Все о политике оператора в отношении обработки персональных данных: образец составления и содержание документа

Согласно законодательству Российской Федерации любому государственному или муниципальному органу, физическому или юридическому лицу, которые осуществляют операции с личными сведениями человека, необходимо иметь отдельный документ, регламентирующий действия с этими сведениями. Он называется “Политика оператора в отношении обработки и защиты персональных данных субъекта”. Для исключения проблем с Роскомнадзором и другими службами РФ важно понимать, для чего этот документ нужен, и как правильно его составить.

Скрыть содержание

Документ, определяющий принципы проведения процедуры

Обязанности оператора и права субъекта по этому вопросу регулируются Федеральным законом “О персональных данных” № 152 от 27.07.2006 г.

Основное содержание бумаги

Политика состоит из следующих разделов:

  1. Общие положения.
  2. Категории субъектов персональных данных.
  3. Цели обработки.
  4. Сроки хранения личной информации.
  5. Права субъектов ПД.
  6. Основные принципы и условия действий с личной информацией.
  7. Обеспечение условий работы с ПД.
  8. Заключительные положения.

На официальном сайте Роскомнадзора есть рекомендации по составлению Политики.

Подробное описание и содержание документа

Общие положения

  • Описать, для чего нужна Политика, какие задачи ставит перед собой организация.

    Пример: выполнение норм федерального законодательства, соблюдение законности, конфиденциальности, справедливости, обеспечение безопасности при хранении личной информации.

  • Обозначить основные понятия, которые будут использованы в документе, например, персональные данные (ПД), оператор, субъект, обработка ПД и т.д.
  • Указать права и обязанности оператора и субъекта /субъектов личной информации.
Существует реестр операторов персональных данных Роскомнадзора и чтобы быть оператором, нужна регистрация в нем. Также иногда в реестр вносятся изменения. И обо всем этом можно прочитать на нашем сайте.

Категории субъектов

В этом пункте необходимо указать, кто является владельцем личных сведений, используемых для обработки. Это могут быть:

  • Работники (в том числе и бывшие), кандидаты на замещение вакантных должностей или родственники работников.
  • Физические лица – клиенты и контрагенты.
  • Юридические лица.

Для каждой категории важно обозначить, какая именно информация будет обработана. Если планируется использовать специальные и биометрические персональные сведения, это также необходимо указать.

Цели

Цели обработки должны быть чётко прописаны, без общих слов. Все указанные в Политике цели должны быть законные, конкретные, заранее ограничены и совместимы с тем, какие персональные данные запрашиваются (подробнее о том, что такое персональные данные и кто является оператором, читайте тут).

Действия с личной информацией могут быть регламентированы правовыми актами и учредительными документами компании, фактически осуществляемой деятельностью и бизнес-процессами, протекающими в организации.

Сроки

Рекомендовано указывать сроки хранения информации. Сроки хранения документов, в том числе и тех, которые содержат личную информацию владельца, указаны в Приказе Министерства Культуры РФ № 558 от 25.8.2010 г.

Примеры:

  • Личные дела и документы сотрудников должны храниться 75 лет.
  • Медицинские карты амбулаторных больных – 5 лет.
  • Стационарных больных – 25 лет.

Условия для прекращения работы с персональными данными могут быть:

  • Достижение целей обработки.
  • Истечение срока действия Согласия.
  • Отзыв Согласия владельцем информации.
  • Выявление неправомерной обработки сведений.

Права

Подробная информация о правах субъекта прописана в Главе 3 федерального закона № 152. Основные моменты, которые стоит отразить в Политике:

  • Право на доступ к персональным данным, на подтверждение факта обработки.
  • Право на запрос правовых оснований и целей обработки, на сведения об операторе и третьих лицах, которым эта информация может быть раскрыта и на каком основании, источник получения личных данных, сроки их обработки и хранения.
  • Право на уточнение персональных данных у оператора, их блокировку или уничтожение в случаях, если они устарели, неактуальны, предоставлены не полностью, получены незаконным путём или не соответствуют целям.
  • Право на обжалования действий или бездействий оператора, обращением в уполномоченные службы РФ.
  • Право на защиту своих прав и законных интересов, также на возмещение убытков и/или моральную компенсацию в судебном порядке.
Важно! Право человека в отношении своих данных могут быть ограничены согласно действующим федеральным законам.

Принципы и условия

Основные принципы работы с личными данными указаны в статье 5 ФЗ 152:

  • Законная и справедливая основа.
  • Цели – конкретные, заранее определенные, законные. Проводимые операции не могут противоречить целям.
  • Для разных целей необходимо собрать разные базы данных. Также запрошенные сведения должны соответствовать целям обработки.
  • Сведения должны быть точными, достаточными, если необходимо, актуальными. Оператор принимает меры по их уточнению или уничтожению в случае неактуальности.
  • По достижению целей, обрабатываемые данные подлежат обезличиванию или уничтожению.

Перед работой с личной информацией следует получить согласия субъекта на обработку его личных сведений. Необходимо указать, зачем нужна обработка данных. Например, для исполнения договора, в котором субъект может выступать одной стороной или поручителем.

Если необходимо для достижения цели обработки сотрудничество с третьими лицами (в том числе находящихся заграницей), прописываются условия передачи личных сведений в их адрес.

Здесь есть также определенные рекомендации:

  • указать точное наименование и местонахождение третьих лиц;
  • цели передачи;
  • объем сведений, которые будут переданы;
  • перечень действий по их обработке;
  • условия обработки.
Оператор вправе передать данные органам дознания и следствия, иным уполномоченным инстанциям в соответствие с законодательством Российской Федерации.

Обеспечение условий

Оператор может доверить обработку иному лицу или организации только с согласия субъекта персональных данных. В таком случае составляется договор. Третье лицо также обязано соблюдать принципы и условия работы с личными сведениями, предусмотренными федеральным законом № 152.

В поручении оператора должны быть указаны:

  1. Конкретные действия и операции, которые будут проводится.
  2. Цели обработки.
  3. Обязанность соблюдать конфиденциальность, обеспечивать безопасность, защищать обрабатываемые сведения.

Скачать бланк договора о поручении на обработку персональных данных

Ответственность за действие или бездействие третье лицо несёт перед оператором, а он в свою очередь – перед субъектом. Третье лицо перед субъектом не отвечает.

Заключительные положения

В заключительных положениях приводится информация о том, кем разработана Политика, также ФИО и должность ответственного лица. Задача этого сотрудника – следить за соблюдением обозначенного в документе регламента.

Заключение

При несоблюдении условия работы с личной информацией, организация может быть привлечена к административной ответственности. Стоит ли упоминать о том, что такое нарушение плохо сказывается на репутации компании. Поэтому важно уделить должное внимание составлению Политики, и чётко регламентировать все процедуры, связанные с личными сведениями.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий