Як правильно скласти Політику обробки персональних даних, які розділи потрібно обов'язково включити? Роз'яснення з цих питань дає Роскомнадзор.
Структура Політики обробки персональних даних
Відомство рекомендує передбачити в документі шість основних компонентів:
1. Загальні цілі
У цьому розділі ви фактично відповідаєте на питання - для чого призначена Політика обробки персональних даних? Тут же роз'яснюються основні поняття, які використовуються в документі, а також права та обов'язки оператора і суб'єкта персональних даних.
2. Цілі збору персональних даних
Роскомнадзор вказує на те, що цілі обробки персональних даних можуть відбуватися в тому числі:
3. Правові підстави обробки персональних даних
Таким чином, в Політиці обробки даних в якості правових підстав можна вказати: федеральні закони і прийняті на їх основі нормативно-правові акти, що регулюють відносини, пов'язані з діяльністю оператора; статутні документи оператора; договори, укладені між оператором та суб'єктом персональних даних; згоду на обробку персональних даних (у випадках, прямо не передбачених законодавством Російської Федерації, але відповідних повноважень оператора).
Важливо, щоб обсяг оброблюваних персональних даних не розходився із заявленими цілями обробки.
Мінімізуйте ризики: переконайтеся в тому, що персональні дані захищені відповідно до ФЗ-152
5. Порядок і умови обробки персональних даних
Що вказується в цьому розділі:
- перелік дій, що здійснюються з персональними даними;
- способи обробки персональних даних;
- терміни обробки персональних даних.
Якщо в рамках досягнення цілей обробки персональних даних оператор взаємодіє з третіми особами, то йому потрібно:
Передавати персональні дані оператор має право органам дізнання і слідства, а також іншим уповноваженим органам за передбаченими законодавством підстав.
Крім того, оператору потрібно вказати умову припинення обробки персональних даних. Це може бути досягнення цілей обробки, закінчення строку дії згоди на обробку, відкликання згоди суб'єкта персональних даних на обробку, виявлення неправомірної обробки даних.
Окрему увагу варто приділити такому питанню, як зберігання персональних даних. По-перше, обов'язково називаються терміни. По-друге, використовуються бази даних, що знаходяться на території РФ. По-третє, враховується той факт, що зберігання повинно здійснюватися в формі, що дозволяє визначити суб'єкта персональних даних не довше, ніж цього вимагають цілі обробки. По-четверте, необхідно згадати про інші умови зберігання, в тому числі, при обробці даних без використання засобів автоматизації.
6. Актуалізація, виправлення, видалення і знищення персональних даних, відповіді на запити суб'єктів на доступ до персональних даних
Згідно ст. 21 № 152-ФЗ, персональні дані повинні бути актуалізовані оператором, якщо підтверджений факт неточності персональних даних. Те ж стосується і підтвердження факту неправомірності обробки.
На підставі ст. 20 оператор зобов'язаний повідомити суб'єкта персональних даних інформацію про здійснювану ним обробці персональних даних за запитом.
Роскомнадзор рекомендує включити в Політику обробки персональних даних регламенти реагування на запити і звернення суб'єктів персональних даних, їх представників, уповноважених органів з приводу неточності даних, неправомірність їх обробки, відкликання згоди і доступу до своїх даних. Не зайвим буде додати в Політику відповідні форми запитів та звернень.
Розміщення Політики обробки персональних даних в офісі і на сайті
Будь-яка людина, чиї дані обробляє компанія, має право ознайомитися із розділом обробки персональних даних. Тому її потрібно розміщувати в загальнодоступному місці. Наприклад, використовувати для цього інформаційний стенд.
Якщо компанія збирає персональні дані через інтернет, то вона зобов'язана розмістити Політику на сайті. Відвідувач сайту зможе ознайомитися з нею, клікнувши на посилання.