Документы определяющие политику в отношении персональных данных

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые компанией AVBINVEST LIMITED (далее – Оператор).

1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://fsr-develop.ru.

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://fsr-develop.ru.

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://fsr-develop.ru.

2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).

2.10. Пользователь – любой посетитель веб-сайта https://fsr-develop.ru.

2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

Документы, определяющие политику в отношении обработки персональных данных

В соответствии с требованиями Постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» Управление Роскомнадзора по Липецкой области публикует:

1. Приказ «Об утверждении документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами Управления Роскомнадзора по Липецкой области»;

2. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

3. Правила рассмотрения запросов субъектов персональных данных или их представителей.

4. Правила осуществления внутреннего контроля соответствия обработки персональных данных к защите персональных данных.

5. Перечень персональных данных, обрабатываемых в Управлении.

6. Должностной регламент ответственного в Управлении.

7. Порядок доступа служащих Управления в помещения обработки персональных данных.

Подборка наиболее важных документов по запросу Политика оператора в отношении обработки персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Формы документов: Политика оператора в отношении обработки персональных данных

Открыть документ в вашей системе КонсультантПлюс:
Форма: Положение об обработке персональных данных
(Подготовлен для системы КонсультантПлюс, 2022) Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

Статьи, комментарии, ответы на вопросы: Политика оператора в отношении обработки персональных данных

Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных — издание оператором-организацией документов, определяющих его политику в отношении обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1 Закона). Следует отметить, что Роскомнадзором разработаны Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». При этом согласно разъяснениям Роскомнадзора к компетенции оператора отнесено определение структурного и содержательного наполнения политики в отношении обработки персональных данных (Письмо Роскомнадзора от 19.10.2021 N 08-71063);

Нормативные акты: Политика оператора в отношении обработки персональных данных

Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 02.07.2021)
«О персональных данных» 2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

«Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 N 195-ФЗ
(ред. от 16.04.2022)
(с изм. и доп., вступ. в силу с 27.04.2022) 3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —

Документы определяющие политику в отношении персональных данных

Чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, каждая компания должна разработать документ, объясняющий, как она использует персональные данные работников, клиентов и других физических лиц.

Политика в отношении обработки персональных данных должна содержать шесть разделов. Обычно этот документ размещают в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора данных.

Как правильно составить Политику, какие разделы в нее включить, в своих рекомендациях прописал Роскомнадзор.

Структура Политики в отношении обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных блоков.

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика в отношении обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных) требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных формулируются с учетом:

  • анализа правовых актов, регламентирующих деятельность компании;
  • целей фактически осуществляемой деятельности;
  • деятельности, которая предусмотрена учредительными документами;
  • конкретных бизнес-процессов в конкретных информационных системах персональных данных (по структурным подразделениям и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Закон о персональных данных не является правовым основанием обработки данных. Эту роль выполняют правовые акты, в соответствии с которыми компания, как оператор, обрабатывает данные.

Таким образом, в Политике в качестве правовых оснований можно указать:

  • федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
  • уставные документы компании;
  • договоры, заключаемые между оператором и субъектом персональных данных;
  • согласие на обработку персональных данных.

4. Объем и категории обрабатываемых данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

К категориям субъектов персональных данных могут относиться:

  • сотрудники — как настоящие, так и бывшие;
  • кандидаты на вакансии;
  • родственники работников;
  • клиенты и контрагенты (физлица);
  • представители или работники клиентов и контрагентов.

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

В этом разделе нужно указать перечень действий с персональными данными, способы и сроки обработки данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

  • пояснить условия передачи персональных данных в адрес третьих лиц (речь идет в том числе о трансграничной передаче данных);
  • указать наименование и местонахождение третьих лиц;
  • обозначить цели передачи данных и их объем;
  • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Закона о персональных данных) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке по запросу.

Роскомнадзор рекомендует включить в Политику регламенты реагирования на запросы и обращения субъектов персональных данных по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики в отношении обработки персональных данных

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Документы определяющие политику в отношении персональных данных

Проанализируем статьи Федерального закона от 27.07.2006 № 152-ФЗ[1] и главу 14 ТК РФ и выделим все нормы, которые указывают на какие-либо документы оператора[2]:

Документы определяющие политику в отношении персональных данных

Документы определяющие политику в отношении персональных данных

* Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
** ИТС— информационно-телекоммуникационная сеть.
*** Приказ Роскомнадзора «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» от 24.02.2021 № 18. Далее — Приказ Роскомнадзора № 18.

ПРИМЕЧАНИЕ НАУЧНОГО РЕДАКТОРА
Оператор также обязан осуществлять внутренний контроль и (или) аудит соответствия обработки ПД Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике оператора в отношении обработки ПД, ЛНА оператора (п. 4 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ). Соответственно, при проверках Роскомнадзор затребует ЛНА о внутреннем контроле, который составляется в произвольной форме (может быть просто раздел в ЛНА о ПД) и акт (акты) проведения внутреннего контроля.

В случае проверки работодатели должны документально подтвердить, что выполняют обязанности, установленные в Федеральном законе № 152-ФЗ[3]:

• предоставляют работникам по их просьбе информацию о целях и способах обработки их ПД, иную информацию[4];

• осуществляют внутренний контроль соответствия обработки ПД требованиям законодательства, политике, ЛНА работодателя;

• оценивают вред, который может быть причинен работникам в случае нарушений[5].

То есть кроме основных документов, указанных в таблице, может возникнуть необходимость оформить и иные документы, связанные с учетом и защитой ПД:

• дополнительные локальные акты (правила рассмотрения запросов субъектов ПД, правила осуществления внутреннего контроля и т. п.);

• приказы (о назначении ответственного за безопасность ПД, о хранении бумажных носителей ПД, об утверждении перечня ПД и т. д.);

• инструкции (по учету и хранению съемных носителей, по резервному копированию и восстановлению ПД, при возникновении нештатной ситуации и т. д.);

• журналы учета (запросов субъектов ПД, выдачи сведений и т. п.);

• акты (определения уровня защищенности ПД, оценки потенциального вреда субъектам ПД и т. д.).

[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 02.07.2021). Далее — Федеральный закон № 152-ФЗ.

[2] В рамках трудовых отношений оператор — это работодатель.

[3] Часть 4 ст. 18.1 Федерального закона № 152-ФЗ.

[4] Часть 1 ст. 18 Федерального закона № 152-ФЗ.

[5] Пункты 5–6 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ.

А. Н. Славинская,
специалист по кадрам

Материал публикуется частично. Полностью его можно прочитать в журнале «Кадровые решения» № 11, 2021.

Документы определяющие политику в отношении персональных данных

С точки зрения федерального законодательства информация, позволяющая идентифицировать граждан РФ, относится к категории конфиденциальной и должна быть определенным образом защищена. Каждая организация или ИП несет юридическую ответственность за получаемые сведения от клиентов, партнеров и собственных работников. Для законного осуществления любых операций с ними, начиная от сбора и копирования, заканчивая уничтожением и обезличиванием, нужно выполнить ряд условий, прописанных в ФЗ-152, ФЗ-13 и подзаконных актах. Политика персональных данныхэто обязательный документ наряду с согласием на обработку и другими локальными актами, регламентирующими вопросы обработки и защиты персональных данных. Нарушение требований может привести к серьезным негативным последствиям, поэтому следует еще на начальном этапе запуска бизнеса разобраться, как составлять подобный вид документации: какая информация там должна быть, что указывать в тех или иных пунктах и т.д.

Документ, объясняющий различные нюансы обращения с личной информацией о физических лицах, должен быть у всех без исключения операторов, включая тех, кто работает в Интернете. Вид деятельности значения не имеет.

Политика обработки персональных данных в организации: суть и цели составления

Важным этапом для каждой организации является приведение процесса обработки персональных данных в соответствие с действующей нормативно-правовой базой РФ в области ПДн. Статус оператора накладывает ряд обязательств, среди которых — разработка и внедрение внутренних документов, регулирующих механизм и условия взаимодействия с владельцами личной информации. Политика в области обработки и защиты персональных данных является основным из предусмотренных ФЗ документов, которые должны быть как у юридического лица, так и у индивидуального предпринимателя. Следование её положениям дает возможность минимизировать опасность несанкционированного получения доступа и распространения конфиденциальных сведений.

Есть ряд нюансов, которые необходимо принять во внимание:

  • все сотрудники предприятия, имеющие дело с ПДн в рамках профессиональной деятельности, должны быть ознакомлены с текстом и своими обязательствами перед субъектами;
  • недостаточно просто составить документ — необходимо опубликование политики обработки персональных данных на официальном сайте или обеспечение иным образом доступа к ней всем, кто может заинтересоваться её изучением;
  • в документе обязательно должна быть указана дата введения и срок его действия;
  • после внедрения нужен постоянный контроль соблюдения всех пунктов персональной политики, иначе представители Роскомнадзора обязательно найдут нарушения в ходе очередной проверки.

Главная задача составителей документа заключается в проработке текста таким образом, чтобы вероятность появления претензий (как у государственных органов, так и у субъектов персональных данных) была минимальной. Если нет штатных сотрудников, которые бы взяли на себя выполнение этой задачи, всегда можно обратиться к специалистам нашего Центра безопасности данных. Поручая разработку профессионалам, вы существенно сэкономите время, избежите типичных ошибок и получите в распоряжение документ, который на 100% соответствует актуальным требованиям законодательства РФ.

Можно ли использовать чужой документ «Политика по обработке персональных данных» вместо составления собственного?

В поисках наиболее простого выхода из ситуации многие компании пользуются образцами — шаблонами документов, которые возможно найти в Сети. Это не запрещено, но рискованно, поскольку у каждого бизнеса есть определенная специфика, и то, что подходит одному предприятию, необязательно будет подходить другой организации. За ошибки придется дорого заплатить в прямом смысле слова, поэтому целесообразнее разрабатывать как политику компании в отношении обработки персональных данных, так и остальные документы «с нуля». Для этого нужно будет:

  • проанализировать работу фирмы в контексте ФЗ-152;
  • внимательно изучить рекомендации Роскомнадзора от 27.07.2006;
  • просмотреть (не копировать) документы фирм с аналогичной специализацией;
  • составить политику ПДн, проясняющую все нюансы взаимодействия вашей организации.

Особенности разработки

Для создания документа, отвечающего нормативам действующего российского законодательства, нужно проработать шесть разделов, у каждого из которых есть своя специфика:

  1. Общие положения — вводная часть, где требуется детально разъяснить те понятия, которые будут упоминаться в следующих разделах. Речь идет, прежде всего, о терминах, прописанных в ФЗ-152, так что описания можно взять оттуда, как и список прав и обязанностей участников процесса обработки личной информации. Отдельного внимания заслуживает пункт о назначении документа — здесь имеет смысл воспользоваться максимально общей формулировкой, например, о защите прав субъектов ПДн.
  2. Правовые основания для совершения операций с конфиденциальными сведениями. Речь идет, в первую очередь, о регулирующих деятельность нормативно-правовых актах, основными из которых являются Налоговый, Гражданский, Трудовой кодексы, учредительная документация предприятия, трудовые соглашения/договора с сотрудниками. Также в перечень нужно включить согласие граждан на хранение, использование, копирование и другие действия с их данными.

Типичной ошибкой является включение ФЗ-152 в список законодательных оснований для реализации документа. Но этот закон определяет требования к операторам, поэтому добавлять его не нужно.

Чем грозит неисполнение политики в отношении обработки персональных данных?

Не стоит легкомысленно относиться к составлению и опубликованию внутренней документации в сфере ПДн. В последние годы Роскомнадзор все сильнее защищает интересы граждан в отношении защиты конфиденциальности личной информации, поэтому компании тщательно и регулярно проверяют.

Во время плановых и внеплановых визитов представители госструктуры изучают все, начиная от соответствия содержания политики обработки персональных данных требованиям законодательства, заканчивая исполнением её положений и наличием свободного доступа к тексту. В зависимости от степени нарушений может быть назначено наказание в виде штрафа от тысяч рублей (для директора), тысяч рублей (для ИП), тысяч рублей (для предприятия). Учитывая, что сумма может суммироваться со штрафами за иный нарушения, итоговая цифра может быть весьма внушительной. Также нужно помнить, что в случае утечки информации о санкциях за несоблюдение ФЗ-152 доверие клиентов, работников и поставщиков к вашей компании может быть подорвано. Поэтому лучше изначально потратить время, кадровые и финансовые ресурсы на урегулирование данного вопроса.

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Документы определяющие политику в отношении персональных данных

Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

Документы определяющие политику в отношении персональных данных

Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Документы определяющие политику в отношении персональных данных

Любые данные о человеке, по которым его можно опознать. Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Документы определяющие политику в отношении персональных данных

Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie , данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Документы определяющие политику в отношении персональных данных

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Документы определяющие политику в отношении персональных данных

Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

    наименование или фамилия, имя, отчество и адрес оператора , получающего согласие субъекта персональных данных;

Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.

Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.

Документы определяющие политику в отношении персональных данных

Подать уведомление , чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт.

Уведомление можно не подавать, если вы:

    обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта)

Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые компанией AVBINVEST LIMITED (далее – Оператор).

1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://fsr-develop.ru.

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://fsr-develop.ru.

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://fsr-develop.ru.

2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).

2.10. Пользователь – любой посетитель веб-сайта https://fsr-develop.ru.

2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», на основании обращения руководителя аппарата Правительства Свердловской области С.В. Никонова от 29 апреля 2010 года вх. № 02-09-1969:

1. Руководителям муниципальных унитарных предприятий, муниципальных учреждений, муниципальных автономных учреждений, находящихся на территории Пышминского городского округа, не направивших уведомления об обработке персональных данных, направить в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Свердловской области уведомления об обработке персональных данных в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

2. Контроль за выполнением настоящего распоряжения оставляю за собой.

И.о. главы Пышминского городского округа

Документы, определяющие политику в отношении обработки персональных данных

  • Постановление Правительства Российской Федерации от 16 марта 2009 г. № 228 О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций
  • Распоряжение администрации Пышминского городского округа от 27.08.2018 № 824 «О назначении должностных лиц в администрации Пышминского городского округа, ответственных за осуществление мероприятий по защите информации, содержащей персональные данные»
  • Постановление администрации Пышминского городского округа от 10.09.2018 № 559 «Об обработке и защите персональных данных в администрации Пышминского городского округа»
  • Федеральный закон О персональных данных от 27 июля 2006 года № 152-ФЗ
  • Первоочередные задачи оператора персональных данных по организации обработки персональных данных
  • Инструкция оформления уведомления по обработке персональных данных в электронном виде
  • О необходимости уведомления уполномоченного органа об обработке персональных данных

Документы определяющие политику в отношении персональных данных

Согласно законодательству Российской Федерации любому государственному или муниципальному органу, физическому или юридическому лицу, которые осуществляют операции с личными сведениями человека, необходимо иметь отдельный документ, регламентирующий действия с этими сведениями. Он называется “Политика оператора в отношении обработки и защиты персональных данных субъекта”. Для исключения проблем с Роскомнадзором и другими службами РФ важно понимать, для чего этот документ нужен, и как правильно его составить.

Документ, определяющий принципы проведения процедуры

Основное содержание бумаги

Политика состоит из следующих разделов:

  1. Общие положения.
  2. Категории субъектов персональных данных.
  3. Цели обработки.
  4. Сроки хранения личной информации.
  5. Права субъектов ПД.
  6. Основные принципы и условия действий с личной информацией.
  7. Обеспечение условий работы с ПД.
  8. Заключительные положения.

На официальном сайте Роскомнадзора есть рекомендации по составлению Политики.

Подробное описание и содержание документа

Общие положения

  • Описать, для чего нужна Политика, какие задачи ставит перед собой организация.

Существует реестр операторов персональных данных Роскомнадзора и чтобы быть оператором, нужна регистрация в нем. Также иногда в реестр вносятся изменения. И обо всем этом можно прочитать на нашем сайте.

Категории субъектов

В этом пункте необходимо указать, кто является владельцем личных сведений, используемых для обработки. Это могут быть:

  • Работники (в том числе и бывшие), кандидаты на замещение вакантных должностей или родственники работников.
  • Физические лица – клиенты и контрагенты.
  • Юридические лица.

Для каждой категории важно обозначить, какая именно информация будет обработана. Если планируется использовать специальные и биометрические персональные сведения, это также необходимо указать.

Цели обработки должны быть чётко прописаны, без общих слов. Все указанные в Политике цели должны быть законные, конкретные, заранее ограничены и совместимы с тем, какие персональные данные запрашиваются (подробнее о том, что такое персональные данные и кто является оператором, читайте тут).

Действия с личной информацией могут быть регламентированы правовыми актами и учредительными документами компании, фактически осуществляемой деятельностью и бизнес-процессами, протекающими в организации.

Сроки

Рекомендовано указывать сроки хранения информации. Сроки хранения документов, в том числе и тех, которые содержат личную информацию владельца, указаны в Приказе Министерства Культуры РФ № 558 от 25.8.2010 г.

  • Личные дела и документы сотрудников должны храниться 75 лет.
  • Медицинские карты амбулаторных больных – 5 лет.
  • Стационарных больных – 25 лет.

Условия для прекращения работы с персональными данными могут быть:

  • Достижение целей обработки.
  • Истечение срока действия Согласия.
  • Отзыв Согласия владельцем информации.
  • Выявление неправомерной обработки сведений.

Права

Подробная информация о правах субъекта прописана в Главе 3 федерального закона № 152. Основные моменты, которые стоит отразить в Политике:

  • Право на доступ к персональным данным, на подтверждение факта обработки.
  • Право на запрос правовых оснований и целей обработки, на сведения об операторе и третьих лицах, которым эта информация может быть раскрыта и на каком основании, источник получения личных данных, сроки их обработки и хранения.
  • Право на уточнение персональных данных у оператора, их блокировку или уничтожение в случаях, если они устарели, неактуальны, предоставлены не полностью, получены незаконным путём или не соответствуют целям.
  • Право на обжалования действий или бездействий оператора, обращением в уполномоченные службы РФ.
  • Право на защиту своих прав и законных интересов, также на возмещение убытков и/или моральную компенсацию в судебном порядке.

Важно! Право человека в отношении своих данных могут быть ограничены согласно действующим федеральным законам.

Принципы и условия

Основные принципы работы с личными данными указаны в статье 5 ФЗ 152:

  • Законная и справедливая основа.
  • Цели – конкретные, заранее определенные, законные. Проводимые операции не могут противоречить целям.
  • Для разных целей необходимо собрать разные базы данных. Также запрошенные сведения должны соответствовать целям обработки.
  • Сведения должны быть точными, достаточными, если необходимо, актуальными. Оператор принимает меры по их уточнению или уничтожению в случае неактуальности.
  • По достижению целей, обрабатываемые данные подлежат обезличиванию или уничтожению.

Перед работой с личной информацией следует получить согласия субъекта на обработку его личных сведений. Необходимо указать, зачем нужна обработка данных. Например, для исполнения договора, в котором субъект может выступать одной стороной или поручителем.

Если необходимо для достижения цели обработки сотрудничество с третьими лицами (в том числе находящихся заграницей), прописываются условия передачи личных сведений в их адрес.

Здесь есть также определенные рекомендации:

  • указать точное наименование и местонахождение третьих лиц;
  • цели передачи;
  • объем сведений, которые будут переданы;
  • перечень действий по их обработке;
  • условия обработки.

Оператор вправе передать данные органам дознания и следствия, иным уполномоченным инстанциям в соответствие с законодательством Российской Федерации.

Обеспечение условий

Оператор может доверить обработку иному лицу или организации только с согласия субъекта персональных данных. В таком случае составляется договор. Третье лицо также обязано соблюдать принципы и условия работы с личными сведениями, предусмотренными федеральным законом № 152.

В поручении оператора должны быть указаны:

  1. Конкретные действия и операции, которые будут проводится.
  2. Цели обработки.
  3. Обязанность соблюдать конфиденциальность, обеспечивать безопасность, защищать обрабатываемые сведения.

Ответственность за действие или бездействие третье лицо несёт перед оператором, а он в свою очередь – перед субъектом. Третье лицо перед субъектом не отвечает.

Заключительные положения

В заключительных положениях приводится информация о том, кем разработана Политика, также ФИО и должность ответственного лица. Задача этого сотрудника – следить за соблюдением обозначенного в документе регламента.

  • Скачать бланк политики оператора в отношении обработки персональных данных
  • Скачать образец политики оператора в отношении обработки персональных данных

Заключение

При несоблюдении условия работы с личной информацией, организация может быть привлечена к административной ответственности. Стоит ли упоминать о том, что такое нарушение плохо сказывается на репутации компании. Поэтому важно уделить должное внимание составлению Политики, и чётко регламентировать все процедуры, связанные с личными сведениями.

Ссылка на основную публикацию
Adblock
detector