Как выстроить политику об обработке персональных данных?

Опубликовано: 04.09.2018

Залина Плиева,

юридическая компания Plieva IP & Digital law

Если говорить просто, то суть политики обработки персональных данных (далее – Политика) состоит в том, чтобы оператор (лицо, обрабатывающее персональные данные) рассказал, какие персональные данные обрабатываются, как и зачем. Она нужна для того, чтобы человек мог понять, что будет с его персональными данными, когда он поделится ими с организацией. Роскомнадзор в прошлом году выпустил рекомендации, которые подробно описывают, что госорган хочет видеть в Политике.

Что нужно сделать каждому, кто получил паспорт РФ

Полное название документа – Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Они опубликованы на портале о персональных данных сайта Роскомнадзора, ссылка – https://rkn.gov.ru/personal-data/p908/ . Можно ориентироваться на этот документ. Я рекомендую включить в Политику следующую информацию:

Объем персональных данных , которые обрабатываются. Например, фамилия, имя, номер телефона, адрес электронной почты, дата рождения и т.п. Цели обработки персональных данных . Цели должны быть законными и реально существующими в компании. Часть 1 статьи 13.11. КоАП РФ предусматривает ответственность за обработку персональных данных, несовместимую с целями сбора (до 50 000 руб. для юридических лиц). Поэтому, если используете их, например, для рекламной рассылки – так и укажите. Основания обработки персональных данных . Укажите, чем руководствуется компания, когда обрабатывает персональные данные. Например, обработка персональных данных работников, которая требуется в соответствии с трудовым законодательством или обработка персональных данных контрагента, которая необходима для исполнения заключенного с ним договора. Порядок обработки персональных данных . Опишите, что происходит с данными, когда они попадают к вам – будете ли вы передавать их третьим лицам, будете ли обезличивать, систематизировать и т.д. Укажите сроки обработки. По общему правилу, персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. Порядок взаимодействия с субъектами персональных данных . По закону субъект персональных данных (лицо, к которому относятся персональные данные), может делать запросы в компании, которая обрабатывает его персональные данные. Гражданин может, например, запросить, какие персональные данные обрабатываются, потребовать внести в них изменения, если они неактуальны, затребовать их удаление или отозвать ранее предоставленное согласие.

Поскольку оператор несет ответственность за непредоставление информации или нарушение сроков реагирования на требования субъектов персональных данных, я рекомендую указать в Политике, как субъект может получить от вас нужную информацию, как он может отозвать согласие или сделать запрос об уточнении персональных данных. Кстати, за непредставление субъекту персональных данных информации об обработке его персональных данных предусмотрен штраф до 40 000 руб. для юридических лиц (ч. 4 ст. 13.11 КоАП РФ), а за невыполнение в срок законного требования по уточнению, блокированию или уничтожению персональных данных – до 45 000 руб. (ч. 5 ст. 13.11 КоАП РФ).

В заключение хочу отметить, что политика обработки персональных данных – это лишь верхушка айсберга. Важно не только правильно составить политику обработки персональных данных и опубликовать ее, но и придерживаться описанных в ней положений, а также соблюдать другие требования законодательства о защите персональных данных.