Рекомендации по составлению политики обработки персональных данных согласно 152-ФЗ
Введение
Целью данных рекомендации является создание единой структуры и формы политики, определяющей отношение оператора к обработки персональных данных.
Основные понятия
персональные данные - любая информация, относящаяся к конкретному человеку (субъекту персональных данных);
оператор персональных данных - тот, кто обрабатывает персональные данные, а также определяет зачем данные будут обрабатываться, какие данные будут обрабатываться и что конкретно с этими данными будет делаться;
обработка персональных данных - любое действие или совокупность действий с персональными данными. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники (например компьютеров);
распространение персональных данных - раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – передача персональных данных конкретному человеку или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить кому принадлежат персональные данные;
информационная система персональных данных - совокупность ПДн и обрабатывающих их информационных технологий (например программы) и технических средств (например компьютеры);
трансграничная передача персональных данных - передача персональных данных за границу, органу власти иностранного государства, иностранному физическому или юридическому лицу.
Рекомендации к структуре
1) Общие положения
В данном разделе обычно описывается зачем была создана эта политика, используемые в ней понятия, а также основные права и обязанности оператора и субъекта персональных данных.
2) Цели сбора персональных данных
Здесь прописывается конкретная цель обработки, для которой собираются персональные данные. Обработка ПДн должна ограничиваться достижением конкретных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
3) Правовые основания обработки персональных данных
Здесь указывается совокупность правовых актов, для которых и по которым будет осуществляться обработка персональных данных.
В качестве правового основания актов могут быть указаны:
федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
уставные документы оператора;
договоры, заключаемые между оператором и субъектом персональных данных;
согласие на обработку персональных данных.
Федеральный закон N 152-ФЗ «О персональных данных» не может служить правовым основанием, так как он регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.
4) Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Обрабатываемые данные и их количество должны соответствовать заявленным целям обработки. Нельзя обрабатывать больше данных чем необходимо для достижения цели.
К категориям субъектов можно отнести:
работников оператора, как нынешних, так и бывших, а также кандидатов на замещение вакансии и родственников работников;
клиентов и контрагентов (физические лица);
представителей или работников клиентов и контрагентов (юридические лица).
Рекомендуется описать какие именно персональные данные будут обрабатываться и для каких целей по отношению к каждой категории субъектов, а также, если необходимо, отдельно описать все случаи обработки как специальных, так и биометрических персональных данных.
5) Порядок и условия обработки персональных данных
Здесь указывается что конкретно оператором будет делать с персональными данными, а также способы и сроки обработки ПДн. Также рекомендуется указывать сведения о соблюдении требований конфиденциальности и принятых мерах по защите информации.
Если необходимо взаимодействие с третьими лицами, то надо указывать условия передачи ПДн (например, наличие договора поручения на обработку ПДн), в том числе, при трансграничной передаче. При этом рекомендуется указать кому и куда передаться данные, зачем осуществляется передача, сколько данных передаётся, что с ними будет делаться, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, а также иным уполномоченным органам согласно законодательству.
Обработка персональных данных превращается, как только цель обработки была достигнута, либо если истёк срока действия согласия или оно было отозвано, а также в случаи выявления неправомерной обработки.
Рекомендуется указывать как долго будут храниться персональных данных. Хранение разрешено только в базах данных, находящихся на территории РФ.
6) Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Если персональные данные неточные, необходимо прекратить обработку, уточнить данные, после чего можно их обновить и продолжить обработку.
Как только цель обработки была достигнута, либо в случаи отзыва согласия на обработку, персональные данные необходимо уничтожить, если:
иное не предусмотрено договором между оператором и субъектом;
оператор не вправе осуществлять обработку без согласия, на основании 152-ФЗ или иных федеральных законов;
- иное не предусмотрено иным соглашением между оператором и субъектом.
Субъект может запросить информации об обработки его персональных данных, в таком случаи оператор обязан будет предоставить ему эти сведенья.
Так же сюда следует включить порядок реагирования на запросы и обращения субъектов персональных данных, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов и обращений.