Чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, каждая компания должна разработать документ, объясняющий, как она использует персональные данные работников, клиентов и других физических лиц.
Политика в отношении обработки персональных данных должна содержать шесть разделов. Обычно этот документ размещают в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора данных.
Как правильно составить Политику, какие разделы в нее включить, в своих рекомендациях прописал Роскомнадзор.
Структура Политики в отношении обработки персональных данных
Ведомство рекомендует предусмотреть в документе шесть основных блоков.
1. Общие цели
В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика в отношении обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.
2. Цели сбора персональных данных
Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных) требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.
Роскомнадзор указывает на то, что цели обработки персональных данных формулируются с учетом:
- анализа правовых актов, регламентирующих деятельность компании;
- целей фактически осуществляемой деятельности;
- деятельности, которая предусмотрена учредительными документами;
- конкретных бизнес-процессов в конкретных информационных системах персональных данных (по структурным подразделениям и их процедурам в отношении определенных категорий субъектов персональных данных).
3. Правовые основания обработки персональных данных
Закон о персональных данных не является правовым основанием обработки данных. Эту роль выполняют правовые акты, в соответствии с которыми компания, как оператор, обрабатывает данные.
Таким образом, в Политике в качестве правовых оснований можно указать:
- федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
- уставные документы компании;
- договоры, заключаемые между оператором и субъектом персональных данных;
- согласие на обработку персональных данных.
4. Объем и категории обрабатываемых данных, категории субъектов персональных данных
Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.
К категориям субъектов персональных данных могут относиться:
- сотрудники — как настоящие, так и бывшие;
- кандидаты на вакансии;
- родственники работников;
- клиенты и контрагенты (физлица);
- представители или работники клиентов и контрагентов.
Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).
5. Порядок и условия обработки персональных данных
В этом разделе нужно указать перечень действий с персональными данными, способы и сроки обработки данных.
Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:
- пояснить условия передачи персональных данных в адрес третьих лиц (речь идет в том числе о трансграничной передаче данных);
- указать наименование и местонахождение третьих лиц;
- обозначить цели передачи данных и их объем;
- перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых данных.
Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.
В Политику следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Закона о персональных данных) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).
Чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, каждая компания должна разработать документ, объясняющий, как она использует персональные данные работников, клиентов и других физических лиц.
Политика в отношении обработки персональных данных должна содержать шесть разделов. Обычно этот документ размещают в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора данных.
Как правильно составить Политику, какие разделы в нее включить, в своих рекомендациях прописал Роскомнадзор.
Структура Политики в отношении обработки персональных данных
Ведомство рекомендует предусмотреть в документе шесть основных блоков.
1. Общие цели
В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика в отношении обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.
2. Цели сбора персональных данных
Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных) требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.
Роскомнадзор указывает на то, что цели обработки персональных данных формулируются с учетом:
- анализа правовых актов, регламентирующих деятельность компании;
- целей фактически осуществляемой деятельности;
- деятельности, которая предусмотрена учредительными документами;
- конкретных бизнес-процессов в конкретных информационных системах персональных данных (по структурным подразделениям и их процедурам в отношении определенных категорий субъектов персональных данных).
3. Правовые основания обработки персональных данных
Закон о персональных данных не является правовым основанием обработки данных. Эту роль выполняют правовые акты, в соответствии с которыми компания, как оператор, обрабатывает данные.
Таким образом, в Политике в качестве правовых оснований можно указать:
- федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
- уставные документы компании;
- договоры, заключаемые между оператором и субъектом персональных данных;
- согласие на обработку персональных данных.
4. Объем и категории обрабатываемых данных, категории субъектов персональных данных
Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.
К категориям субъектов персональных данных могут относиться:
- сотрудники — как настоящие, так и бывшие;
- кандидаты на вакансии;
- родственники работников;
- клиенты и контрагенты (физлица);
- представители или работники клиентов и контрагентов.
Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).
5. Порядок и условия обработки персональных данных
В этом разделе нужно указать перечень действий с персональными данными, способы и сроки обработки данных.
Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:
- пояснить условия передачи персональных данных в адрес третьих лиц (речь идет в том числе о трансграничной передаче данных);
- указать наименование и местонахождение третьих лиц;
- обозначить цели передачи данных и их объем;
- перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых данных.
Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.
В Политику следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Закона о персональных данных) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).