Роскомнадзор рекомендовал владельцам сайтов, как составлять документ, который определяет политику в отношении обработки персональных данных
Роскомнадзор на своем сайте опубликовал рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Рекомендации).
Такой документ оператор обязан опубликовать на своем сайте и обеспечить неограниченный доступ к нему через Интернет (ч. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – Закон о персональных данных).
Роскомнадзор рекомендовал включить в документ, который определяет политику оператора в отношении обработки персональных данных, шесть компонентов (п. 3 Рекомендаций).
1. Общие положения (п. 3.1).
В этом разделе стоит указать:
· назначение документа;
· основные понятия, которые используют в документе (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных);
· основные права и обязанности оператора и субъектов персональных данных.
2. Цели сбора персональных данных (п. 3.2).
Оператор обязан соблюдать конкретные, заранее определенные и законные цели обработки. Нельзя обрабатывать данные, если это несовместимо с целями сбора данных (ч. 2 ст. 5 Закона о персональных данных).
Так, Роскомнадзор привел примеры, что цели обработки персональных данных могут происходить:
· из анализа правовых актов, регламентирующих деятельность оператора;
· целей фактической деятельности оператора;
· деятельности, которая предусмотрена учредительными документами оператора.
3. Правовые основания обработки персональных данных (п. 3.3).
В качестве правового основания обработки персональных данных оператору стоит указать:
· федеральные законы и принятые на их основе документы, которые регулируют отношения, связанные с деятельностью оператора;
· уставные документы оператора;
· договоры, которые заключает оператор и субъект персональных данных;
· согласие на обработку персональных данных.
4. Объем и категории персональных данных, категории субъектов персональных данных (п. 3.4).
Нужно указать, что содержание и объем данных должны отвечать заявленным целям обработки. Нельзя требовать избыточные данные по отношению к заявленным целям их обработки (ч. 5 ст. 5 Закона о персональных данных).
Роскомнадзор указал, кого можно отнести к категориям субъектов персональных данных:
· работников оператора, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников;
· клиентов и контрагентов оператора (физических лиц);
· представителей/работников клиентов и контрагентов оператора (организаций).
5. Порядок и условия обработки персональных данных (п. 3.5).
Роскомнадзор рекомендует указывать:
· перечень действий, которые оператор совершает с персональными данными субъектов;
· способы и сроки обработки персональных данных;
· сведения о соблюдении требований конфиденциальности, которые установила статья 7 Закона о персональных данных;
· информацию о соблюдении мер безопасности при обработке персональных данных, которые установила часть 1 статьи 19 Закона о персональных данных;
· условия прекращения обработки персональных данных;
· условия хранения персональных данных, в том числе при обработке персональных данных без использования средств автоматизации.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным (п. 3.6).
В документе нужно указать, что оператор обязан:
· обеспечить точность и правомерность данных;
· удалять или уточнять неполные и неточные данные;
· прекратить их обработку;
· уведомить о том, что лицо вправе отозвать согласие на обработку данных.
Роскомнадзор рекомендовал описать действия оператора на запросы пользователей.
«Роскомнадзор рекомендовал владельцам сайтов, как составлять документ, который определяет политику в отношении обработки персональных данных.