Политика в отношении обработки персональных данных: что нужно знать каждому оператору

Политика в отношении обработки персональных данных: что нужно знать каждому оператору

Дата публикации 6 августа 2024
Экспертный опыт
В мире, где цифровые технологии стали неотъемлемой частью повседневной жизни, вопросы защиты и обработки персональных данных год от года привлекают особое внимание контрольно-надзорных органов. Рассмотрим подробнее, на какие особенности Политики в отношении обработки персональных данных обращает внимание Роскомнадзор и какие моменты следует учесть при её разработке.


Что такое Политика в отношении обработки персональных данных

Политика в отношении обработки персональных данных – это документ, который устанавливает основные принципы и условия обработки персональных данных, а также права, обязанности и ответственность участников отношений, связанных с обработкой персональных данных. Он направлен на обеспечение защиты прав и свобод субъектов персональных данных. Политика в отношении обработки персональных данных объясняет пользователю, с какой целью собираются и обрабатываются его данные, в каком объёме, кому они передаются и т. д. Политика должна соответствовать Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и обеспечивать выполнение норм федерального законодательства.

Структура и содержание Политики

В Рекомендациях Роскомнадзора от 31 июля 2017 г. по составлению Политики определяются её структура и содержание. Хотя документ носит рекомендательный характер, во время проверок регулятор ориентируется на указанные в нём требования, поэтому желательно составлять Политику, опираясь на него.

Почему важно правильно разработать Политику?
Это необходимо для соблюдения требований законодательства в сфере защиты персональных данных и успешного прохождения проверки регулятора. В статье 18.1 Федерального закона № 152-ФЗ указано, что оператор, являющийся юридическим лицом, обязан издать документ, определяющий политику оператора в отношении обработки персональных данных, а также прописано, что должно содержаться в разработанном организацией документе.  Напомним, Роскомнадзор удалённо мониторит сайты организаций и проверяет их на предмет очевидных нарушений обработки персональных данных, в том числе смотрит на наличие Политики в отношении обработки персональных данных и на её содержание.

Всего регулятор предлагает выделить шесть основных разделов:

1. Общие положения: описывается назначение Политики, раскрываются основные понятия, используемые в ней, перечисляются основные права и обязанности оператора и субъекта(ов) персональных данных.

2. Цели сбора персональных данных: указываются конкретные, заранее определённые и законные цели обработки персональных данных.

3. Правовые основания обработки персональных данных: перечисляются правовые акты, во исполнение и на основании которых оператор осуществляет обработку персональных данных.

4. Объём и категории обрабатываемых данных, категории субъектов персональных данных: содержание и объём обрабатываемых персональных данных указываются на основании заявленных целей обработки (ведение кадрового и бухгалтерского учёта, обеспечение соблюдения трудового законодательства РФ, обеспечение соблюдения налогового законодательства РФ, обеспечение соблюдения пенсионного законодательства РФ и др.).

5. Порядок и условия обработки персональных данных: перечисляются действия, совершаемые оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

Таким образом, Политика в отношении обработки персональных данных – ключевой документ компании, отражающий серьёзное отношение компании к конфиденциальности и безопасности обрабатываемых персональных данных.


Типовые ошибки при разработке и размещении Политики

Политика в отношении обработки персональных данных должна размещаться в свободном доступе на видном месте сайта организации. Это необходимо для того, чтобы любой субъект персональных данных мог зайти на сайт и посмотреть, как и какой объём персональных данных организация обрабатывает, каких принципов и правил придерживается и т. п.

Какие типовые ошибки при разработке и размещении Политики допускают операторы?

1. Неполнота сведений в документе. Политика в отношении обработки персональных данных не может состоять из двух страниц. На практике часто бывает так, что организации скачивают с Интернета какой-нибудь небольшой документ и размещают его на сайте. На самом деле в статье 18.1 Федерального закона № 152-ФЗ содержится много требований к тому, что должно быть указано в Политике. Например, для каждой цели обработки персональных данных должны быть определены категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения. И если посмотреть на Политику в отношении обработки персональных данных НПЦ «Кейсистемс – Безопасность», разработчика экосистемы приложений «Альфа», она состоит из 53 страниц.

2. Несоответствие Рекомендациям Роскомнадзора от 31 июля 2017 г. по составлению Политики. Ещё раз подчеркнём, что желательно составлять документ по требованиям регулятора, чтобы избежать лишних вопросов с его стороны.

3. Расхождение информации в Политике и уведомлении об обработке персональных данных. Эта ошибка встречается довольно часто, а установление трёх и более фактов несоответствия информации с 18 ноября 2023 г. может привести к внеплановой проверке организации.

4. Некорректное размещение Политики на сайте: форма сбора персональных данных не содержит отсылку к Политике, а сам документ запрятан так глубоко на сайте, что ни регулятор, ни субъект персональных данных не смогут его найти.

5. Нарушены сроки размещения Политики. Этот пункт касается операторов, являющихся государственными или муниципальными органами. С момента утверждения документа он должен быть опубликован на официальном сайте в течение 10 дней.

Рекомендации при подготовке Политики в отношении обработки персональных данных

Чтобы правильно разработать Политику, обязательно изучите п. 2 ч. 1 статьи 18.1 Федерального закона № 152-ФЗ и Рекомендации Роскомнадзора от 31 июля 2017 г. по составлению документа, определяющего Политику оператора в отношении обработки персональных данных.

Также верным и мудрым решением будет обратиться к помощи АльфаДок. Система содержит разработанную экспертами НПЦ «КСБ» актуальную Политику, которая учитывает все требования действующего законодательства. Она зарекомендовала себя с самой лучшей стороны, так как пользователи приложения многократно проходили с ней проверку в разных регионах Российской Федерации.

Протестируйте АльфаДок бесплатно и оцените все его преимущества!



Статьи по теме
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88005005233, Электронная почта: alfa@npc-ksb.ru