Как составить политику обработки ПДн: чек-лист
Один из основных документов, который должен разработать оператор ПДн, — документ, определяющий политику оператора в отношении обработки персональных данных. Часто его называют политикой конфиденциальности.
Даже если у оператора нет сайта в Интернете, ему необходимо обеспечить неограниченный доступ к документу.
Разберёмся пошагово, как её создать, что указать, где разместить и какие ошибки допускают операторы.
Основные положения ФЗ-152 в отношении Политики
Согласно ст. 18.1. ФЗ-152 «О персональных данных», оператор ПДн обязан:
- Назначить ответственного за организацию обработки персональных, биометрических, специальных данных через приказ. Нельзя возложить обязанность ответственного на разных людей. Требований к наличию специальных знаний не предъявляется.
- Издать документы, определяющие политику оператора в отношении обработки персональных данных — опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
- Издать локально-нормативные акты.
- Подать уведомление в Роскомнадзор.
8 шагов к политике по обработке ПДн
- Общие положения
- Цели сбора персональных данных
- Правовые основания обработки персональных данных
- Объём и категории обрабатываемых ПДн
- Принципы и условия обработки ПДн
- Реализация мер обеспечения безопасности ПДн
- Обработка ПДн
- Актуализация, исправление, удаление и уничтожение ПДн
Общие положения
Здесь рекомендуется:
- описать назначение Политики;
- включить основные используемые понятия — обработка ПДн, оператор, субъект
персональных данных, конфиденциальность ПДн и т.д. - перечислить основные права и обязанности оператора и субъекта(ов) ПДн.
Обязательно укажите название юридического лица, которому эта политика принадлежит!
Цели сбора ПДн
Сбор персональных данных должен быть осуществлен с четко определенными и законными целями. Соответственно, нельзя обрабатывать персональные
данные, которые не соответствуют указанным целям сбора. Все цели в одном файле размещены тут.
Придерживайтесь правила: цель должна быть сформулирована коротко, четко и понятно. При этом, нельзя объединять все цели сбора данных в одну цель!
Правовые основания обработки ПДн
Обработка персональных данных требует законного основания, которое определяется
согласно совокупности правовых документов и нормативных актов, соблюдение которых обязательно для оператора при проведении такой обработки.
Наиболее часто встречающиеся правовые основания обработки персональных данных на сайте при оказании коммерческих услуг:
- Согласие на обработку персональных данных, п.1 ч.1 ст. 6 №152-ФЗ;
- Пользовательское соглашение/оферта, п.5 ч.1 ст. 6 №152-ФЗ.
Важно: 152-ФЗ не является правовым основанием.
Объём и категории обрабатываемых ПДн
Необходимо обеспечить соответствие объема обрабатываемых персональных данных
изначально определенным целям обработки. В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые
оператором ПДн, а также отдельно описать все случаи обработки
специальных категорий ПДн.
Допускается не указывать категории в Политике, но обязательно предоставлять информацию по первому требованию.
Примечание: к категориям персональных данных относятся: ФИО, паспортные данные, дата рождения и прочее.
Более полный список категорий можно посмотреть на сайте Роскомнадзора в Форме уведомления в Роскомнадзор.
Принципы и условия обработки ПДн
Рекомендуется указывать перечень действий, совершаемых оператором с ПДн субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки.
В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки рекомендуется указывать условия передачи персональных данных в адрес третьих лиц.
Также:
- Рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных.
- Условия прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.
- Сроки хранения персональных данных.
- Осуществляется или нет трансграничная передача данных.
Важно: если вы коммерческая компания, не указывайте такое действие как Обезличивание данных. Для коммерческих компаний нет описанных регламентов, а значит, обезличивание не законно!
Ни в коем случае не пишите, что обрабатываете персональные данные бессрочно, так как это нарушение ч.1 ст. 13.11 КоАП, что приведёт к наказанию в виде штрафа от 60 000 до 100 000 рублей.
Реализация мер безопасности ПДн
Перечислить, какие меры приняты: назначены ответственные, разработаны ЛНА и пр.
Обработка персональных данных
Без использования автоматизации: где хранятся, как уничтожаются, работы с мат. носителями и пр.
Актуализация, исправление, удаление и уничтожение ПДн
В соответствии с ФЗ, ПДн подлежат актуализации оператором в случае подтверждения их неточности. То же применимо и к подтверждению неправомерности обработки данных.
ПДн должны быть удалены после достижения целей их обработки или в случае отзыва субъектом согласия на обработку, если договор, стороной которого является субъект, или иное соглашение с оператором не предусматривают других условий.
Оператор не имеет права осуществлять обработку персональных данных без согласия субъекта на основаниях, предусмотренных законодательством.
Также оператор обязан предоставить субъекту информацию о ходе обработки данных по его запросу. Либо ссылку на статью 20 ФЗ «О персональных данных».
Роскомнадзор рекомендует включить в Политику процедуры реагирования на запросы и обращения субъектов по вопросам неточности данных, незаконной обработки, отзыва согласия и доступа к собственным данным. Также полезно предоставить соответствующие образцы запросов и обращений.
Важно: если у вас уже есть Политика, то обязательно проверьте сроки реагирования, так как срок изменился. Теперь оператор обязан ответить в течение 10 дней на запрос субъекта ПДн.
Где должен быть размещён документ
Если оператор не имеет сайта в сети «Интернет», ему необходимо обеспечить неограниченный доступ к документу, определяющему политику Оператора в отношении обработки ПДн и сведениям о реализуемых требованиях к защите ПДн ИНЫМ ОБРАЗОМ.
Если имеет, то Политику следует разместить «в подвале» сайта и под каждой формой сбора персональных данных.
ВАЖНО: Если на сайте используются метрические программы, оператор должен:
- Проинформировать об этом пользователей при входе на сайт и получить согласие на обработку персданных, собираемых посредством биометрических программ.
- Указать, какие именно программы используются.
- Включить в Политику информацию об использовании метрических программ.
Основные ошибки политики по обработке ПДн
- Копируют политику и не меняют название оператора, адрес сайта, адрес электронный почты. Или вообще не указывают название юрлица.
- Размещена ссылка на другой документ, не имеющий отношения к политике конфиденциальности.
- Цели политики написаны размыто, в один общий абзац и не совпадают с целями, указанными в уведомлении в РКН.
- Документ не опубликован, размещен не на всех страницах сайта, на которых осуществляется сбор данных, недоступен для ознакомления.
- Политика не содержит нужные разделы.
- Полное дублирование в политике конфиденциальности положений закона №152-ФЗ. Нужно указать, как конкретный оператор обрабатывает данные на конкретном сайте.
- В Политике указаны устаревшие сроки реагирования на запросы.
Одно решение для всех задач
Мы исследовали и проанализировали лучшие практики выполнения 152-ФЗ и выбрали сервис, который обеспечивает решение самых сложных задач в работе с персональными данными и минимизирует риски получения штрафов от Роскомнадзора.
Чтобы узнать о сервисе подробнее и получить бесплатную консультацию по вопросам 152-ФЗ — просто напишите нам.