Как составить политику обработки ПДн: чек-лист

Один из основных документов, который должен разработать оператор ПДн, — документ, определяющий политику оператора в отношении обработки персональных данных. Часто его называют политикой конфиденциальности.

Даже если у оператора нет сайта в Интернете, ему необходимо обеспечить неограниченный доступ к документу.

Разберёмся пошагово, как её создать, что указать, где разместить и какие ошибки допускают операторы.

Основные положения ФЗ-152 в отношении Политики

Согласно ст. 18.1. ФЗ-152 «О персональных данных», оператор ПДн обязан:

• Назначить ответственного за организацию обработки персональных, биометрических, специальных данных через приказ. Нельзя возложить обязанность ответственного на разных людей. Требований к наличию специальных знаний не предъявляется.
• Издать документы, определяющие политику оператора в отношении обработки персональных данных — опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
• Издать локально-нормативные акты.
• Подать уведомление в Роскомнадзор.

8 шагов к политике по обработке ПДн

1. Общие положения
2. Цели сбора персональных данных
3. Правовые основания обработки персональных данных
4. Объём и категории обрабатываемых ПДн
5. Принципы и условия обработки ПДн
6. Реализация мер обеспечения безопасности ПДн
7. Обработка ПДн
8. Актуализация, исправление, удаление и уничтожение ПДн

Общие положения

Здесь рекомендуется:

• описать назначение Политики;
• включить основные используемые понятия — обработка ПДн, оператор, субъект
  персональных данных, конфиденциальность ПДн и т.д.
• перечислить основные права и обязанности оператора и субъекта(ов) ПДн.

Обязательно укажите название юридического лица, которому эта политика принадлежит!

Цели сбора ПДн

Сбор персональных данных должен быть осуществлен с четко определенными и законными целями. Соответственно, нельзя обрабатывать персональные
данные, которые не соответствуют указанным целям сбора. Все цели в одном файле размещены тут.

Придерживайтесь правила: цель должна быть сформулирована коротко, четко и понятно. При этом, нельзя объединять все цели сбора данных в одну цель!

Правовые основания обработки ПДн

Обработка персональных данных требует законного основания, которое определяется
согласно совокупности правовых документов и нормативных актов, соблюдение которых обязательно для оператора при проведении такой обработки.

Наиболее часто встречающиеся правовые основания обработки персональных данных на сайте при оказании коммерческих услуг:

• Согласие на обработку персональных данных, п.1 ч.1 ст. 6 №152-ФЗ;
• Пользовательское соглашение/оферта, п.5 ч.1 ст. 6 №152-ФЗ.

Важно: 152-ФЗ не является правовым основанием.

Объём и категории обрабатываемых ПДн

Необходимо обеспечить соответствие объема обрабатываемых персональных данных
изначально определенным целям обработки. В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые
оператором ПДн, а также отдельно описать все случаи обработки
специальных категорий ПДн.

Допускается не указывать категории в Политике, но обязательно предоставлять информацию по первому требованию.

Примечание: к категориям персональных данных относятся: ФИО, паспортные данные, дата рождения и прочее.

Более полный список категорий можно посмотреть на сайте Роскомнадзора в Форме уведомления в Роскомнадзор.

Принципы и условия обработки ПДн

Рекомендуется указывать перечень действий, совершаемых оператором с ПДн субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки рекомендуется указывать условия передачи персональных данных в адрес третьих лиц.

Также:

• Рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных.
• Условия прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.
• Сроки хранения персональных данных.
• Осуществляется или нет трансграничная передача данных.

Важно: если вы коммерческая компания, не указывайте такое действие как Обезличивание данных. Для коммерческих компаний нет описанных регламентов, а значит, обезличивание не законно!

Ни в коем случае не пишите, что обрабатываете персональные данные бессрочно, так как это нарушение ч.1 ст. 13.11 КоАП, что приведёт к наказанию в виде штрафа от 60 000 до 100 000 рублей.

Реализация мер безопасности ПДн

Перечислить, какие меры приняты: назначены ответственные, разработаны ЛНА и пр.

Обработка персональных данных

Без использования автоматизации: где хранятся, как уничтожаются, работы с мат. носителями и пр.

Актуализация, исправление, удаление и уничтожение ПДн

В соответствии с ФЗ, ПДн подлежат актуализации оператором в случае подтверждения их неточности. То же применимо и к подтверждению неправомерности обработки данных.

ПДн должны быть удалены после достижения целей их обработки или в случае отзыва субъектом согласия на обработку, если договор, стороной которого является субъект, или иное соглашение с оператором не предусматривают других условий.

Оператор не имеет права осуществлять обработку персональных данных без согласия субъекта на основаниях, предусмотренных законодательством.

Также оператор обязан предоставить субъекту информацию о ходе обработки данных по его запросу. Либо ссылку на статью 20 ФЗ «О персональных данных».

Роскомнадзор рекомендует включить в Политику процедуры реагирования на запросы и обращения субъектов по вопросам неточности данных, незаконной обработки, отзыва согласия и доступа к собственным данным. Также полезно предоставить соответствующие образцы запросов и обращений.

Важно: если у вас уже есть Политика, то обязательно проверьте сроки реагирования, так как срок изменился. Теперь оператор обязан ответить в течение 10 дней на запрос субъекта ПДн.

Где должен быть размещён документ

Если оператор не имеет сайта в сети «Интернет», ему необходимо обеспечить неограниченный доступ к документу, определяющему политику Оператора в отношении обработки ПДн и сведениям о реализуемых требованиях к защите ПДн ИНЫМ ОБРАЗОМ.

Если имеет, то Политику следует разместить «в подвале» сайта и под каждой формой сбора персональных данных.

ВАЖНО: Если на сайте используются метрические программы, оператор должен:

• Проинформировать об этом пользователей при входе на сайт и получить согласие на обработку персданных, собираемых посредством биометрических программ.
• Указать, какие именно программы используются.
• Включить в Политику информацию об использовании метрических программ.

Основные ошибки политики по обработке ПДн

• Копируют политику и не меняют название оператора, адрес сайта, адрес электронный почты. Или вообще не указывают название юрлица.
  
• Размещена ссылка на другой документ, не имеющий отношения к политике конфиденциальности.

• Цели политики написаны размыто, в один общий абзац и не совпадают с целями, указанными в уведомлении в РКН.

• Документ не опубликован, размещен не на всех страницах сайта, на которых осуществляется сбор данных, недоступен для ознакомления.

• Политика не содержит нужные разделы.
• Полное дублирование в политике конфиденциальности положений закона №152-ФЗ. Нужно указать, как конкретный оператор обрабатывает данные на конкретном сайте.

• В Политике указаны устаревшие сроки реагирования на запросы.

Одно решение для всех задач

Мы исследовали и проанализировали лучшие практики выполнения 152-ФЗ и выбрали сервис, который обеспечивает решение самых сложных задач в работе с персональными данными и минимизирует риски получения штрафов от Роскомнадзора.

Чтобы узнать о сервисе подробнее и получить бесплатную консультацию по вопросам 152-ФЗ — просто напишите нам.