Одним из основных документов, который должен разработать каждый Оператор, является Политика в отношении обработки персональных данных (далее – Политика), или как её называют иначе, политика конфиденциальности.
Согласно 152-ФЗ «О персональных данных», данное требование является обязательным для каждой компании, обрабатывающей персональные данные.
Помимо того, что Политику необходимо разработать, необходимо обеспечить неограниченный доступ к данному документу (даже если у вашей компании нет сайта).
Давайте разберёмся пошагово, как правильно разработать документ, что указать, где разместить и какие ошибки допускают Операторы.
Самое важное, что понадобится для составления Политики:
1. Перечень всех целей обработки ПДн
Мы знаем, что согласно ч. 2 ст. 5 152-ФЗ «обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей». Соответственно, Вам необходимо собрать полный перечень целей, для которых вы собираете и обрабатываете данные субъектов ПДн.
Для того, чтобы определить цели обработки ПДн, необходимо чётко знать бизнес-процессы организации, в которых участвуют ПДн субъектов.
Если Вы столкнулись с проблемой определения бизнес-процессов и целей обработки ПДн, всегда можно обратиться к нам за консультацией и помощью. Команда XonSecurity готова стать вашим надежным партнером в решении этих задач.
2. Определить правовые основания обработки ПДн
После определения целей обработки ПДн необходимо понять, на каком же основании мы имеем право обрабатывать эти данные.
На данном этапе важно вспомнить, какое законодательство Ваша организация обязана соблюдать, потому что это и будет Вашим основным правовым основанием обработки ПДн.
Важно отметить, что частой ошибкой является отметка 152-ФЗ как правовое основание обработки ПДн, что считается неверным.
3. Объем и категории обрабатываемых ПДн
Самым трудоемким разделом Политики является раздел, содержащий сведения о категории субъектов ПДн, категории обрабатываемых ПДн и их полный перечень, которые необходимо указать в рамках каждой цели.
Рассмотрим, как это выглядит на примере обработки ПДн в целях ведения кадрового и бухгалтерского учета.
К категории субъектов, чьи ПДн обрабатываются в рамках данной цели могут быть:
-
Работники Оператора;
-
Родственники работников Оператора;
-
Уволенные работники Оператора;
-
Выгодоприобретатели по договорам
Обращаем Ваше внимание! |
Перечень категорий составляется строго исходя из бизнес-процессов Вашей организации и может быть отличным от представленного |
Далее определяем перечень обрабатываемых ПДн всё также в рамках цели ведения кадрового и бухгалтерского учета:
ФИО, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, доходы, пол, адрес электронной почты, адрес места жительства и т.д.
И таким образом необходимо оформить каждую цель обработки ПДн.
К сожалению, Политика не ограничивается тремя вышеуказанными пунктами. Вам также необходимо указать способы, сроки обработки и хранения ПДн, порядок уничтожения ПДн, принятые меры по защите ПДн и т.д.
Где размещать Политику?
Политику составили, но как же обеспечить её доступность? Если Ваша организация имеет сайт в сети Интернет, посредством которого ведет сбор ПДн посетителей сайта, в обязательном порядке размещаем Политику в «подвале» сайта, а также в каждой форме сбора ПДн.
Независимо от наличия сайта рекомендуем обеспечить неограниченный доступ к Политике посредством размещения данного документа в уголке потребителя (при наличии) или в отделе кадров, чтобы каждый желающий (включая собственных работников) смог ознакомиться с документом.
Частые ошибки, которые допускают компании при разработке Политики:
-
Подсмотрели Политику у другой компании, скопировали её себе и даже не поменяли реквизиты;
-
Не опубликовали документ или разместили ссылку не на всех страницах, где это необходимо;
-
По ссылке, ведущей на Политику, открывается совершенно иной документ;
-
Неверная формулировка целей – написано размыто, общим текстом или указаны цели, не имеющие отношения к организации.
Почему настолько важно разработать Политику?
Во-первых, это прямое требование законодательства, прописанное в ст. 18.1 152-ФЗ.
Во-вторых, важно помнить о правах субъекта ПДн, который имеет право запросить у Вас данный документ для ознакомления с положениями об обработке и защите своих ПДн. К сожалению, в случае отсутствия настоящего документа велик рис нарушить сроки ответа на запрос субъекта, что может понести репутационные риски, а также повышается шанс обращения к Вам Роскомнадзора.
Обращаем Ваше внимание и на то, что Политику важно правильно разработать, потому что в случае, если сведения, указанные в Политике и Уведомлении об обработке в Роскомнадзор отличаются – появляется индикатор риска, позволяющий Роскомнадзору обратить внимание на Вашу компанию.
Самым неприятным моментом отсутствия Политики является наложение штрафа согласно ст. 13.11 КоАП РФ в размере от 30.000 до 60.000 рублей на юридическое лицо.
Где заказать Политику обработки ПДн? |
Мы понимаем все сложности и тонкости разработки такого сложного и важного документа как Политика в отношении обработки персональных данных и всегда рады предложить Вам свою помощь. Мы предлагаем профессиональные консультации и комплексную помощь, чтобы ваша компания не только соответствовала требованиям законодательства, но и эффективно выстраивала процессы работы с персональными данными. Обращайтесь в XonSecurity — мы поможем вам найти оптимальные решения и обеспечить безопасность ваших данных. |
