Политика обработки персональных данных: особенности документа

Федеральный закон №152 «о защите персональных данных» обязывает оператора ИСПДн (информационной системы персональных данных) размещать у себя на сайте локальный приказ «Политика обработки персональных данных». Многие путают этот документ с соглашением на обработку персональных данных. Проведем параллели. 

 

Категория Политика обработки ПДн Согласие на обработку 
Определение Документ, где прописаны цели обработки персональных данных и описаны меры по их защите Документ, дающий право на использование уникальных сведений о личности
Цель Защита персональных данных Защита персональных данных
Назначение Свод правил по сбору, хранению, обработке, использованию личных данных Письменное разрешение носителя персональных данных на обработку
Содержание
  • цели сбора, хранения и использования ПДн;
  • меры по защите ПДн, гарантии конфиденциальности;
  • способ обработки; 
  • соответствие Законодательству Российской Федерации;
  • права субъектов персональных данных;
  • роли и ответственность
  • цели сбора, хранения и использования ПДн
  • подпись (согласие) субъекта ПДн

 

«Политика обработки и защиты персональных данных» и «Согласие на обработку» действительно очень похожи. Главное, они преследуют общую цель – защита прав граждан. Более того, это два основных документа, которые должны быть в организации. 

Кому это нужно?

Политику обработки персональных данных в организации должны разработать все компании, работающие с ПДн, вне зависимости от регистрации в реестре операторов. Разница лишь в том, что оператор обязан разместить этот документ в открытом доступе. 

В данном случае нельзя не поднять вопрос регистрации. Уведомление в РКН о работе с персональными данными подавать не нужно если вы попадаете под положения 22 статьи 152-ФЗ. Сюда относятся действия с ПДн в области трудового кодекса, в рамках договора, деятельность государственного архива и т.д. Стоит отметить, что 22 статья не дает право осуществлять передачу сведений о личности третьим лицам без согласия субъекта. 

Подробнее

Политика в отношении обработки персональных данных — локальный приказ. Он должен отвечать требованиям к защите ПДн и регламентировать порядок работы. Должны быть разработаны акты, которые включают в себя: технические инструкции для тех, кто осуществляет обработку персональных данных, журналы обращений, приказ о формировании отдела по работе с ПДн, модели угроз и пути их устранения, положение о конфиденциальности и т.д. 

Владельцам сайтов

Политику обработки персональных данных для сайта необходимо разработать, если на вашем ресурсе ведется сбор любой информации личного характера (установлена форма обратной связи). Документ должен быть размещен в открытом доступе. Посетители должны дать свое согласие на обработку сведений (форма обратной связи должна содержать текст «Я согласен на обработку персональных данных» с активной ссылкой на политику обработки). 

Оба документа должны включать цели обработки и положения о конфиденциальности. Субъект должен четко понимать что произойдет после того, как он оставит свои данные. 

Владелец ресурса обязан зарегистрироваться в Роскомнадзоре в качестве оператора. Также он вправе действовать через третьих лиц на основание договора. В этой роли выступают разработчики конструкторов форм обратной связи. 

Разработчик также должен быть включен в реестр. В противном случае Роскомнадзор выпишет штраф. Причем накажут не только его, но и владельца сайта. Для физических лиц сумма доходит до 30 000 рублей, юридические лица заплатят от 75 000 рублей. В случае уголовной ответственности предусмотрены отстранение от занимаемой должности, лишение свободы. 

Закон

Политика обработки и защиты персональных данных не дает право на работу с ПДн без регистрации в Роскомнадзоре, кроме случаев, описанных в 22 статье 152-ФЗ. В противном случае,это будет считаться нарушением закона. 

За несоблюдение требований данного ФЗ предусмотрена административная и уголовная ответственность. 

Также оператор обязан удалить или заблокировать ПДн по первому обращению субъекта. В противном случае это станет поводом для возбуждения административного или уголовного дела.