Рекомендации Роскомнадзора по составлению политики конфиденциальности
Опубликовано: 28.09.2018
Политика конфиденциальности – это документ, содержащий условия и порядок обработки персональных данных оператором.
Роскомнадзором были разработаны Рекомендации по составлению Политики конфиденциальности оператора. Так, согласно указанным Рекомендациям в Политику необходимо включить следующие разделы :
1) «Общие положения»
Раздел должен содержать определения понятий, используемых в Политике, сведения о назначении Политики, правах и обязанностях оператора и субъекта персональных данных.
Как оформить сайт с учётом требований Закона 152-ФЗ «О персональных данных»
2) «Цели сбора персональных данных»
В Политике четко должны быть прописаны цели обработки персональных данных.
При определении целей оператору следует руководствоваться законодательной базой в области обработки персональных данных, учредительными документами, целями фактически осуществляемой деятельности и т.п.
За обработку персональных данных, несовместимую с целями сбора персональных данных предусмотрена ответственность по п.1 ст.13.11 Ко АП РФ с наложением штрафа на юридических лиц от 30 до 50 тыс. рублей.3) «Правовые основания обработки персональных данных»
В данном разделе необходимо указать документы, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: законодательные акты (в первую очередь ФЗ «О персональных данных»), уставные документы оператора, договоры с субъектами персональных данных, согласия на обработку персональных данных и др.
4) «Объем и категории обрабатываемых данных, категории субъектов персональных данных»
Категории персональных данных могут включать ФИО, сведения о рождении, паспортные данные, адрес, состояние здоровья, электронный адрес, телефон и т.д. Данный перечень должен соответствовать заявленным целям обработки персональных данных.
К категориям субъектов, как правило относятся работники оператора, его клиенты и контрагенты.
5) «Порядок и условия обработки персональных данных»
Данный раздел должен включать:
перечень действий, совершаемых с персональными данными (сбор, запись, хранение, изменение, обезличивание, блокирование, удаление и т.п.), способы обработки персональных данных (автоматизированная/неавтоматизированная, с/без передачи по сети Интернет, трансграничная передача и т.д.), сроки обработки (может быть указана конкретная дата или событие, например, прекращение деятельности оператора или достижение цели обработки персональных данных).Если оператор передает персональные данные третьим лицам, необходимо четко прописать условия такой передачи (наличие договора, решения суда, органам дознания и следствия по основаниям, предусмотренным законом и др.).
Хранение персональных данных оператор обязан осуществлять с использованием баз данных, находящихся на территории России.
6) «Актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным»
В Политику следует включить описание процедуры реагирования оператора на запросы/обращения субъектов персональных данных и уполномоченных органов относительно неточности данных, неправомерности их обработки, отзыва согласия или уточнения данных, иной информации относительно обработки персональных данных.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом согласия на обработку персональные данные подлежат уничтожению, если:
иное не предусмотрено договором с субъектом персональных данных; оператор не вправе осуществлять обработку без согласия субъекта на основаниях, предусмотренных законодательством РФ; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.Таким образом, Политика конфиденциальности является важным и достаточно объемным документом. Отсутствие Политики или ее неграмотное составление могут повлечь для оператора ощутимые убытки в виде штрафов по итогам проверки Роскомнадзором сайта (риск несут и малостраничные сайты (например, лендинги, имеющие формы обратной связи).
Другие новости