С точки зрения федерального законодательства информация, позволяющая идентифицировать граждан РФ, относится к категории конфиденциальной и должна быть определенным образом защищена. Каждая организация или ИП несет юридическую ответственность за получаемые сведения от клиентов, партнеров и собственных работников. Для законного осуществления любых операций с ними, начиная от сбора и копирования, заканчивая уничтожением и обезличиванием, нужно выполнить ряд условий, прописанных в ФЗ-152, ФЗ-13 и подзаконных актах. Политика персональных данных — это обязательный документ наряду с согласием на обработку и другими локальными актами, регламентирующими вопросы обработки и защиты персональных данных. Нарушение требований может привести к серьезным негативным последствиям, поэтому следует еще на начальном этапе запуска бизнеса разобраться, как составлять подобный вид документации: какая информация там должна быть, что указывать в тех или иных пунктах и т.д.
Документ, объясняющий различные нюансы обращения с личной информацией о физических лицах, должен быть у всех без исключения операторов, включая тех, кто работает в Интернете. Вид деятельности значения не имеет.
Политика обработки персональных данных в организации: суть и цели составления
Важным этапом для каждой организации является приведение процесса обработки персональных данных в соответствие с действующей нормативно-правовой базой РФ в области ПДн. Статус оператора накладывает ряд обязательств, среди которых — разработка и внедрение внутренних документов, регулирующих механизм и условия взаимодействия с владельцами личной информации. Политика в области обработки и защиты персональных данных является основным из предусмотренных ФЗ документов, которые должны быть как у юридического лица, так и у индивидуального предпринимателя. Следование её положениям дает возможность минимизировать опасность несанкционированного получения доступа и распространения конфиденциальных сведений.
Есть ряд нюансов, которые необходимо принять во внимание:
- все сотрудники предприятия, имеющие дело с ПДн в рамках профессиональной деятельности, должны быть ознакомлены с текстом и своими обязательствами перед субъектами;
- недостаточно просто составить документ — необходимо опубликование политики обработки персональных данных на официальном сайте или обеспечение иным образом доступа к ней всем, кто может заинтересоваться её изучением;
- в документе обязательно должна быть указана дата введения и срок его действия;
- после внедрения нужен постоянный контроль соблюдения всех пунктов персональной политики, иначе представители Роскомнадзора обязательно найдут нарушения в ходе очередной проверки.
Текст Политики должен быть подробно расписан. В отношении каждой цели обработки персональных данных должны быть определены:
- категории и перечень обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- способы обработки;
- сроки обработки и хранения;
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Главная задача составителей документа заключается в проработке текста таким образом, чтобы вероятность появления претензий (как у государственных органов, так и у субъектов персональных данных) была минимальной. Если нет штатных сотрудников, которые бы взяли на себя выполнение этой задачи, всегда можно обратиться к специалистам нашего Центра безопасности данных. Поручая разработку профессионалам, вы существенно сэкономите время, избежите типичных ошибок и получите в распоряжение документ, который на 100% соответствует актуальным требованиям законодательства РФ.
Можно ли использовать чужой документ «Политика по обработке персональных данных» вместо составления собственного?
В поисках наиболее простого выхода из ситуации многие компании пользуются образцами — шаблонами документов, которые возможно найти в Сети. Это не запрещено, но рискованно, поскольку у каждого бизнеса есть определенная специфика, и то, что подходит одному предприятию, необязательно будет подходить другой организации. За ошибки придется дорого заплатить в прямом смысле слова, поэтому целесообразнее разрабатывать как политику компании в отношении обработки персональных данных, так и остальные документы «с нуля». Для этого нужно будет:
- проанализировать работу фирмы в контексте ФЗ-152;
- внимательно изучить рекомендации Роскомнадзора от 27.07.2006;
- просмотреть (не копировать) документы фирм с аналогичной специализацией;
- составить политику ПДн, проясняющую все нюансы взаимодействия вашей организации.
Особенности разработки
Для создания документа, отвечающего нормативам действующего российского законодательства, нужно проработать шесть разделов, у каждого из которых есть своя специфика:
- Общие положения — вводная часть, где требуется детально разъяснить те понятия, которые будут упоминаться в следующих разделах. Речь идет, прежде всего, о терминах, прописанных в ФЗ-152, так что описания можно взять оттуда, как и список прав и обязанностей участников процесса обработки личной информации. Отдельного внимания заслуживает пункт о назначении документа — здесь имеет смысл воспользоваться максимально общей формулировкой, например, о защите прав субъектов ПДн.
- Правовые основания для совершения операций с конфиденциальными сведениями. Речь идет, в первую очередь, о регулирующих деятельность нормативно-правовых актах, основными из которых являются Налоговый, Гражданский, Трудовой кодексы, учредительная документация предприятия, трудовые соглашения/договора с сотрудниками. Также в перечень нужно включить согласие граждан на хранение, использование, копирование и другие действия с их данными.
Типичной ошибкой является включение ФЗ-152 в список законодательных оснований для реализации документа. Но этот закон определяет требования к операторам, поэтому добавлять его не нужно.
- Цели обработки ПДн. Политика должна четко указывать, для чего учреждение собирает, хранит и использует конфиденциальные сведения. За несоответствие целей применения сведений могут назначить штраф. Для выбора формулировки следует изучить правовые документы организации, проанализировать специфику деятельности и организации бизнес-процессов. Существует два подхода к составлению данного раздела — использование общей формулировки либо формирование детального списка. Во втором случае работу должны выполнять профессионалы, чтобы минимизировать вопросы проверяющих.
- Определение ПДн, с которыми будет работать организация. В разделе нужно будет прописать не только объем и категории ПДн, но также категории субъектов, к которым относятся контрагенты, заказчики, работники (нынешние и бывшие), представители деловых партнеров, стажеры и т.д. Эксперты по безопасности настоятельно рекомендуют указывать для каждой категории определенные цели совершения операций, а также виды ПДн, которые будут обрабатываться. Это позволит избежать обвинений в избыточности объема используемых сведений.
- Порядок и условия обработки персональных данных. Политика организации в отношении личной информации составляется с указанием всех запланированных действий, способов их реализации и длительности операций. Стандартный список включает получение, копирование, изменение, систематизацию, хранение, накопление, передачу, уничтожение, блокировку, а также обезличивание и удаление. Что касается особенностей работы с ПДн, преимущественно в документе прописывают, как автоматизированный, так и «ручной» метод обработки. Продолжительность операций лучше указывать отдельно для каждой категории данных. Законодательно прекращение обработки происходит после достижения поставленных целей, закрытия предприятия, истечения срока действия согласия. Поводом для завершения обработки могут стать достижение цели обработки ПДн и отзыв согласия от субъекта.
- Актуализация, корректировка, уничтожение, удаление и ответы на запросы владельцев ПДн на получение доступа. Оператору необходимо в документе закрепить за собой обязанности по внесению корректировок, блокированию либо уничтожению конфиденциальной информации после получения от владельца сообщения о её неактуальности, незаконности получения или недостоверности. Обязательно нужно указать срок, в течение которого компания может произвести перечисленные действия. Последний, но немаловажный момент заключается в добавлении пункта о предоставлении возможности изучения ПДн, обрабатываемых в организации, по запросу субъекта либо его официального представителя.
Чем грозит неисполнение политики в отношении обработки персональных данных?
Не стоит легкомысленно относиться к составлению и опубликованию внутренней документации в сфере ПДн. В последние годы Роскомнадзор все сильнее защищает интересы граждан в отношении защиты конфиденциальности личной информации, поэтому компании тщательно и регулярно проверяют.
Во время плановых и внеплановых визитов представители госструктуры изучают все, начиная от соответствия содержания политики обработки персональных данных требованиям законодательства, заканчивая исполнением её положений и наличием свободного доступа к тексту. В зависимости от степени нарушений может быть назначено наказание в виде штрафа от