Что делать?

По пунктам: как составить Политику обработки персональных данных


Любая компания, являющаяся оператором ПДн, сталкивается с ситуацией, когда необходимо составить Политику обработки персональных данных. Этот документ необходимо размещать на сайте организации, и он должен быть в свободном доступе.

Отсутствие документа – прямое нарушение 152-ФЗ «О персональных данных», которое влечет предупреждение или штрафы:

  • от 700 рублей до 1 500 рублей для физлиц;
  • от 3 000 рублей до 6 000 рублей для должностных лиц;
  • от 5 000 рублей до 10 000 рублей для ИП;
  • от 15 000 рублей до 30 000 рублей для юридических лиц.

Что говорит Роскомнадзор о политике персональных данных

Ведомство выпустило рекомендации по составлению Политики обработки персональных данных, в котором прописана структура и указаны пункты, которые должны быть в документе.

Первый пункт — это общее положений, где сформировано назначение документа, определены основные понятия, перечислены права и обязанности оператора и субъектов ПДн.

Во втором пункте указываются цели сбора персональных данных. Роскомнадзор рекомендует четко описать эти цели, потому что если обработка будет проводится для других задач, будет нарушен закон «О персональных данных».

Далее, в третьем пункте, рекомендуется указать правовые основания обработки ПДн. Здесь перечисляются федеральные законы и нормативные акты, согласно которым ведется обработка персональных данных, договоры, заключенные между сторонами, устав оператора, согласие на обработку персональных данных.

Стоит отметить, что 152-ФЗ «О персональных данных» не является правовым основанием для обработки ПДн. В нем прописаны требования к операторам при обработке персональных данных и отношения, связанные с их обработкой.

Следующий, четвертый пункт, — это объем и категории обрабатываемых персональных данных, категории субъектов персональных данных. Ведомство советует перечислить не только все персональные данные, которые обрабатывает оператор, но и случаи обработки спецкатегорий ПДн и биометрических ПДн. При составлении этого пункта стоит помнить, что сбор и обработка больших объемов ПДн, чем это указано в целях сбора, нарушение 152-ФЗ.

К категориям субъектов персональных данных рекомендуют отнести действующих и бывших работников оператора и их родственников, кандидатов на вакансию в компанию-оператор, клиентов и контрагентов оператора, представителей и работников клиентов и контрагентов операторов.

Пятый пункт – порядок и условия обработки персональных данных. Здесь указываются действия, который оператор будет совершать с ПДн, сроки и способы обработки персональных данных, сроки их хранения. Также стоит указать, что оператор соблюдает требования конфиденциальности ПДн, установленные статьей 7 закона «О персональных данных», и принимает меры, предусмотренные частью 2 статьи 18.1 и частью 1 статьи 19 152-ФЗ.

Если оператор передает доступ к ПДн третьим лицам, необходимо указать, на каких условиях информация передается.

Завершает политику шестой пункт – актуализация, исправление, удаление и уничтожение ПДн, ответы на запросы субъектов на доступ к персональным данным. Этот пункт обязывает оператора следить за актуальностью персональных данных и прекратить их обработку, если они устаревают. Также в этом пункте указывается порядок ответа на запросы субъектов об обработке их данных. Уничтожать персональные данные необходимо, когда цели их обработки достигнуты, или когда человек отзывает разрешение на их обработку.