Как составить политику обработки персональных данных в 2023 году

Что такое политика обработки перс. данных

Согласно ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор принимает меры, которые являются необходимыми и достаточными для обеспечения защиты и правомерности работы с персданными, в том числе издание акта, определяющего политику компании по работе с ПД.

Цель политики — обеспечение безопасности прав и свобод субъекта ПД при работе с его перс. данными, включая защиту прав на неприкосновенность личной жизни, личной и семейной тайны.

Политика защиты и обработки ПД — это обязательный акт, если работа с индивидуальными сведениями происходит на сайте оператора. Примером служит получение сведений о клиенте, когда происходит регистрация на сайте компании.

Сейчас практически при любой регистрации на сайте вам предлагается заполнить анкету и оставить согласие на работу со своими индивидуальными данными оператору, будь то интернет-магазины, соцсети, банки, аптеки, онлайн-школы и т. п.

Нарушение порядка работы с ПД влечет за собой привлечение к административной ответственности по ст. 13.11 КоАП РФ, максимальный размер штрафа:

• для юридических лиц — 75 000 руб.;
• для должностных лиц — 20 000 руб.;
• для индивидуальных предпринимателей — 20 000 руб.

Кто составляет политику обработки персданных

Опубликовывают на сайте все организации, которые обрабатывают ПД. Компанию признают оператором, если на ее интернет-странице оставляют:

• фамилию, имя, отчество;
• e-mail;
• номер телефона;
• иную информацию, позволяющую идентифицировать человека.

Оператором выступает:

• государственный орган;
• муниципальный орган;
• юрлицо;
• физлицо, —

которое самостоятельно или вместе с иными лицами организует и (или) проводит обработку индивидуальных сведений.

Как правильно составить политику

Перед составлением документа ознакомьтесь с рекомендациями Роскомнадзора на сайте РКН в разделе «Персональные данные».

Политика содержит шесть разделов.

Общие положения

В этой части формулируется назначение политики.

Назначение политики можно сформулировать так: «определение порядка безопасности и обработки перс. данных субъектов, ПД которых подлежат обрабатыванию, на основании полномочий оператора».

Даются определения основных терминов, встречающихся в тексте документа (ПД, обработка ПД, оператор перс. данных, субъект ПД, конфиденциальность и т. д.), перечисляются права и обязанности субъекта персданных и компании.

Цели сбора персданных

Цель указывается предметно и однозначно, исходя из конкретной деятельности организации. Их целесообразно перечислить, не ограничиваясь общими формулировками.

При указании целей исходите из направлений деятельности организации.

Правовые основания обработки

В этом разделе приводим список всех документов, которые являются правовым основанием для работы с ПД в компании:

• федеральные законы и иные нормативные акты, принятые законодателем, касающиеся регулирования правоотношений по работе с ПД;
• уставные документы компании;
• соглашения, заключаемые организацией с субъектами ПД;
• согласие на обработку перс. данных.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых данных обязаны согласовываться с целями работы с ними.

К категориям субъектов ПД относятся:

• сотрудники организации, бывшие сотрудники, кандидаты на замещение вакантных должностей, родственники работников;
• клиенты и контрагенты оператора (физлица);
• представители и сотрудники клиентов и контрагентов организации (юрлица).

По каждому субъекту с учетом конкретных целей рекомендуется перечислять все обрабатываемые оператором ПД, отдельно выписать все случаи работы специальных категорий и биометрических индивидуальных сведений.

Порядок и условия обработки перс. данных

В этой части документа указываем действия, совершаемые организацией с ПД. Укажите способы и сроки обрабатывания, срок хранения индивидуальных сведений. Рекомендуется прописать условия передачи данных третьим лицам, в том числе находящимся за границей.

Роскомнадзор указывает на необходимость включения положений по соблюдению конфиденциальности и условий о прекращении работы с ПД в случае:

• отзыва согласия;
• истечение срока действия согласия.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В этом разделе прописываем, что если оператору станет известно о неточностях в сведениях, имеющихся у организации, оператор:

• прекращает обрабатывание ПД;
• актуализирует сведения.

В политику рекомендуется внести регламент(ы) реагирования на запросы (обращения) субъектов перс. данных и их представителей по вопросам неточностей ПД, неправомерности их обработки, отзыва согласия и доступа субъекта перс. данных к своим сведениям, образцы запроса и обращения.

Документ подписывается руководителем организации и действует до утверждения новой редакции. Все работники компании знакомятся с документом под подпись.

Пример заполнения раздела по порядку работы с индивидуальными сведениями, включаемого в политику:

Вот образец политики защиты персональных данных на сайте компании: