Политика обработки персональных данных: образец
В соответствии со ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» в обязанности оператора персональных данных входит издание документа, определяющего его политику в отношении защиты и обработки персональных данных.
Что это за документ? Не стоит путать его с Положением о персональных данных. Положение о персональных данных — это обязательный локальный акт, который должен быть у любого работодателя. Политика защиты и обработки персональных данных становится обязательным документом, в случае обработки персональных данных на сайте оператора. Например, когда клиенты регистрируются на сайте организации и оставляют для этого свои персональные данные.
К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы. Это могут быть и просто организации, которые проводят конкурсы на занятие вакантных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.
Штрафы за неправильную работу с персональными данными довольно высоки. Максимальный размер одного штрафа — 75 тыс. руб. В рамках одной проверки Роскомнадзор может обнаружить несколько разных нарушений. Тогда он взыщет сразу несколько штрафов. Чтобы избежать штрафа необходимо опубликовать на сайте общедоступные ссылки: на Политику компании в отношении защиты и обработки персональных данных и иные сведения о требованиях к защите персональных данных.
Как составить Политику защиты и обработки персональных данных
Требования к документу, который определяет политику обработки персональных данных, содержат Рекомендации по составлению документа. Согласно рекомендациям, в Политику надо включить следующие разделы:
Общие положения
В этой части сформулируйте назначение Политики и дайте определение основных терминов, которые встречаются в документе («обработка персональных данных», «объект персональных данных», «субъект персональных данных» и т.д.), перечислите права и обязанности компании и субъектов персональных данных. Назначение политики можно сформулировать следующим образом: «защита прав субъектов персональных данных (работников, клиентов) при их обработке».
Правовые основания обработки персональных данных
Здесь дайте список нормативных актов, в соответствии с которыми вы обрабатываете персональные данные. Например:
- законы и нормативные акты, регулирующие отношения, связанные с деятельностью компании в сфере обработки персональных данных;
- учредительные документы, трудовые договоры и другие соглашения между компанией и работником;
- согласие субъекта персональных данных на их обработку.
Цели обработки персональных данных
Цель обработки персданных должна быть предметной и однозначной. Если не указать цель обработки, то сбор данных работников и клиентов будет незаконным. Отнеситесь к заполнению этого раздела максимально серьезно.
При формулировки цели опирайтесь на направления деятельности компании и анализ нормативных актов, которые регулируют эту деятельность. Лучше всего перечислить цели подробно, чтобы ничего не упустить, а не давать общие определения.
Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Содержание и объем обрабатываемых данных должны соответствовать целям обработки.
К категориям субъектов персональных данных могут быть отнесены:
- работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников;
- клиенты и контрагенты оператора (физические лица);
- представители и работники клиентов и контрагентов оператора (юридических лиц).
В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуем перечислить все обрабатываемые оператором персональные данные, а также отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
Порядок и условия обработки персональных данных
В этом разделе перечислите действия, которые будет совершать компания с пересданными. Укажите способы обработки, сроки обработки и хранения. Действия, совершаемые с персональными данными:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
При составлении текста выберите те действия, которые совершает ваша компания с данными. Обычно в Политике перечисляют все способы.
Способ обработки пересданных может быть:
- автоматизированным (с использованием средств вычислительной техники);
- неавтоматизированным (вручную).
В Политике необходимо указать способ, который используют в компании. Чаще всего указывают оба.
Срок обработки персональных данных
Срок обработки персональных данных — это период от начала обработки данных до ее прекращения. Начало обработки для каждого субъекта персональных данных будет разным. Рекомендуем разграничить начало для каждого из них. Например, срок обработки персональных данных клиентов начинается с момента регистрации на сайте или заключения договора, а срок обработки данных сотрудников — с начала действия трудового договора. Дата прекращения обработки персональных данных определяется моментом наступления одного из событий:
- достигнута цель обработки;
- истек срок действия согласия субъекта или он отозвал согласие на обработку данных;
- обнаружена несанкционированная обработка данных;
- организация прекратил свою деятельность. Сколько хранить персональные данные.
Персональные данные не стоит хранить дольше того срока, который нужен для их обработки. Лучше всего указать конкретную дату (число, месяц, год) и основание, которое станет причиной прекращения обработки персональных данных.
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В случае если персональные данные указаны не точно или обнаружена их несанкционированная обработка, оператор должен актуализировать информацию или прекратить обработку персональных данных. В этой связи пропишите в политике, что ваша компания обязана внести изменения, уничтожить или блокировать данные, если субъект представит вам сведения о том, что данные устарели, недостоверны или получены незаконно. Пропишите срок, в течение которого субъект должен сообщить эти сведения.
Кроме этих разделов, в Политику рекомендуется включать регламент(ы) реагирования на запросы, обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов и обращений.
Политика утверждается приказом руководителя. Если принимается новая Политика, приказом следует отменить предыдущую и утвердить новую редакцию Политики.
С Политикой необходимо ознакомить всех работников организации под подпись. Напомним еще раз, что Политика обязательно должна быть размещена на сайте компании.