Что такое политика обработки и защиты персональных данных, кем и как она составляется? Образец документов
Персональные данные в Российской Федерации являются особенной категорией информации с утвержденными принципами ее защиты, обработки и распространения.
Любое юридическое лицо, собирающее персональные данные (ПДн) граждан получает статус оператора. На компанию также налагаются обязанности разработать политику защиты сведений персонального характера, изложить все основные принципы на бумаге и в дальнейшем придерживаться условий, целей и способов обработки, указанных в документе.
В материале мы расскажем, как разработать политику ПДн для предприятия и для интернет-сайта, какие положения стоит включить в документ в первом или во втором случае.
Скрыть содержание
- Кто составляет?
- Содержание
- Пошаговая инструкция по написанию документа
Для сайта Для медицинской организацииКто составляет?
Согласно положениям Федерального закона «О персональных данных» ФЗ-152 от 27 июля 2006 года, любое лицо, собирающее и обрабатывающее ПДн граждан (клиентов), должно составить Политику защиты персональных данных для обеспечения прав и свобод гражданина на всех этапах работы с конфиденциальными сведениями.
Политика учитывает то, обработка ПДн с любой целью не должна нарушать права на неприкосновенность частной, личной и семейной тайны. Роскомнадзор обязывает юридических лиц и частных предпринимателей информировать граждан о всех изменениях в политике и давать возможность ознакомиться с полным текстом документа всем желающим потенциальным и действующим клиентам.
Содержание
- Законодательные акты, на основе которых составлен документ.
- Сфера действия документа.
- Особенности сбора.
- Цели обработки.
- Передача ПДн (если предусмотрена).
- Принципы и условия обработки персональной информации.
- Хранение ПДн у оператора.
- Проверка и изменение сведений персонального характера.
- Права субъекта.
- Обеспечение безопасности конфиденциальных данных.
Пошаговая инструкция по написанию документа
Для сайта
- Сделать выборку законодательных актов на основе которых, будет составлен документ.
Первой строкой советуем вписать Конституцию Российской Федерации, кроме этого, указать, что Политика ПДн опирается на:
- закон «О персональных данных»;
- указ Президента РФ от 06 марта 1997 «Об утверждении Перечня сведений конфиденциального характера»;
- постановление кабинета министров от 15 сентября 2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- приказ Роскомнадзора от 05 сентября 2013 года «Об утверждении требований и методов по обезличиванию персональных данных»;
- нормативные акты, предъявляющие требования по безопасности и функционированию автоматизированных систем ПДн.
- Определить сферу действия документа.
Интернет-ресурс, собирающий ПДн в режиме онлайн, обязуется выполнять Положения персональных данных в отношении информации, являющейся персональной на всех этапах обработки, включая установки сроков хранения и уничтожения данных.
- Указать условия сбора ПДн пользователей.
Оператор должен в обязательном порядке отобразить предупреждение о том, что на следующей странице потребуется указать о себе персональную информацию, дав клиенту возможность отказаться или принять данное требование.
На этом же этапе предусмотрена возможность для пользователя ознакомиться с документом «Политика защиты ПДн».- Определить цели обработки ПДн.
Обрабатывать информацию позволяется только с законными целями. Сайт интернет-магазина имеет возможность собирать данные о пользователях для выполнения предусмотренных его статусом функций (оформление заказов), формирования статистики продаж, составления аналитических отчетов, заключения договоров.
- Указать, возможность или невозможность передачи ПДн.
Если в процессе обработки оператор нуждается в необходимости передать их третьему лицу (например, заказав аналитическое исследование успешности интернет-магазина в разных регионах у специализированной компании), в документе укажите, что данная передача будет произведена на принципах конфиденциальности, указанных в законе «О персональных данных», или перед передачей планируется провести обезличивание сведений.
- Описать принципы и условия обработки информации.
Рекомендуем указать следующие принципы, на основе которых выполняется обработка:
- На законной и справедливой основе.
- Ограничена целями, указанными и определенными ранее.
- С обработкой данных, которые отвечают целям сбора.
- С разделением данных, собранных для удовлетворения разных целей.
- Соответствующим целям обработки объёмом ПДн.
- С обеспечением точности и достаточности информации.
- Хранение обеспечивается в форме, позволяющей определить субъект ПДн.
- Определить условия хранение ПДн у оператора.
Хранение должно осуществляться только на территории Российской Федерации.Оператор обязуется выполнять весь комплекс мер для защиты информации, своевременно реагировать на потенциальные угрозы, обеспечивать ограниченный доступ к конфиденциальным сведениям.
- Указать порядок проверки и изменений сведений персонального характера.
Оператор в лице интернет-портала обязуется своевременно актуализировать и менять ПДн, если возникнет необходимость, в сроки, необходимые для выполнения целей сборы сведений.
- Описать права субъекта ПДн:
- Получить копию документа, содержащего ПДн субъекта.
- В любой момент отозвать разрешение на обработку информации.
- Уточнить и актуализировать ПДн.
- Обеспечение безопасности конфиденциальных данных.
Оператор обязуется осуществлять технические и организационные меры, по предотвращению несанкционированного доступа в систему, где хранятся конфиденциальные сведения.
- Назначить должностных лиц, ответственных за обработку.
- Ограничить доступ к системы обработки сведений.
- Организовать учет всех носителей с ПДн.
- Определить модель потенциальных угроз и принять меры для их предотвращения.
- Использовать средства защиты информации.
- Проверять готовность и эффективность средств защиты.
- Скачать бланк документа о политике защиты и обработки персональных данных
- Скачать образец документа о политике обработки и защиты персональных данных для сайта
Прочтя наши отдельные статьи о защите ПД, вы сможете узнать:
- Какие документы потребуются для организации защиты ПД клиентов и сотрудников организации?
- Что такое система защиты персональных данных?
- Как внедрить и реализовать защиту ПД в различных организациях?
- Какие существуют органы по защите прав субъектов персональных данных?
Для медицинской организации
- Сделать выборку законодательных актов на основе которых, будет составлен документ.
Медицинское учреждение работает не только с данными клиентов, но с ПДн сотрудников, поэтому в первый пункт помимо указанных в статье стоит добавить Трудовой кодекс.
- Определить сферу действия документа.
Политика защиты ПДн остается действительной для всех данных, собранных в рамках осуществления целей, стоящих перед медицинским учреждением.
- Указать условия сбора ПДн пользователей.
Поскольку медицинское учреждение работает офлайн, советуем в Политике отобразить размещение документа на сайте компании и его физическую копию, доступную для ознакомления, в стенах учреждения по требованию клиента/пациента.- Определить цели сбора информации.
ПДн подлежат сбору только для удовлетворения положенных на организацию в связи с ее статусом функций – оказания медицинской помощи и выполнения трудового контракта.
- Указать, возможность или невозможность передачи ПДн.
При передачи данных пациентов должна соблюдаться врачебная тайна, кроме этого, на любое третье лицо в информационных взаимоотношениях налагаются обязанности по соблюдению конфиденциальности.
- Описать принципы и условия обработки информации.
Советуем воспользоваться указанными выше (для сайта) принципами, они считаются общими и не теряют актуальности для медицинского учреждения.
- Определить условия хранение ПДн у оператора.
Главным условием остается выполнение требования по физическому расположению серверов и любых других носителей с конфиденциальной информацией на территории России.
- Указать порядок проверки и изменений сведений персонального характера.
На оператора ложатся обязательства следит за тем, чтобы информация оставалась актуальной, также компания обязуются уточнять данные по запросам клиентов и сотрудников.
- Описать права субъекта ПДн.
Как и в случае с интернет-сайтом, основные права потребителя заключаются в доступе к информации с его ПДн, возможности запретить использование информации, уточнить его.
- Обеспечение безопасности конфиденциальных данных.
Оператор обязуется моделировать потенциальные риски и реализовывать мероприятия по их устранению, ограничивать доступ к информации третьих лиц и хранить данные в соответствии с законом «О персональных данных» – в отдельной комнате с ограниченным доступом.
- Скачать бланк положения об организации и проведении работ по обеспечению безопасности персональных данных медицинской организации
- Скачать образец политики обработки и защиты персональных данных медицинской организации
Как видите, документ включает в себя все особенности обработки ПДн, поэтому подойти к его составлению советуем крайне внимательно. В зависимости от профиля компании, в политику могут быть включены дополнительные пункты, но обязательными пунктами являются указанные в материале.
Грамотно составить документ под силу оператору, не привлекая к делу юристов. Главное, опираться на действующие законодательные акты, и все получится.