100 0

Как составить политику обработки персональных данных в 2022 году

Персональные данные Делопроизводство

В каждой организации независимо от правовой формы, включая индивидуальных предпринимателей, в случае работы с персданными лиц утверждается политика обработки персональных данных, которая представляет собой общедоступный документ и подлежит размещению на сайте компании. Что это за документ и как правильно его составить.

Содержание

Что такое политика обработки перс. данных

Согласно ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор принимает меры, которые являются необходимыми и достаточными для обеспечения защиты и правомерности работы с персданными, в том числе издание акта, определяющего политику компании по работе с ПД.

Цель политики — обеспечение безопасности прав и свобод субъекта ПД при работе с его перс. данными, включая защиту прав на неприкосновенность личной жизни, личной и семейной тайны.

Политика защиты и обработки ПД — это обязательный акт, если работа с индивидуальными сведениями происходит на сайте оператора. Примером служит получение сведений о клиенте, когда происходит регистрация на сайте компании.

Сейчас практически при любой регистрации на сайте вам предлагается заполнить анкету и оставить согласие на работу со своими индивидуальными данными оператору, будь то интернет-магазины, соцсети, банки, аптеки, онлайн-школы и т. п.

Нарушение порядка работы с ПД влечет за собой привлечение к административной ответственности по ст. 13.11 КоАП РФ, максимальный размер штрафа:

  • для юридических лиц — 75 000 руб.;
  • для должностных лиц — 20 000 руб.;
  • для индивидуальных предпринимателей — 20 000 руб.

Кто составляет политику обработки персданных

Опубликовывают на сайте все организации, которые обрабатывают ПД. Компанию признают оператором, если на ее интернет-странице оставляют:

  • фамилию, имя, отчество;
  • e-mail;
  • номер телефона;
  • иную информацию, позволяющую идентифицировать человека.

Оператором выступает:

  • государственный орган;
  • муниципальный орган;
  • юрлицо;
  • физлицо, —

которое самостоятельно или вместе с иными лицами организует и (или) проводит обработку индивидуальных сведений.

Как правильно составить политику

Перед составлением документа ознакомьтесь с рекомендациями Роскомнадзора на сайте РКН в разделе «Персональные данные».

Политика содержит шесть разделов.

Общие положения

В этой части формулируется назначение политики.

Назначение политики можно сформулировать так: «определение порядка безопасности и обработки перс. данных субъектов, ПД которых подлежат обрабатыванию, на основании полномочий оператора».

Даются определения основных терминов, встречающихся в тексте документа (ПД, обработка ПД, оператор перс. данных, субъект ПД, конфиденциальность и т. д.), перечисляются права и обязанности субъекта персданных и компании.

Цели сбора персданных

Цель указывается предметно и однозначно, исходя из конкретной деятельности организации. Их целесообразно перечислить, не ограничиваясь общими формулировками.

При указании целей исходите из направлений деятельности организации.

Правовые основания обработки

В этом разделе приводим список всех документов, которые являются правовым основанием для работы с ПД в компании:

  • федеральные законы и иные нормативные акты, принятые законодателем, касающиеся регулирования правоотношений по работе с ПД;
  • уставные документы компании;
  • соглашения, заключаемые организацией с субъектами ПД;
  • согласие на обработку перс. данных.
ВАЖНО!
По рекомендации Роскомндзора, Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием для работы с ПД оператором, поскольку регулирует отношения, которые возникают из работы с ПД, и закрепляет требования, которые предъявляются компаниям.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых данных обязаны согласовываться с целями работы с ними.

К категориям субъектов ПД относятся:

  • сотрудники организации, бывшие сотрудники, кандидаты на замещение вакантных должностей, родственники работников;
  • клиенты и контрагенты оператора (физлица);
  • представители и сотрудники клиентов и контрагентов организации (юрлица).

По каждому субъекту с учетом конкретных целей рекомендуется перечислять все обрабатываемые оператором ПД, отдельно выписать все случаи работы специальных категорий и биометрических индивидуальных сведений.

Порядок и условия обработки перс. данных

В этой части документа указываем действия, совершаемые организацией с ПД. Укажите способы и сроки обрабатывания, срок хранения индивидуальных сведений. Рекомендуется прописать условия передачи данных третьим лицам, в том числе находящимся за границей.

Роскомнадзор указывает на необходимость включения положений по соблюдению конфиденциальности и условий о прекращении работы с ПД в случае:

  • отзыва согласия;
  • истечение срока действия согласия.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В этом разделе прописываем, что если оператору станет известно о неточностях в сведениях, имеющихся у организации, оператор:

  • прекращает обрабатывание ПД;
  • актуализирует сведения.

В политику рекомендуется внести регламент(ы) реагирования на запросы (обращения) субъектов перс. данных и их представителей по вопросам неточностей ПД, неправомерности их обработки, отзыва согласия и доступа субъекта перс. данных к своим сведениям, образцы запроса и обращения.

Документ подписывается руководителем организации и действует до утверждения новой редакции. Все работники компании знакомятся с документом под подпись.

Пример заполнения раздела по порядку работы с индивидуальными сведениями, включаемого в политику:

Порядок обработки персональных данных

1. Под безопасностью перс. данных Общество понимает защиту ПД от неправомерного доступа и действий с ними:

  • уничтожение;
  • изменение;
  • блокировка;
  • копирование;
  • распространение;

иных неправомерных действий, касающихся ПД субъекта, и принимает необходимые меры правового, организационного и технического характера.

2. Работа с перс. данными в Обществе осуществляется в рамках норм Конституции Российской Федерации, Федерального закона № 152-ФЗ, подзаконных актов и иных нормативно-правовых актов, а также документов Минцифры России, Роскомнадзора, ФСТЭК России.

3. При работе с ПД Общество придерживается принципов:

  • законности;
  • ограничения обработки достижением конкретных целей;
  • недопущения работы с ПД, несовместимой с целями сбора перс. данных;
  • обеспечения точности индивидуальных сведений, их достаточности, актуальности по отношению к целям работы с ПД, а также принятия мер по уничтожению или уточнению таких сведений;
  • прозрачности работы с ПД;
  • осуществления хранения сведений в соответствии с нормами законодательства.

Вот образец политики защиты персональных данных на сайте компании:

100
Комментарии
  • 2022-10-28 09:48:02
    С 1 сентября 2022 года изменился порядок сбора и обработки персональных данных физических лиц. Существенным изменением стало введение для работодателей обязанности по уведомлению Роскомнадзора о сборе перс. сведений в рамках трудовых отношений.
Горбикова Светлана
Автор: юрист Горбикова Светлана

2 диплома о высшем образовании, более 16 лет работала в бюджетном учреждении, занималась юридическими, кадровыми, административными вопросами.

19 Публикаций
155 Дней на портале
0 Комментариев
Мотрой Алена
Автор месяца Мотрой Алена
Похожие статьи

Закон о персональных данных (ПД) возлагает на операторов обязанность оценивать возможный ущерб, причиненный в случае нарушения закона. В настоящее время операторы делают это произвольно, но уже с 1 марта 2023 г. вступает в силу приказ Роскомнадзора, устанавливающий единые требования оценки вредности субъекту персональных данных.

Читать дальше

1 марта 2023 года вступает в силу нормативно-правовой акт, регламентирующий оценку ущерба, который может быть причинен при нарушении закона о персональных данных (ПД). По результатам составляется акт оценки вреда субъектам персональных данных, который допускается оформлять в электронном виде.

Читать дальше

Каждый день появляется огромное количество нормативных актов и разъяснений. Охватить все невозможно, но самые важные и полезные изменения в законодательстве за несколько прошедших недель мы собрали в одну статью. Из обзора вы узнаете:

  • как правильно увольнять при сокращении;
  • разъяснения РКН относительно последних изменений в закон «О персональных данных»;
  • мнение Роструда о том, как должна функционировать система электронного кадрового документооборота.
Читать дальше
Вам может быть интересно
Вопросы кадровому совету
Вопросы кадровому совету
Вопросы кадровому совету
Обсудить в соцсетях
+37880
Анастасия Иванова
Анастасия Иванова
Анастасия Иванова
01.02.2023 в 19:07
Отлично , спасибо за информацию !)
Вера Лекомцева
Вера Лекомцева
Вера Лекомцева
01.02.2023 в 20:12
Добрый день. Коллеги, есть у кого-нибудь критерии kpi для специалиста по кдп? Поделитесь пожалуйста
Настя Петренко
Настя Петренко
Настя Петренко
01.02.2023 в 20:39
На сайте ген прокуратуры по Инн организации
Настя Петренко
Настя Петренко
Настя Петренко
01.02.2023 в 20:43
Мараторий лействовавший с 2022 года по проверкам продлили на 2023 год. Почитайте постановления.
Alejandro White
Alejandro White
Alejandro White
01.02.2023 в 22:04
https://vk.com/wall-218621260_1
Присоединиться к беседе