Тэг: документы по ПДн

В прошлой статье я рассказала о том, какие проверки бывают у Роскомнадзора в сфере персональных данных, чем плановые проверки отличаются от внеплановых.

Сейчас самое время продемонстрировать те сведения, которые запрашивает Роскомнадзор перед проверкой.

Итак, какие же документы проверяет РКН в ходе проведения проверки?

Вот только несколько приказов о проведении проверок в организациях, обратившихся ко мне за разработкой необходимых документов.

1. Иркутская область, 2018 год.

2. УрФО, 2017 год.

Обращаю внимание, что красным отмечены именно сведения, которые должны быть предоставлены Оператором персональных данных по требованию РКН. А документы, в которых они содержатся, могут называться немного иначе и их количество тоже может быть разным.

В конце июля 2017 года Роскомнадзор опубликовал Рекомендации по составлению политики оператора в отношении обработки персональных данных. Давайте подробно рассмотрим этот документ. Но вначале вспомним, что из себя представляет Политика по персональным данным и почему она так важна.

Политика по персональным данным - локальный документ, содержащий сведения об операторе, принципы обработки персональных данных, а также описание обработки персональных данных оператором.

Согласно ч. 2 ст. 18.1 ФЗ № 152 «О персональных данных» оператор обязан опубликовать Политику у себя на сайте или разместить её бумажную версию на доске информации или в любом другом месте, к которому имеется неограниченный доступ.

Отдельно стоит сказать о ситуации, когда оператор ведёт сбор персональных данных через интернет на своём сайте, используя формы регистрации, обратной связи, приёма заказов, «вопрос-ответ» и подобные. В этом случае оператор обязан разместить Политику именно у себя на сайте.

Как показывает практика, даже если в форме нужно указать только имя (без фамилии) и адрес электронной почты, по которым без дополнительной информации практически нереально установить личность человека, то специалисты Роскомнадзора всё равно приравнивают этот набор информации к персональным данным и требуют наличия Политики и «галочки» о согласии с обработкой персональных данных на сайте.

Итак, Роскомнадзор рекомендует придерживаться следующего содержания Политики:

1. Общие положения

Основные понятия, используемые в Политике, назначение Политики, права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Цели обработки в основном формируются из фактической деятельности оператора и из конкретных бизнес-процессов, а также из результатов анализа правовых актов, регламентирующих деятельность оператора.

3. Правовые основания обработки персональных данных

В качестве правового основания обработки персональных данных могут быть указаны:

- статьи федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с деятельностью оператора;

- уставные документы оператора;

- договоры, заключаемые между оператором и субъектом персональных данных;

- согласие на обработку персональных данных.

Роскомнадзор отмечает, что ФЗ № 152 «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку указанный закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Как понятно из заголовка, в разделе рекомендуется указать объем обрабатываемых персональных данных, их категории, а также категории субъектов, чьи персональные данные обрабатывает оператор. Роскомнадзор рекомендует перечислить весь перечень обрабатываемых персональных данных, а также описать все случаи обработки специальных категорий персональных данных.

Исходя из практики, перечень категорий персональных данных, обрабатываемых оператором, может меняться, поэтому целесообразно этот перечень делать отдельным документом и не вносить его в Политику.

5. Порядок и условия обработки персональных данных

Раздел может содержать информацию о перечне действий с персональными данными и способах их обработки. Рекомендуется описать условия передачи персональных данных третьим лицам (в том числе гос. органам) и условия трансграничной передачи, в том числе наименование и местонахождение третьих лиц, которым осуществляется передача, её цели, объем передаваемых данных, перечень действий по их обработке. Также можно указать сведения о соблюдении требований конфиденциальности персональных данных и информацию о принятии оператором и принимающей стороной мер по обеспечению их безопасности. В этом же разделе, по мнению Роскомнадзора, будет уместно разместить информацию о сроках хранения персональных данных, условиях прекращения их обработки, месте расположения баз данных с персональными данными, а также об условиях неавтоматизированной обработки персональных данных.

Информация, рекомендуемая к размещению в этом разделе, тянет на несколько целых документов. Обычно это сведения из Положения об организации обработки персональных данных, Положения об обеспечении безопасности персональных данных и Положения об организации неавтоматизированной обработки персональных данных.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

В данном разделе рекомендуется описать действия оператора при обращении к нему субъекта персональных данных.

В новостях Роскомнадзора регулярно появляются сообщения о том, что те или иные организации нарушают, нарушают и нарушают законодательство о персональных данных, в частности, не размещают на своем сайте Политику по вопросам обработки персональных данных.

Напомню, что за отсутствие неограниченного доступа к Политике оператору грозит штраф в размере 15 - 30 тыс. рублей.