Политика в отношении обработки персональных данных

Кто является оператором персональных данных?

Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;

  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

  • сделанных субъектом персональных данных общедоступными;

  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;

  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

  • обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.

Кто и зачем разрабатывает политику обработки персданных

требует наличия в организациях документа, закрепляющего правила, способы и цели сбора и обработки персданных.

Роскомнадзор — это ведомство, которое следит за соблюдением положений закона № 152. Ведомство составило рекомендации по разработке положения о персональных данных (ПД).

Каждая компания получает ПД от работников, клиентов, контрагентов и пр. граждан, поэтому организациям необходимо иметь правила работы с ПД внутри предприятия.

Разработку положения о ПД поручают юристу или лицу, ответственному за работу с ПД на предприятии.

Документ доводят со сведения сотрудников, работающих с ПД, при наличии сайта организации с формой для сбора ПД — размещают на сайте. Необходимо обеспечить доступ граждан к политике, именно для этого документ хранят в открытом доступе в офисах или на информационных стендах.

Пошаговая инструкция по составлению для компании

Как было сказано ранее, каждой компании согласно законодательству необходимо иметь собственную политику о ПД.

Для того чтобы составить политику обработки, следует пользоваться типовой схемой создания этого вида документа. В самом начале должна находиться титульная страница, в шапке которой присутствуют должность, ФИО и подпись руководителя, печать организации и гриф утверждения. Это обязательные составляющие политики о персональных сведениях.

Пункты документа, которые следует указать:

Определение терминов. В каждом документе такого типа требуется вначале указать перечень терминов и определений, используемых в тексте.
Общие положения

К примеру, для какой компании применяется документ, информация о согласии на обработку и достоверности данных.
Предмет политики конфиденциальности.
ВНИМАНИЕ! В структуре этого пункта прописываются условия предоставления безопасности для личных данных пользователей, и помимо этого фиксируются опции, связанные с неразглашением информации.

Цели сбора информации. Здесь определяются цели политики о персональных данных организации.
Способы и сроки обработки данных.
Права и обязанности сторон.
Ответственность сторон.
Разрешение споров.
Дополнительные условия

На примере ООО «МПК» (Многопрофильная процессинговая компания), это могут быть параметры изменения политики без уведомления клиента, вопросы, касающиеся тех. поддержки; адрес, где размещается действующий документ.

  • Скачать бланк политики по обработке персональных данных
  • Скачать образец политики по обработке персональных данных

Что это такое?

Политика персональных данных (ППД) организации в отношении обработки и сохранения конфиденциальности сведений – это документ, в который структурно входит несколько разделов. В этих разделах прописывается информация о субъекте, проводящем обработку собранной информации, также о третьих лицах, принимающих участие в текущем процессе, процедура защиты информации, ссылки на правовую составляющую, права носителей личных сведений.

ППД дает возможность реализовать принципы законности, конфиденциальности и безопасности информации.

СПРАВКА! Существует ряд обязательных к пониманию и изучению понятий, связанных с действием политики.

К таким понятиям относят:

  1. Персональные данные – любые сведения, относящиеся прямо или косвенно к физическому лицу.
  2. Оператор – государственный, муниципальный орган, юр. или физ. лицо, организующее обработку и сбор ПД, формирующее цели и состав обрабатываемых данных, а также совершающее действия в отношении персональных сведений.
  3. Обработка персональных данных – любые манипуляции, производящиеся при помощи автоматизированных систем или без них, с личными сведениями пользователей.

Подготовка документа для сайта

Документ «Политика в отношении обработки персональных данных» интернет-сайта необходимо публиковать в открытом доступе. В тексте документа в обязательном порядке стоит упомянуть следующее:

  • как и для чего производится создание базы данных персональной информации;
  • способы применения этой информации;
  • процессы, связанные с наличием файлов cookies;
  • пути передачи данных другим компаниям и предприятиям;

Следует помнить о том, что важно подписать документ на согласие для обработки личных сведений на сайте с компаниями, которые сотрудничают с вашей организацией (доставщик, банк, хостер, поставщик услуг и т.д.), а также позаботиться о безопасности данных с помощью специального пункта в соглашении

период хранения информации и меры, предпринимаемые для обеспечения ее безопасности;
меры предосторожности в обращении с персональной информацией;
сведения о контактных лицах администрации сайта, возможные корректурные опции, вносимые в ППД.

  • Скачать бланк политики по защите персональных данных для сайта
  • Скачать образец политики по защите персональных данных для сайта

Администраторам сайт важно периодически проверять почтовый ящик, во избежание пропуска клиентского отклика. Стоит сказать, что для политики для сайта, важно помнить о ссылке на документ ППД, которая должна быть размещена на главной странице ресурса

Данный факт необходим, для того чтобы каждый посетитель сайта или ревизирующий орган мог видеть, что информация находится в открытом доступе, и поиск ее не занимает много времени. Зачастую достаточно оформить общую ссылку в нижней части страницы. Неотъемлемой составляющей интернет-сайта является дисклеймер. Дисклеймер представляет собой всплывающее предупреждение о сборе статистики на портале.

Речь идет о cookie-файлах и геолокационных данных. Конкретных указаний и рекомендаций на присутствие дисклеймера нигде не прописано, но большинство специалистов советуют его устанавливать. Для зрительной безопасности пользователей сайта дисклеймер не должен резко бросаться в глаза, наилучший выход – его незаметность.

Важный пункт данного закона, который обязателен для исполнения: физическое расположение хостинга ресурса. Эта информация доступна в отделе технической поддержки портала. По последним параметрам, хостинг обязан находиться в пределах территории Российской Федерации, для хранения данных в компетенции российских служб. В ситуации, когда хостинг расположен за границей, нужно осуществить переход на другой хостинг.

ВАЖНО! Владельцу ресурса необходима регистрация в качестве оператора в структурном подразделении Роскомнадзора.

Данная процедура доступна на официальном портале организации, в специальной форме уведомления. Процедура требует составления определенного пакета документов.

Важно помнить о биометрических параметрах особых категорий пользователей. При условии, что деятельность сайта предполагает работу с информацией такого типа

Согласие пользователя ресурса фиксируется только в письменной форме.

Подробнее о том, что представляет собой и как составляется политика обработки персональных данных для сайта, читайте в этом материале.

Принципы и цели обработки персональных данных

4.1. ПАО «Газпром», являясь оператором персональных данных, осуществляет обработку персональных данных работников ПАО «Газпром» и других субъектов персональных данных, не состоящих с ПАО «Газпром» в трудовых отношениях.

4.2. Обработка персональных данных в ПАО «Газпром» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ПАО «Газпром» и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

  • обработка персональных данных осуществляется в ПАО «Газпром» на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
  • при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. ПАО «Газпром» принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.3. Персональные данные обрабатываются в ПАО «Газпром» в целях:

  • обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов ПАО «Газпром»;
  • осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ПАО «Газпром», в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
  • регулирования трудовых отношений с работниками ПАО «Газпром» (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
  • предоставления работникам ПАО «Газпром» и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
  • защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
  • подготовки, заключения, исполнения и прекращения договоров с контрагентами;
  • обеспечения пропускного и внутриобъектового режимов на объектах ПАО «Газпром»;
  • формирования справочных материалов для внутреннего информационного обеспечения деятельности ПАО «Газпром», его филиалов и представительств, а также дочерних обществ и организаций ПАО «Газпром»;
  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • осуществления прав и законных интересов ПАО «Газпром» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ПАО «Газпром», или третьих лиц либо достижения общественно значимых целей;
  • в иных законных целях.

Как разработать политику обработки персданных

Роскомнадзор рекомендует включить в документ шесть блоков.

1. Вводная часть

В этом разделе указывают, для чего организация осуществляет сбор ПД. В блок включают термины, которые встречаются по тексту, перечисляют права и обязанности оператора и субъекта ПД.

2. Цели сбора данных

В соответствии со ст. 5 ФЗ № 152 оператору необходимо определить цели сбора и обработки ПД. Их формируют с учетом:

  • положений локальных нормативных актов;
  • специфики деятельности организации;
  • требований бизнес-процессов;
  • особенностей программного обеспечения на предприятии.

3. Основания работы с ПД

Правовое регулирование работы с данными осуществляет не только ФЗ № 152, в положение необходимо включить в качестве правовой основы:

  • уставные документы;
  • локальные нормативные акты (должностные инструкции, регламенты доступа к информации и пр.);
  • договоры, на основании которых происходит взаимодействие оператора и субъекта;
  • согласия субъектов на доступ к данным и пр.

4. Перечень, объем данных и категории субъектов

Объем обрабатываемой информации необходимо сопоставить с целями. Значение должно соответствовать целям: для связи с клиентом в целях оформления заявки достаточно номера телефона и имени, не следует запрашивать паспортные данные, прописку и пр.

Категории субъектов перечисляют в зависимости от целей получения данных:

  • сотрудники;
  • клиенты;
  • кандидаты на вакантные должности;
  • контрагенты и пр.

Объем и цели указывают для каждой категории субъектов.

5. Порядок работы с ПД

В этом разделе указывают перечень действий, которые ответственный работник совершает при получении и работе с информацией. Эту информацию допустимо взять из должностной инструкции или положения о работе с ПД в организации.

Необходимо детально прописать цепочку действий сотрудника от запроса информации до прекращения работы с данными.

ВАЖНО!
Включите раздел с требованиями к хранению полученной информации и условиями передачи третьим лицам.

6. Обновление, уничтожение ПД и порядок доступа к информации

Ст. 21 ФЗ № 152 требует актуализации информации в случае неточностей или ее изменения.

ПД необходимо уничтожить при достижении цели обработки, в случае отзыва субъекта ПД согласия на обработку.

Роскомнадзор рекомендует включить в документ порядок реагирования на запросы и обращения субъектов ПД по вопросу уточнения данных, неправомерности их обработки, отзыва согласия и доступа к своим данным.

Условия обработки персональных данных в ПАО «Газпром»

8.1. Обработка персональных данных в ПАО «Газпром» осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

8.2. ПАО «Газпром» без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

8.3. ПАО «Газпром» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

8.4. В целях внутреннего информационного обеспечения ПАО «Газпром» может создавать справочники, адресные книги и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его персональные данные.

8.5. Доступ к обрабатываемым в ПАО «Газпром» персональным данным разрешается только работникам ПАО «Газпром», занимающим должности, включенные в перечень должностей структурных подразделений администрации ПАО «Газпром», его филиалов и представительств, при замещении которых осуществляется обработка персональных данных.

8.6. Обработка персональных данных субъектов персональных данных, находящихся на территории государств — членов Европейского союза, осуществляется в порядке, определенном положениями Регламента ЕС, в случаях, когда к деятельности ПАО «Газпром», его филиалов и представительств по обработке персональных данных применяются критерии территориального действия Регламента ЕС.

Как правильно составить политику

Перед составлением документа ознакомьтесь с рекомендациями Роскомнадзора на сайте РКН в разделе «Персональные данные».

Политика содержит шесть разделов.

Общие положения

В этой части формулируется назначение политики.

Назначение политики можно сформулировать так: «определение порядка безопасности и обработки перс. данных субъектов, ПД которых подлежат обрабатыванию, на основании полномочий оператора».

Даются определения основных терминов, встречающихся в тексте документа (ПД, обработка ПД, оператор перс. данных, субъект ПД, конфиденциальность и т. д.), перечисляются права и обязанности субъекта персданных и компании.

Цели сбора персданных

Цель указывается предметно и однозначно, исходя из конкретной деятельности организации. Их целесообразно перечислить, не ограничиваясь общими формулировками.

При указании целей исходите из направлений деятельности организации.

Правовые основания обработки

В этом разделе приводим список всех документов, которые являются правовым основанием для работы с ПД в компании:

  • федеральные законы и иные нормативные акты, принятые законодателем, касающиеся регулирования правоотношений по работе с ПД;
  • уставные документы компании;
  • соглашения, заключаемые организацией с субъектами ПД;
  • согласие на обработку перс. данных.

ВАЖНО!

По рекомендации Роскомндзора, Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием для работы с ПД оператором, поскольку регулирует отношения, которые возникают из работы с ПД, и закрепляет требования, которые предъявляются компаниям.

Содержание и объем обрабатываемых данных обязаны согласовываться с целями работы с ними.

К категориям субъектов ПД относятся:

  • сотрудники организации, бывшие сотрудники, кандидаты на замещение вакантных должностей, родственники работников;
  • клиенты и контрагенты оператора (физлица);
  • представители и сотрудники клиентов и контрагентов организации (юрлица).

По каждому субъекту с учетом конкретных целей рекомендуется перечислять все обрабатываемые оператором ПД, отдельно выписать все случаи работы специальных категорий и биометрических индивидуальных сведений.

Порядок и условия обработки перс. данных

В этой части документа указываем действия, совершаемые организацией с ПД. Укажите способы и сроки обрабатывания, срок хранения индивидуальных сведений. Рекомендуется прописать условия передачи данных третьим лицам, в том числе находящимся за границей.

Роскомнадзор указывает на необходимость включения положений по соблюдению конфиденциальности и условий о прекращении работы с ПД в случае:

  • отзыва согласия;
  • истечение срока действия согласия.
Поделитесь в социальных сетях:FacebookXВКонтакте
Напишите комментарий