Федеральный закон №152 «о защите персональных данных» обязывает оператора ИСПДн (информационной системы персональных данных) размещать у себя на сайте локальный приказ «Политика обработки персональных данных». Многие путают этот документ с соглашением на обработку персональных данных. Проведем параллели.
| Категория | Политика обработки ПДн | Согласие на обработку |
| Определение | Документ, где прописаны цели обработки персональных данных и описаны меры по их защите | Документ, дающий право на использование уникальных сведений о личности |
| Цель | Защита персональных данных | Защита персональных данных |
| Назначение | Свод правил по сбору, хранению, обработке, использованию личных данных | Письменное разрешение носителя персональных данных на обработку |
| Содержание |
|
|
«Политика обработки и защиты персональных данных» и «Согласие на обработку» действительно очень похожи. Главное, они преследуют общую цель – защита прав граждан. Более того, это два основных документа, которые должны быть в организации.
Кому это нужно?
Политику обработки персональных данных в организации должны разработать все компании, работающие с ПДн, вне зависимости от регистрации в реестре операторов. Разница лишь в том, что оператор обязан разместить этот документ в открытом доступе.
В данном случае нельзя не поднять вопрос регистрации. Уведомление в РКН о работе с персональными данными подавать не нужно если вы попадаете под положения 22 статьи 152-ФЗ. Сюда относятся действия с ПДн в области трудового кодекса, в рамках договора, деятельность государственного архива и т.д. Стоит отметить, что 22 статья не дает право осуществлять передачу сведений о личности третьим лицам без согласия субъекта.
Подробнее
Политика в отношении обработки персональных данных — локальный приказ. Он должен отвечать требованиям к защите ПДн и регламентировать порядок работы. Должны быть разработаны акты, которые включают в себя: технические инструкции для тех, кто осуществляет обработку персональных данных, журналы обращений, приказ о формировании отдела по работе с ПДн, модели угроз и пути их устранения, положение о конфиденциальности и т.д.
Владельцам сайтов
Политику обработки персональных данных для сайта необходимо разработать, если на вашем ресурсе ведется сбор любой информации личного характера (установлена форма обратной связи). Документ должен быть размещен в открытом доступе. Посетители должны дать свое согласие на обработку сведений (форма обратной связи должна содержать текст «Я согласен на обработку персональных данных» с активной ссылкой на политику обработки).
Оба документа должны включать цели обработки и положения о конфиденциальности. Субъект должен четко понимать что произойдет после того, как он оставит свои данные.
Владелец ресурса обязан зарегистрироваться в Роскомнадзоре в качестве оператора. Также он вправе действовать через третьих лиц на основание договора. В этой роли выступают разработчики конструкторов форм обратной связи.
Разработчик также должен быть включен в реестр. В противном случае Роскомнадзор выпишет штраф. Причем накажут не только его, но и владельца сайта. Для физических лиц сумма доходит до 30 000 рублей, юридические лица заплатят от 75 000 рублей. В случае уголовной ответственности предусмотрены отстранение от занимаемой должности, лишение свободы.
Закон
Политика обработки и защиты персональных данных не дает право на работу с ПДн без регистрации в Роскомнадзоре, кроме случаев, описанных в 22 статье 152-ФЗ. В противном случае,это будет считаться нарушением закона.
За несоблюдение требований данного ФЗ предусмотрена административная и уголовная ответственность.
Также оператор обязан удалить или заблокировать ПДн по первому обращению субъекта. В противном случае это станет поводом для возбуждения административного или уголовного дела.