6142 0

Как составить политику обработки персональных данных в 2023 году

Персональные данные Делопроизводство

В каждой организации независимо от правовой формы, включая индивидуальных предпринимателей, в случае работы с персданными лиц утверждается политика обработки персональных данных, которая представляет собой общедоступный документ и подлежит размещению на сайте компании. Что это за документ и как правильно его составить.

Содержание

Что такое политика обработки перс. данных

Согласно ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор принимает меры, которые являются необходимыми и достаточными для обеспечения защиты и правомерности работы с персданными, в том числе издание акта, определяющего политику компании по работе с ПД.

Цель политики — обеспечение безопасности прав и свобод субъекта ПД при работе с его перс. данными, включая защиту прав на неприкосновенность личной жизни, личной и семейной тайны.

Политика защиты и обработки ПД — это обязательный акт, если работа с индивидуальными сведениями происходит на сайте оператора. Примером служит получение сведений о клиенте, когда происходит регистрация на сайте компании.

Сейчас практически при любой регистрации на сайте вам предлагается заполнить анкету и оставить согласие на работу со своими индивидуальными данными оператору, будь то интернет-магазины, соцсети, банки, аптеки, онлайн-школы и т. п.

Нарушение порядка работы с ПД влечет за собой привлечение к административной ответственности по ст. 13.11 КоАП РФ, максимальный размер штрафа:

  • для юридических лиц — 75 000 руб.;
  • для должностных лиц — 20 000 руб.;
  • для индивидуальных предпринимателей — 20 000 руб.

Кто составляет политику обработки персданных

Опубликовывают на сайте все организации, которые обрабатывают ПД. Компанию признают оператором, если на ее интернет-странице оставляют:

  • фамилию, имя, отчество;
  • e-mail;
  • номер телефона;
  • иную информацию, позволяющую идентифицировать человека.

Оператором выступает:

  • государственный орган;
  • муниципальный орган;
  • юрлицо;
  • физлицо, —

которое самостоятельно или вместе с иными лицами организует и (или) проводит обработку индивидуальных сведений.

Как правильно составить политику

Перед составлением документа ознакомьтесь с рекомендациями Роскомнадзора на сайте РКН в разделе «Персональные данные».

Политика содержит шесть разделов.

Общие положения

В этой части формулируется назначение политики.

Назначение политики можно сформулировать так: «определение порядка безопасности и обработки перс. данных субъектов, ПД которых подлежат обрабатыванию, на основании полномочий оператора».

Даются определения основных терминов, встречающихся в тексте документа (ПД, обработка ПД, оператор перс. данных, субъект ПД, конфиденциальность и т. д.), перечисляются права и обязанности субъекта персданных и компании.

Цели сбора персданных

Цель указывается предметно и однозначно, исходя из конкретной деятельности организации. Их целесообразно перечислить, не ограничиваясь общими формулировками.

При указании целей исходите из направлений деятельности организации.

Правовые основания обработки

В этом разделе приводим список всех документов, которые являются правовым основанием для работы с ПД в компании:

  • федеральные законы и иные нормативные акты, принятые законодателем, касающиеся регулирования правоотношений по работе с ПД;
  • уставные документы компании;
  • соглашения, заключаемые организацией с субъектами ПД;
  • согласие на обработку перс. данных.
ВАЖНО!
По рекомендации Роскомндзора, Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием для работы с ПД оператором, поскольку регулирует отношения, которые возникают из работы с ПД, и закрепляет требования, которые предъявляются компаниям.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых данных обязаны согласовываться с целями работы с ними.

К категориям субъектов ПД относятся:

  • сотрудники организации, бывшие сотрудники, кандидаты на замещение вакантных должностей, родственники работников;
  • клиенты и контрагенты оператора (физлица);
  • представители и сотрудники клиентов и контрагентов организации (юрлица).

По каждому субъекту с учетом конкретных целей рекомендуется перечислять все обрабатываемые оператором ПД, отдельно выписать все случаи работы специальных категорий и биометрических индивидуальных сведений.

Порядок и условия обработки перс. данных

В этой части документа указываем действия, совершаемые организацией с ПД. Укажите способы и сроки обрабатывания, срок хранения индивидуальных сведений. Рекомендуется прописать условия передачи данных третьим лицам, в том числе находящимся за границей.

Роскомнадзор указывает на необходимость включения положений по соблюдению конфиденциальности и условий о прекращении работы с ПД в случае:

  • отзыва согласия;
  • истечение срока действия согласия.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В этом разделе прописываем, что если оператору станет известно о неточностях в сведениях, имеющихся у организации, оператор:

  • прекращает обрабатывание ПД;
  • актуализирует сведения.

В политику рекомендуется внести регламент(ы) реагирования на запросы (обращения) субъектов перс. данных и их представителей по вопросам неточностей ПД, неправомерности их обработки, отзыва согласия и доступа субъекта перс. данных к своим сведениям, образцы запроса и обращения.

Документ подписывается руководителем организации и действует до утверждения новой редакции. Все работники компании знакомятся с документом под подпись.

Пример заполнения раздела по порядку работы с индивидуальными сведениями, включаемого в политику:

Порядок обработки персональных данных

1. Под безопасностью перс. данных Общество понимает защиту ПД от неправомерного доступа и действий с ними:

  • уничтожение;
  • изменение;
  • блокировка;
  • копирование;
  • распространение;

иных неправомерных действий, касающихся ПД субъекта, и принимает необходимые меры правового, организационного и технического характера.

2. Работа с перс. данными в Обществе осуществляется в рамках норм Конституции Российской Федерации, Федерального закона № 152-ФЗ, подзаконных актов и иных нормативно-правовых актов, а также документов Минцифры России, Роскомнадзора, ФСТЭК России.

3. При работе с ПД Общество придерживается принципов:

  • законности;
  • ограничения обработки достижением конкретных целей;
  • недопущения работы с ПД, несовместимой с целями сбора перс. данных;
  • обеспечения точности индивидуальных сведений, их достаточности, актуальности по отношению к целям работы с ПД, а также принятия мер по уничтожению или уточнению таких сведений;
  • прозрачности работы с ПД;
  • осуществления хранения сведений в соответствии с нормами законодательства.

Вот образец политики защиты персональных данных на сайте компании:

6142
Комментарии
  • 2022-10-28 09:48:02
    С 1 сентября 2022 года изменился порядок сбора и обработки персональных данных физических лиц. Существенным изменением стало введение для работодателей обязанности по уведомлению Роскомнадзора о сборе перс. сведений в рамках трудовых отношений.
Горбикова Светлана
Автор: юрист Горбикова Светлана

Юрист, имею 2 высших образования

74 Публикаций
399 Дней на портале
0 Комментариев
Мотрой Алена
Автор месяца Мотрой Алена
Похожие статьи

Государство в последние годы уделяет пристальное внимание всему, что касается персональных данных. Разбираем порядок, способ и процедуру отзыва согласия на обработку персональных данных у работодателя.

Читать дальше

В современных условиях становится привычным, что при подписании практически любых документов граждане дают согласие на обработку их персональных данных. Не исключение — банки, МФО и другие кредитные организации. Но нередко возникает необходимость отозвать ранее данное разрешение. Разберемся, можно ли оформить отзыв персональных данных из банка или МФ, в каких случаях и как это сделать.

Читать дальше

Детские сады тесно работают с персданными детей, их родителей и своих работников. Обработка проводится исключительно в рамках правового поля. Расскажем, как защищать и хранить документы с персональными данными в ДОУ.

Читать дальше
Вам может быть интересно
Вопросы кадровому совету
Вопросы кадровому совету
Вопросы кадровому совету
Обсудить в соцсетях
+39143
Yuliya Ivanova
Yuliya Ivanova
Yuliya Ivanova
14:17
И подскажите, пожалуйста, карточкам военнообязанных по ф. 10 нужно присваивать регистрационный номер?
Наталья Ульянова
Наталья Ульянова
Наталья Ульянова
14:22
Возможно. Но, как Вы написали, практика неоднозначна, поэтому я предпочту принять от работника оригинал заявления об увольнении в бумажной форме.
Ира Жданова
Ира Жданова
Ира Жданова
14:26
Здравствуйте! Подскажите, пожалуйста, коллеги, у кого в организации коллективный договор, вы составляете бумаги для профсоюзного органа, на основании которой потом делаются пометки «мнение выборного профсоюзного органа учтено»? Для графика отпусков, сменности и пр.
Ольга Журавлева
Ольга Журавлева
Ольга Журавлева
15:34
Добрый день.Скажите, пожалуйста, при привлечении работников по аутсорсингу каким образом проходит процедура предварительного мед. осмотра? Кто даёт направление? Аутсорсинговая компания?
Марина Кондратьева
Марина Кондратьева
Марина Кондратьева
16:41
Мне предлагала подобная компания такие услуги, но в том случае компания предоставляет полностью готовые к работе кадры
Присоединиться к беседе