Что такое политика обработки и защиты персональных данных, кем и как она составляется? Образец документов

Персональные данные в Российской Федерации являются особенной категорией информации с утвержденными принципами ее защиты, обработки и распространения.

Любое юридическое лицо, собирающее персональные данные (ПДн) граждан получает статус оператора. На компанию также налагаются обязанности разработать политику защиты сведений персонального характера, изложить все основные принципы на бумаге и в дальнейшем придерживаться условий, целей и способов обработки, указанных в документе.

В материале мы расскажем, как разработать политику ПДн для предприятия и для интернет-сайта, какие положения стоит включить в документ в первом или во втором случае.

Скрыть содержание

Кто составляет?

Согласно положениям Федерального закона «О персональных данных» ФЗ-152 от 27 июля 2006 года, любое лицо, собирающее и обрабатывающее ПДн граждан (клиентов), должно составить Политику защиты персональных данных для обеспечения прав и свобод гражданина на всех этапах работы с конфиденциальными сведениями.

Политика учитывает то, обработка ПДн с любой целью не должна нарушать права на неприкосновенность частной, личной и семейной тайны. Роскомнадзор обязывает юридических лиц и частных предпринимателей информировать граждан о всех изменениях в политике и давать возможность ознакомиться с полным текстом документа всем желающим потенциальным и действующим клиентам.

Содержание

  • Законодательные акты, на основе которых составлен документ.
  • Сфера действия документа.
  • Особенности сбора.
  • Цели обработки.
  • Передача ПДн (если предусмотрена).
  • Принципы и условия обработки персональной информации.
  • Хранение ПДн у оператора.
  • Проверка и изменение сведений персонального характера.
  • Права субъекта.
  • Обеспечение безопасности конфиденциальных данных.

Пошаговая инструкция по написанию документа

Для сайта

  1. Сделать выборку законодательных актов на основе которых, будет составлен документ.

    Первой строкой советуем вписать Конституцию Российской Федерации, кроме этого, указать, что Политика ПДн опирается на:

  2. Определить сферу действия документа.

    Интернет-ресурс, собирающий ПДн в режиме онлайн, обязуется выполнять Положения персональных данных в отношении информации, являющейся персональной на всех этапах обработки, включая установки сроков хранения и уничтожения данных.

  3. Указать условия сбора ПДн пользователей.

    Оператор должен в обязательном порядке отобразить предупреждение о том, что на следующей странице потребуется указать о себе персональную информацию, дав клиенту возможность отказаться или принять данное требование.

    На этом же этапе предусмотрена возможность для пользователя ознакомиться с документом «Политика защиты ПДн».
  4. Определить цели обработки ПДн.

    Обрабатывать информацию позволяется только с законными целями. Сайт интернет-магазина имеет возможность собирать данные о пользователях для выполнения предусмотренных его статусом функций (оформление заказов), формирования статистики продаж, составления аналитических отчетов, заключения договоров.

  5. Указать, возможность или невозможность передачи ПДн.

    Если в процессе обработки оператор нуждается в необходимости передать их третьему лицу (например, заказав аналитическое исследование успешности интернет-магазина в разных регионах у специализированной компании), в документе укажите, что данная передача будет произведена на принципах конфиденциальности, указанных в законе «О персональных данных», или перед передачей планируется провести обезличивание сведений.

  6. Описать принципы и условия обработки информации.

    Рекомендуем указать следующие принципы, на основе которых выполняется обработка:

    • На законной и справедливой основе.
    • Ограничена целями, указанными и определенными ранее.
    • С обработкой данных, которые отвечают целям сбора.
    • С разделением данных, собранных для удовлетворения разных целей.
    • Соответствующим целям обработки объёмом ПДн.
    • С обеспечением точности и достаточности информации.
    • Хранение обеспечивается в форме, позволяющей определить субъект ПДн.
  7. Определить условия хранение ПДн у оператора.

    Хранение должно осуществляться только на территории Российской Федерации.

    Оператор обязуется выполнять весь комплекс мер для защиты информации, своевременно реагировать на потенциальные угрозы, обеспечивать ограниченный доступ к конфиденциальным сведениям.

  8. Указать порядок проверки и изменений сведений персонального характера.

    Оператор в лице интернет-портала обязуется своевременно актуализировать и менять ПДн, если возникнет необходимость, в сроки, необходимые для выполнения целей сборы сведений.

  9. Описать права субъекта ПДн:

    • Получить копию документа, содержащего ПДн субъекта.
    • В любой момент отозвать разрешение на обработку информации.
    • Уточнить и актуализировать ПДн.
  10. Обеспечение безопасности конфиденциальных данных.

    Оператор обязуется осуществлять технические и организационные меры, по предотвращению несанкционированного доступа в систему, где хранятся конфиденциальные сведения.

    • Назначить должностных лиц, ответственных за обработку.
    • Ограничить доступ к системы обработки сведений.
    • Организовать учет всех носителей с ПДн.
    • Определить модель потенциальных угроз и принять меры для их предотвращения.
    • Использовать средства защиты информации.
    • Проверять готовность и эффективность средств защиты.
Прочтя наши отдельные статьи о защите ПД, вы сможете узнать:

Для медицинской организации

  1. Сделать выборку законодательных актов на основе которых, будет составлен документ.

    Медицинское учреждение работает не только с данными клиентов, но с ПДн сотрудников, поэтому в первый пункт помимо указанных в статье стоит добавить Трудовой кодекс.

  2. Определить сферу действия документа.

    Политика защиты ПДн остается действительной для всех данных, собранных в рамках осуществления целей, стоящих перед медицинским учреждением.

  3. Указать условия сбора ПДн пользователей.

    Поскольку медицинское учреждение работает офлайн, советуем в Политике отобразить размещение документа на сайте компании и его физическую копию, доступную для ознакомления, в стенах учреждения по требованию клиента/пациента.
  4. Определить цели сбора информации.

    ПДн подлежат сбору только для удовлетворения положенных на организацию в связи с ее статусом функций – оказания медицинской помощи и выполнения трудового контракта.

  5. Указать, возможность или невозможность передачи ПДн.

    При передачи данных пациентов должна соблюдаться врачебная тайна, кроме этого, на любое третье лицо в информационных взаимоотношениях налагаются обязанности по соблюдению конфиденциальности.

  6. Описать принципы и условия обработки информации.

    Советуем воспользоваться указанными выше (для сайта) принципами, они считаются общими и не теряют актуальности для медицинского учреждения.

  7. Определить условия хранение ПДн у оператора.

    Главным условием остается выполнение требования по физическому расположению серверов и любых других носителей с конфиденциальной информацией на территории России.

  8. Указать порядок проверки и изменений сведений персонального характера.

    На оператора ложатся обязательства следит за тем, чтобы информация оставалась актуальной, также компания обязуются уточнять данные по запросам клиентов и сотрудников.

  9. Описать права субъекта ПДн.

    Как и в случае с интернет-сайтом, основные права потребителя заключаются в доступе к информации с его ПДн, возможности запретить использование информации, уточнить его.

  10. Обеспечение безопасности конфиденциальных данных.

    Оператор обязуется моделировать потенциальные риски и реализовывать мероприятия по их устранению, ограничивать доступ к информации третьих лиц и хранить данные в соответствии с законом «О персональных данных» – в отдельной комнате с ограниченным доступом.

Как видите, документ включает в себя все особенности обработки ПДн, поэтому подойти к его составлению советуем крайне внимательно. В зависимости от профиля компании, в политику могут быть включены дополнительные пункты, но обязательными пунктами являются указанные в материале.

Грамотно составить документ под силу оператору, не привлекая к делу юристов. Главное, опираться на действующие законодательные акты, и все получится.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий