Рекомендации роскомнадзора по политике обработки персональных данных
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Рекомендации роскомнадзора по политике обработки персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Рекомендации, предназначенные для большинства ресурсов, собирающих персональные данные интернет-пользователей, состоят из трех разделов. В Роскмондазоре отмечают, что данные указания были созданы для выработки специализированных подходов к структуре и форме документа, касающегося политики оператора.
При наличии в системе нескольких классов задач рекомендуется выбирать общий метод для всех этих классов, либо совместно применять несколько методов.
Практическая реализация методов и обработка обезличенных данных может проводиться с применением различных информационных технологий.
Содержание:
Рекомендации Роскомнадзора по политике обработки персональных данных
Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ).
Почти каждый бизнес имеет дело с персональными данными сотрудников или клиентов. При обработке личной информации нужно строго выполнять установленные правила. За соблюдением закона в этой области следит Роскомнадзор. Наказывает тоже он. Рассмотрим, как работать с персональными данными, чтобы избежать проблем при проверках Роскомнадзора.
Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ-152 и настоящей Политикой.
Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации.
Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено.
Атрибуты ФИО и номер телефона были удалены. Атрибут Адрес проживания был обобщен до города проживания.
Что касается хранения персональных данных, то каждому оператору рекомендуется указывать сроки хранения информации, а также он обязан хранить их в расположенных в РФ базах данных.
Обычно жалуются те пользователи, которые уже на первой форме запутались в нескончаемых юридических документах.
Политика оператора персональных данных
Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.
При этом сам оператор, должен при хранении использовать базы данных, находящиеся на территории России.
В разделе 3.3. указаны правовые акты, в соответствии с которыми оператор обработки персональных данных осуществляет свою деятельность. К числу таких документов относятся: федеральные законы и правовые акты, связанные с деятельностью оператора, уставные документы, соглашения между оператором и субъектом персональных данных, а также согласие на обработку данных.
Дорогие читатели, если вы увидели ошибку или опечатку, помогите нам ее исправить! Для этого выделите ошибку и нажмите одновременно клавиши «Ctrl» и «Enter». Мы узнаем о неточности и исправим её.
Рекомендации Роскомнадзора от 27.07.2017
Для того, чтобы отправлять емейлы, смс, пуши и т.д., вам однозначно нужно получить согласие пользователя на рассылку — это основное требование провайдеров электронной почты, но есть и требование закона.
Последнее следует рассматривать в качестве правового основания обработки персональных данных. Так, в число обязательных актов входят федеральные законы, регулирующие отношения, связанные с деятельностью оператора, договоры, заключаемые между оператором и субъектом персональных данных, уставные документы оператора, а также персональное согласие субъекта на обработку.
Так, в параграфе 3.1. об «Общих положениях» операторам необходимо описать, для каких целей оператор собирается обрабатывать персональные данные, а также назвать права и обязанности оператора и субъекта.
Последнее следует рассматривать в качестве правового основания обработки персональных данных. Так, в число обязательных актов входят федеральные законы, регулирующие отношения, связанные с деятельностью оператора, договоры, заключаемые между оператором и субъектом персональных данных, уставные документы оператора, а также персональное согласие субъекта на обработку.
Согласно публикации, основной раздел документа, который идет под номером 3, включает в себя рекомендации, которые необходимо включить оператору в осуществлении его деятельности.
При определении целей оператору следует руководствоваться законодательной базой в области обработки персональных данных, учредительными документами, целями фактически осуществляемой деятельности и т.п.
В чем отличие политики обработки персональных данных от положения о защите ПД?
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Ваша задача – уведомить территориальный орган Роскомнадзора о том, что будете обрабатывать персональные данные. Для этого используйте Методические рекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94. Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могут быть ошибочными.
Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов ПДн либо по решению суда.
Свидетельство о регистрации СМИ: ИА № ФС 77-63062 от 10 сентября 2015 года, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации. Обезличивание персональных данных, обработка которых осуществляется с разными целями, может осуществляться разными методами.
Поскольку Роскомнадзор не может обязать придерживаться рекомендаций при составлении политики обработки персональных данных, операторы не обязаны полностью копировать всю структуру документа. Однако очень удобно взять ее за шаблон и разработать подходящий для конкретной ситуации локальный акт.
Роскомнадзор при участии Молодежной палаты Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных подготовил документ, в полной мере описывающий механизмы защиты личных данных пользователей.
Политика обработки персональных данных
Так, в Рекомендациях указывается, что под персональными данными следует понимать любую информацию, которая относится к прямо или косвенно определенному или определяемому физическому лицу, также именуемому субъектом. Оператором же персональных данных является государственный или муниципальный орган, а также юридическое или физическое лицо, осуществляющие обработку персональных данных.
В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных
В качестве субъектов персональных данных могут выступать как клиенты, заключившие договор с оператором, так и лица, связанные с его деятельностью (действующие и бывшие работники, соискатели на вакантные места, а также их родственники).
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Совсем недавно наши коллеги по IT-цеху, сммщики подарили нам очень интересный и неожиданный правовой кейс!
Таким образом, Политика конфиденциальности является важным и достаточно объемным документом. Отсутствие Политики или ее неграмотное составление могут повлечь для оператора ощутимые убытки в виде штрафов по итогам проверки Роскомнадзором сайта (риск несут и малостраничные сайты (например, лендинги, имеющие формы обратной связи).
Все наши маркетинговые откровения в одной рассылке
При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
Следует помнить, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
О том, какие положения рекомендовано включать в документ, определяющий эту политику, мы расскажем далее.
В данном разделе необходимо указать документы, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: законодательные акты (в первую очередь ФЗ «О персональных данных»), уставные документы оператора, договоры с субъектами персональных данных, согласия на обработку персональных данных и др.
При выборе методов и процедур обезличивания персональных данных Оператору следует руководствоваться целями и задачами обработки персональных данных.