Политика конфиденциальности согласно требованиям Роскомнадзора
1 сентября 2017
Законодательство о персональных данных обязывает оператора разместить на своем сайте Политику конфиденциальности. Тем не менее, типовой образец документа отсутствует, да и требования закона не все могут правильно интерпретировать, вследствие чего даже оператор разместивший Политику может попасть на штрафы.
В связи с чем, Роскомнадзор подготовил для операторов Рекомендации по составлению Политики конфиденциальности, раскрывающие состав Политики и содержащие разъяснения ее условий. Итак, Политика должна содержать следующие разделы:
1) «Общие положения»: включает понятийный аппарат (другими словами, определения основных понятий, содержащихся в Политике), цель Политики, права и обязанности оператора и гражданина.
2) «Цели сбора персональных данных»: цели определяются исходя из вида деятельности, которую ведет оператор, и основываются на законодательстве о персональных данных, учредительных документах и т.д.
За обработку персональных данных с нарушением цели их сбора, предусмотрен штраф до 50 000 рублей.
3) «Правовые основания обработки персональных данных»: содержит перечень документов, на основании которых осуществляется обработка персональных данных: Закон о персональных данных, Устав компании, хозяйственные и трудовые договоры, согласия на обработку персональных данных и т.п.
4) «Объем и категории обрабатываемых данных, категории субъектов персональных данных»: включает перечень обрабатываемых данных (ФИО, адрес, данные паспорта, номер телефона, адрес электронной почты и т.д.), который должен соответствовать указанным ранее целям обработки персональных данных. К субъектам могут относится такие категории как: сотрудники, партнеры, клиенты и т.д.
5) «Порядок и условия обработки персональных данных»: содержит перечень действий оператора с персональными данными (сбор, хранение, изменение, удаление и др.), способы обработки (с/без использования компьютера, Интернета), сроки обработки (указание на конкретную дату или событие, например, ликвидация организации-оператора), условия передачи данных третьим лицам (например, по запросу следственных органов, суда).
При этом оператор обязан хранить персональные данные на территории России.
6) «Актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным»: включает подробное описание взаимодействия оператора с субъектами персональных данных, государственных органов по вопросам, связанных с персональными данными, их редактированием, получением согласий и др.
Сведения о персональных данных должны быть уничтожены оператором при достижении заявленных в Политике целей, а также в случае отзыва согласия на обработку, если:
- иное не предусмотрено договором или иным соглашением между оператором и субъектом персональных данных;
- невозможность обработки персональных данных без согласия субъекта предусмотрена законодательством РФ.
Таким образом, Политика конфиденциальности является основным документом, регламентирующим взаимодействие между оператором и субъектом персональных данных.
Неразмещение Политики оператором, несоответствие Политики требованиям законодательства и другие нарушения законодательства о персональных данных могут обернуться для оператора крупными штрафами (до 75 000 руб.).
