В конце июля 2017 года Роскомнадзор опубликовал Рекомендации по составлению политики оператора в отношении обработки персональных данных. Давайте подробно рассмотрим этот документ. Но вначале вспомним, что из себя представляет Политика по персональным данным и почему она так важна.
Политика по персональным данным - локальный документ, содержащий сведения об операторе, принципы обработки персональных данных, а также описание обработки персональных данных оператором.
Согласно ч. 2 ст. 18.1 ФЗ № 152 «О персональных данных» оператор обязан опубликовать Политику у себя на сайте или разместить её бумажную версию на доске информации или в любом другом месте, к которому имеется неограниченный доступ.
Отдельно стоит сказать о ситуации, когда оператор ведёт сбор персональных данных через интернет на своём сайте, используя формы регистрации, обратной связи, приёма заказов, «вопрос-ответ» и подобные. В этом случае оператор обязан разместить Политику именно у себя на сайте.
Как показывает практика, даже если в форме нужно указать только имя (без фамилии) и адрес электронной почты, по которым без дополнительной информации практически нереально установить личность человека, то специалисты Роскомнадзора всё равно приравнивают этот набор информации к персональным данным и требуют наличия Политики и «галочки» о согласии с обработкой персональных данных на сайте.
Итак, Роскомнадзор рекомендует придерживаться следующего содержания Политики:
1. Общие положения
Основные понятия, используемые в Политике, назначение Политики, права и обязанности оператора и субъекта персональных данных.
2. Цели сбора персональных данных
Цели обработки в основном формируются из фактической деятельности оператора и из конкретных бизнес-процессов, а также из результатов анализа правовых актов, регламентирующих деятельность оператора.
3. Правовые основания обработки персональных данных
В качестве правового основания обработки персональных данных могут быть указаны:
- статьи федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с деятельностью оператора;
- уставные документы оператора;
- договоры, заключаемые между оператором и субъектом персональных данных;
- согласие на обработку персональных данных.
Роскомнадзор отмечает, что ФЗ № 152 «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку указанный закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Как понятно из заголовка, в разделе рекомендуется указать объем обрабатываемых персональных данных, их категории, а также категории субъектов, чьи персональные данные обрабатывает оператор. Роскомнадзор рекомендует перечислить весь перечень обрабатываемых персональных данных, а также описать все случаи обработки специальных категорий персональных данных.
Исходя из практики, перечень категорий персональных данных, обрабатываемых оператором, может меняться, поэтому целесообразно этот перечень делать отдельным документом и не вносить его в Политику.
5. Порядок и условия обработки персональных данных
Раздел может содержать информацию о перечне действий с персональными данными и способах их обработки. Рекомендуется описать условия передачи персональных данных третьим лицам (в том числе гос. органам) и условия трансграничной передачи, в том числе наименование и местонахождение третьих лиц, которым осуществляется передача, её цели, объем передаваемых данных, перечень действий по их обработке. Также можно указать сведения о соблюдении требований конфиденциальности персональных данных и информацию о принятии оператором и принимающей стороной мер по обеспечению их безопасности. В этом же разделе, по мнению Роскомнадзора, будет уместно разместить информацию о сроках хранения персональных данных, условиях прекращения их обработки, месте расположения баз данных с персональными данными, а также об условиях неавтоматизированной обработки персональных данных.
Информация, рекомендуемая к размещению в этом разделе, тянет на несколько целых документов. Обычно это сведения из Положения об организации обработки персональных данных, Положения об обеспечении безопасности персональных данных и Положения об организации неавтоматизированной обработки персональных данных.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
В данном разделе рекомендуется описать действия оператора при обращении к нему субъекта персональных данных.
В новостях Роскомнадзора регулярно появляются сообщения о том, что те или иные организации нарушают, нарушают и нарушают законодательство о персональных данных, в частности, не размещают на своем сайте Политику по вопросам обработки персональных данных.
Напомню, что за отсутствие неограниченного доступа к Политике оператору грозит штраф в размере 15 - 30 тыс. рублей.