Все о политике оператора в отношении обработки персональных данных: образец составления и содержание документа
Согласно законодательству Российской Федерации любому государственному или муниципальному органу, физическому или юридическому лицу, которые осуществляют операции с личными сведениями человека, необходимо иметь отдельный документ, регламентирующий действия с этими сведениями. Он называется “Политика оператора в отношении обработки и защиты персональных данных субъекта”. Для исключения проблем с Роскомнадзором и другими службами РФ важно понимать, для чего этот документ нужен, и как правильно его составить.
Скрыть содержание
- Документ, определяющий принципы проведения процедуры
- Основное содержание бумаги
- Подробное описание и содержание документа
Общие положения Категории субъектов Цели Сроки Права Принципы и условия Обеспечение условий Заключительные положения- Заключение
Документ, определяющий принципы проведения процедуры
Обязанности оператора и права субъекта по этому вопросу регулируются Федеральным законом “О персональных данных” № 152 от 27.07.2006 г.
Основное содержание бумаги
Политика состоит из следующих разделов:
- Общие положения.
- Категории субъектов персональных данных.
- Цели обработки.
- Сроки хранения личной информации.
- Права субъектов ПД.
- Основные принципы и условия действий с личной информацией.
- Обеспечение условий работы с ПД.
- Заключительные положения.
На официальном сайте Роскомнадзора есть рекомендации по составлению Политики.
Подробное описание и содержание документа
Общие положения
- Описать, для чего нужна Политика, какие задачи ставит перед собой организация.
Пример: выполнение норм федерального законодательства, соблюдение законности, конфиденциальности, справедливости, обеспечение безопасности при хранении личной информации.
- Обозначить основные понятия, которые будут использованы в документе, например, персональные данные (ПД), оператор, субъект, обработка ПД и т.д.
- Указать права и обязанности оператора и субъекта /субъектов личной информации.
Существует реестр операторов персональных данных Роскомнадзора и чтобы быть оператором, нужна регистрация в нем. Также иногда в реестр вносятся изменения. И обо всем этом можно прочитать на нашем сайте.Категории субъектов
В этом пункте необходимо указать, кто является владельцем личных сведений, используемых для обработки. Это могут быть:
- Работники (в том числе и бывшие), кандидаты на замещение вакантных должностей или родственники работников.
- Физические лица – клиенты и контрагенты.
- Юридические лица.
Для каждой категории важно обозначить, какая именно информация будет обработана. Если планируется использовать специальные и биометрические персональные сведения, это также необходимо указать.
Цели
Цели обработки должны быть чётко прописаны, без общих слов. Все указанные в Политике цели должны быть законные, конкретные, заранее ограничены и совместимы с тем, какие персональные данные запрашиваются (подробнее о том, что такое персональные данные и кто является оператором, читайте тут).
Действия с личной информацией могут быть регламентированы правовыми актами и учредительными документами компании, фактически осуществляемой деятельностью и бизнес-процессами, протекающими в организации.Сроки
Рекомендовано указывать сроки хранения информации. Сроки хранения документов, в том числе и тех, которые содержат личную информацию владельца, указаны в Приказе Министерства Культуры РФ № 558 от 25.8.2010 г.
Примеры:
- Личные дела и документы сотрудников должны храниться 75 лет.
- Медицинские карты амбулаторных больных – 5 лет.
- Стационарных больных – 25 лет.
Условия для прекращения работы с персональными данными могут быть:
- Достижение целей обработки.
- Истечение срока действия Согласия.
- Отзыв Согласия владельцем информации.
- Выявление неправомерной обработки сведений.
Права
Подробная информация о правах субъекта прописана в Главе 3 федерального закона № 152. Основные моменты, которые стоит отразить в Политике:
- Право на доступ к персональным данным, на подтверждение факта обработки.
- Право на запрос правовых оснований и целей обработки, на сведения об операторе и третьих лицах, которым эта информация может быть раскрыта и на каком основании, источник получения личных данных, сроки их обработки и хранения.
- Право на уточнение персональных данных у оператора, их блокировку или уничтожение в случаях, если они устарели, неактуальны, предоставлены не полностью, получены незаконным путём или не соответствуют целям.
- Право на обжалования действий или бездействий оператора, обращением в уполномоченные службы РФ.
- Право на защиту своих прав и законных интересов, также на возмещение убытков и/или моральную компенсацию в судебном порядке.
Важно! Право человека в отношении своих данных могут быть ограничены согласно действующим федеральным законам.Принципы и условия
Основные принципы работы с личными данными указаны в статье 5 ФЗ 152:
- Законная и справедливая основа.
- Цели – конкретные, заранее определенные, законные. Проводимые операции не могут противоречить целям.
- Для разных целей необходимо собрать разные базы данных. Также запрошенные сведения должны соответствовать целям обработки.
- Сведения должны быть точными, достаточными, если необходимо, актуальными. Оператор принимает меры по их уточнению или уничтожению в случае неактуальности.
- По достижению целей, обрабатываемые данные подлежат обезличиванию или уничтожению.
Перед работой с личной информацией следует получить согласия субъекта на обработку его личных сведений. Необходимо указать, зачем нужна обработка данных. Например, для исполнения договора, в котором субъект может выступать одной стороной или поручителем.
Если необходимо для достижения цели обработки сотрудничество с третьими лицами (в том числе находящихся заграницей), прописываются условия передачи личных сведений в их адрес.
Здесь есть также определенные рекомендации:
- указать точное наименование и местонахождение третьих лиц;
- цели передачи;
- объем сведений, которые будут переданы;
- перечень действий по их обработке;
- условия обработки.
Оператор вправе передать данные органам дознания и следствия, иным уполномоченным инстанциям в соответствие с законодательством Российской Федерации.Обеспечение условий
Оператор может доверить обработку иному лицу или организации только с согласия субъекта персональных данных. В таком случае составляется договор. Третье лицо также обязано соблюдать принципы и условия работы с личными сведениями, предусмотренными федеральным законом № 152.
В поручении оператора должны быть указаны:
- Конкретные действия и операции, которые будут проводится.
- Цели обработки.
- Обязанность соблюдать конфиденциальность, обеспечивать безопасность, защищать обрабатываемые сведения.
Скачать бланк договора о поручении на обработку персональных данных
Ответственность за действие или бездействие третье лицо несёт перед оператором, а он в свою очередь – перед субъектом. Третье лицо перед субъектом не отвечает.
Заключительные положения
В заключительных положениях приводится информация о том, кем разработана Политика, также ФИО и должность ответственного лица. Задача этого сотрудника – следить за соблюдением обозначенного в документе регламента.
- Скачать бланк политики оператора в отношении обработки персональных данных
- Скачать образец политики оператора в отношении обработки персональных данных
Заключение
При несоблюдении условия работы с личной информацией, организация может быть привлечена к административной ответственности. Стоит ли упоминать о том, что такое нарушение плохо сказывается на репутации компании. Поэтому важно уделить должное внимание составлению Политики, и чётко регламентировать все процедуры, связанные с личными сведениями.