовые основания обработки персональных данных
  • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  • Порядок и условия обработки персональных данных
  • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

  • из анализа правовых актов, регламентирующих деятельность оператора;
  • из целей фактически осуществляемой оператором деятельности;
  • из деятельности, которая предусмотрена учредительными документами оператора;
  • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.  

К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

Что указывается в этом разделе:

  • перечень действий, совершаемых с персональными данными;
  • способы обработки персональных данных;
  • сроки обработки персональных данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

  • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
  • указать наименование и местонахождение третьих лиц;
  • обозначить цели передачи данных и их объем;
  • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ.

В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки.

В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу. 

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики обработки персональных данных в офисе и на сайте

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Источник: https://kontur.ru/articles/4871

Что отразить в политике в области персональных данных? – Статьи – Консалтинговая группа

Политика обработки персональных данных на предприятии. Какой должна быть политика в отношении обработки персональных данных согласно закону? Правовое основание обработки персональных данных

Как известно, политика в отношении обработки персональных данных как документ должна быть у каждого оператора (а в их число входят и государственные, муниципальные учреждения). Данная обязанность установлена п. 2 ч. 1 ст.

18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Чтобы облегчить операторам работу по созданию и актуализации своих политик, Роскомнадзор выпустил соответствующие Рекомендации[1].

Издание и раскрытие неограниченному кругу лиц политики в области персональных данных (ПД) указано в ст. 18.1 Закона № 152-ФЗ в качестве одной из мер, необходимых для правомерной обработки и защиты личной информации граждан. Политика – это самый общий документ, определяющий концептуальные основы работы оператора с ПД.

Как считает Роскомнадзор, сюда нужно включить несколько разделов, в которых отражены цели сбора ПД, правовые основы, порядок и условия их обработки, объем и категории обрабатываемых данных, категории субъектов ПД, а также действия оператора в отношении этой информации.

В политику могут войти и иные разделы помимо тех, что перечислены в Рекомендациях.

Общие положения

Согласно п. 3.1 Рекомендаций в этом разделе нужно описать назначение политики, расшифровать основные понятия, используемые в документе, перечислить права и обязанности оператора и субъектов ПД. В частности, целесообразно дать определения понятиям «обработка персональных данных», «оператор», «субъект персональных данных», «конфиденциальность персональных данных» и др.

Например, вступительная часть может быть такой:

Настоящая политика в области обработки и защиты персональных данных оператора (далее – Политика) разработана в целях выполнения требований законодательства РФ в области обработки персональных данных, раскрывает основные категории персональных данных, обрабатываемых оператором, цели, способы и принципы обработки, права и обязанности оператора при обработке, права субъектов персональных данных. Политика является общедоступным документом, декларирующим концептуальные основы деятельности оператора при обработке персональных данных.

Цели сбора ПД

Здесь важно указать, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей и не допускается обработка данных, несовместимая с целями их сбора.

Сами же цели обработки проистекают в том числе из анализа правовых актов, регламентирующих деятельность того или иного оператора, целей фактически осуществляемой им деятельности и деятельности, предусмотренной учредительными документами, а также отдельных бизнес-процессов оператора в информационных системах персональных данных (п. 3.2 Рекомендаций).

В частности, цели обработки, общие для большинства учреждений (в том числе автономных), могут быть следующими:

1) заключение трудовых договоров, договоров с контрагентами, выполнение обязательств по этим договорам;

2) кадровое планирование, принятие решения о трудоустройстве кандидата на должность;

3) исполнение налогового законодательства, ведение бухгалтерского учета;

4) осуществление пропускного режима;

5) организация предоставления услуг на основании законодательства, действующего в профильной сфере.

Последний пункт – отсылка к отраслевому законодательству. Здесь речь идет об услугах, которые учреждение оказывает в рамках уставной деятельности: предоставление дошкольного, дополнительного или среднего специального образования, оказание государственных и муниципальных услуг на базе многофункционального центра и т. д.

Правовые основания обработки ПД

По мнению Роскомнадзора, основанием для обработки личной информации становится совокупность правовых актов, во исполнение которых оператор ведет обработку ПД. Сюда могут быть отнесены:

  • федеральные законы и принятые на их основе нормативные акты, регулирующие отношения, связанные с деятельностью оператора;
  • уставные документы оператора;
  • договоры, заключаемые между оператором и субъектом персональных данных;
  • согласие на обработку ПД (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора).

А вот Закон № 152-ФЗ не может служить правовым основанием обработки ПД, поскольку он регулирует сами отношения, связанные с такой обработкой, и закрепляет требования, предъявляемые к операторам при обработке персональных данных (п. 3.3 Рекомендаций). Отметим, что в действующих политиках, утвержденных многими учреждениями, Закон № 152-ФЗ как раз назван в числе правовых оснований, что расходится с мнением регулятора.

Выборочный анализ политик автономных учреждений также показывает, что в дополнение к федеральному законодательству (Конституция РФ, ТК РФ, ГК РФ, отраслевое законодательство и др.

) они ссылаются не только на свои уставы, но и на локальные нормативные акты, разработанные в области персональных данных.

Внутренние документы, например, регулируют обработку ПД с использованием и без использования средств автоматизации, устанавливают уровень защищенности ПД.

Характеристика обрабатываемых данных и субъектов ПД

Как сказано в п. 3.4 Рекомендаций, содержание и объем персональных данных должны соответствовать заявленным целям обработки (определены в ст. 5 Закона № 152-ФЗ). При этом обрабатываемые данные не должны быть избыточными.

На практике объем и категории информации, запрашиваемой у субъектов ПД, определяются по-разному. Одни учреждения указывают целый перечень обрабатываемых данных, в то время как другие действуют «от обратного»: перечисляют те категории, с которыми не работают.

Например, указывают следующее: «Оператор не осуществляет обработку биометрических персональных данных (характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, и не производит трансграничную передачу персональных данных на территорию иностранного государства».

Что касается категорий субъектов ПД, по мнению Роскомнадзора, к ним относятся:

  • работники оператора (в том числе бывшие), кандидаты на замещение вакантных должностей, а также родственники работников;
  • клиенты и контрагенты оператора (физические лица);
  • представители (работники) клиентов и контрагентов оператора (юридических лиц).

Эти же категории, но в иных формулировках, отражающих особенности профильной деятельности, как правило, указаны в политиках автономных учреждений.

По каждой категории субъектов ПД и применительно к конкретным целям обработки целесообразно перечислить все обрабатываемые оператором персональные данные, а также отдельно описать все случаи обработки специальных категорий ПД и биометрических ПД (п. 3.4 Рекомендаций).

Порядок и условия обработки ПД

В этом разделе следует перечислить действия, совершаемые оператором с персональными данными субъектов, используемые способы обработки ПД и сроки их обработки. Важно также прописать возможность и формы участия третьих лиц в обработке персональных данных субъектов.

Если для достижения целей обработки ПД необходимо взаимодействие с третьими лицами, оператору нужно отразить в своей политике условия передачи ПД в их адрес (например, наличие поручения оператора на обработку ПД в силу ч. 3 ст. 6 Закона № 152-ФЗ). В том числе это касается третьих лиц, находящихся за пределами Российской Федерации, и трансграничной передачи данных.

Роскомнадзор советует указать конкретное наименование и местонахождение третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых данных (п. 3.

5 Рекомендаций). Также следует вносить в политику пункты о соблюдении требований конфиденциальности ПД, установленных ст. 7 Закона № 152-ФЗ, и принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст.

19 Закона № 152-ФЗ (обычно такие меры учреждения прописывают в отдельном разделе политики).

Хранить персональную информацию нужно в форме, позволяющей определить субъекта ПД, не дольше, чем требуют цели обработки ПД.

Нелишне указывать в политике сроки хранения – конкретную дату (число, месяц, год) и обстоятельство, наступление которого повлечет прекращение обработки персональных данных.

Ведомство рекомендует указывать и иные условия хранения ПД, в том числе при их обработке без использования средств автоматизации.

При хранении личной информации работников и граждан (в том числе с помощью ресурсов Интернета) оператор в силу ч. 5 ст. 18 Закона № 152-ФЗ обязан использовать базы данных, находящиеся на территории Российской Федерации.

Условием прекращения обработки ПД становится достижение целей их обработки, истечение срока действия согласия или отзыв согласия субъекта ПД на обработку его данных, а также выявление неправомерной обработки.

Действия оператора с ПД

По мнению Роскомнадзора, в политике нужно определить конкретные действия оператора по актуализации, исправлению, удалению, уничтожению персональных данных и определить алгоритм ответов на запросы субъектов ПД. Так, согласно ст. 21 Закона № 152-ФЗ при подтверждении факта неточности данных оператор должен их актуализировать, а при подтверждении факта неправомерности обработки она должна быть прекращена.

Роскомнадзор рекомендует включить в политику регламент реагирования на запросы и обращения субъектов ПД по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и др.

Кроме того, в п. 3.6 Рекомендаций указано: если цели обработки ПД достигнуты либо субъект отозвал свое согласие на обработку ПД, соответствующая информация должна быть уничтожена.

Хотя возможны исключения, когда иные условия предусматриваются договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, либо другим соглашением между оператором и субъектом ПД.

Важно отразить в политике и еще одну обязанность оператора – реагировать на запросы субъекта ПД. В силу ст. 20 Закона 152-ФЗ оператор обязан сообщить субъекту ПД или его представителю информацию об осуществляемой обработке личных данных такого субъекта по его запросу.

В связи с этим Роскомнадзор рекомендует включить в политику регламент реагирования на запросы и обращения субъектов ПД и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия, доступа субъекта ПД к своим данным и соответствующие формы запросов и обращений.

Отметим, что регламент реагирования на запросы граждан автономные учреждения включают в политику нечасто. Обычно возможность получения сведений от оператора прописывается в разделе «Права субъектов персональных данных».

В одних случаях упоминается лишь само право субъекта получать информацию об обработке его ПД, в других приводятся положения ч. 7 ст. 14 Закона № 152-ФЗ (состав информации, которую вправе получить гражданин).

Но иногда учреждения помимо этого прописывают порядок взаимодействия с субъектом ПД, сроки реагирования на его запросы и даже устанавливают типовые формы заявлений субъекта ПД.

* * *

Как видим, из того, что рекомендует сделать Роскомнадзор, государственные и муниципальные учреждения применяют многое. В своих политиках они в той или иной форме указывают правовые основания для обработки ПД, дают характеристики запрашиваемым данным и их субъектам, прописывают права последних, обязанности и действия оператора.

Но некоторые детали учреждения все же упускают из виду.

Так, в политике не всегда можно встретить определения используемых понятий (бывает, что расшифровываются только одно или два), Закон № 152-ФЗ иногда указывают среди правовых оснований обработки (хотя Роскомнадзор не считает его таким основанием), не всегда достаточно подробно регулируются отдельные этапы взаимодействия оператора и гражданина (например, реагирование на запросы субъектов ПД).

В связи с этим автономным учреждениям полезно проанализировать действующие у них политики в области персональных данных на предмет соответствия Рекомендациям, выпущенным регулятором, и при необходимости доработать.

Впрочем, в Законе № 152-ФЗ нет прямых требований политики в области ПД, да и Роскомнадзор проинформировал о своем видении в формате рекомендаций. Иными словами, для проверяющих важен прежде всего факт наличия соответствующего документа и его раскрытия неограниченному кругу лиц.

Административным правонарушением считается именно неопубликование политики в отношении обработки ПД: согласно п. 3 ст. 13.11 КоАП РФ это влечет штрафы в размере от 3 000 до 6 000 руб. для должностных лиц и в размере от 15 000 до 30 000 руб. для юридических лиц. Какие конкретно вопросы урегулированы в политике в области ПД – определяет оператор.

И в этой части он не может быть привлечен к ответственности.

[1] Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», опубликованные на официальном сайте ведомства rkn.gov.ru в разделе «Персональные данные».

М. Е. Смолева, эксперт журнала

«Руководитель автономного учреждения» № 9, сентябрь, 2017 года

Источник: https://www.audar-urist.ru/articles/213/politika-v-oblasti-personalnyh-dannyh

Юрист ответит
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: