Роскомнадзор совместно с Молодёжной палатой Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных подготовил рекомендации по составлению документа, который определяет политику оператора персональных данных.

Напомним, что этот документ оператор обязан опубликовать на сайте. Иначе его ждет предупреждение или административный штраф в размере от 700 до 1500 рублей, для должностных лиц – от 3000 до 6000 рублей, для ИП – от 5000 до 10000 рублей, для юрилц – от 15000 до 30000 рублей (подробнее об обязанностях и штрафах за их неисполнение).

Что рекомендует Роскомнадзор?

Ведомство рекомендует придерживаться следующей структуры документа:

1. Общие положения

Что там должно быть: назначение Политики, основные понятия, основные права и обязанности оператора и субъекта (ов) персональных данных.

2. Цели сбора персональных данных

3. Правовые основания обработки персональных данных

Что там должно быть: перечисление федеральных законов и нормативных правовых актов, регулирующих отношения, связанные с деятельностью оператора; уставных документов оператора; договоров, заключаемых между оператором и субъектом персональных данных; согласие на обработку персональных данных.

Внимание: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не может служить правовым основанием обработки персональных данных оператором. Закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Что там должно быть? К категориям субъектов персональных данных могут быть отнесены, в том числе:

• работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
• клиенты и контрагенты оператора (физические лица);
• представители/работники клиентов и контрагентов оператора (юридических лиц).

Роскомнадзор рекомендует перечислить все обрабатываемые оператором персональные данные. Прописать (если применимо) все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

5. Порядок и условия обработки персональных данных

Что там должно быть: перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Российской Федерации (трансграничная передача).

Внимание: Роскомнадзор напоминает, что оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Следует указать и сведения о соблюдении требований конфиденциальности персональных данных (ст. 7 Федерального закона «О персональных данных»), а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

Роскомнадзор рекомендует указывать сроки хранения персональных данных.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

Ведомство рекомендует включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

Источник: Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».