Политика по обработке персональных данных — это основной публичный документ, который обязан иметь каждый оператор ПДн. Он должен содержать определённый набор разделов, предусмотренный законодательством. Недостаточно разместить короткий текст «о конфиденциальности» — документ должен быть полным и конкретным.
Обязательные разделы политики:
- Общие положения — указание на закон № 152-ФЗ как основную правовую базу, статус компании как оператора ПДн.
- Цели обработки ПДн — зачем организация собирает и использует персональные данные (например, кадровый учёт, заключение договоров, маркетинг).
- Категории субъектов и перечень обрабатываемых данных — сотрудники, клиенты, контрагенты, какие именно данные собираются.
- Правовые основания обработки — ссылки на статьи 6 и 9 ФЗ-152 (договор, согласие, исполнение закона).
- Порядок и условия обработки ПДн — где и как хранятся данные, передаются ли третьим лицам.
- Права субъектов ПДн — перечень прав в соответствии со ст. 14 ФЗ-152 (доступ, уточнение, отзыв согласия).
- Меры защиты ПДн — какие организационные и технические меры применяет компания (общим текстом, без раскрытия внутренних деталей).
- Сроки обработки и хранения — как долго данные хранятся и что происходит по окончании срока.
- Порядок отзыва согласия — как субъект может подать заявление об отзыве.
- Контактные данные ответственного лица или подразделения, куда субъект может направлять обращения.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152, ч. 2 п. 2 — оператор обязан опубликовать документ, определяющий его политику в отношении обработки ПДн.
- Ст. 14 ФЗ-152 — закрепляет права субъектов на получение информации о целях, основаниях, сроках обработки.
- Методические рекомендации Роскомнадзора — указывают, что политика должна содержать сведения об операторе, целях обработки, мерах защиты и правах субъектов.
Позиция Роскомнадзора
На проверках ведомство обращает внимание на полноту политики. Если документ ограничивается общими фразами вроде «Мы соблюдаем закон о персональных данных», это признаётся нарушением. В предписаниях Роскомнадзор указывает, что должны быть раскрыты цели, категории субъектов, права и порядок их реализации.
Что важно учитывать компаниям
- Политика должна быть написана понятным языком для субъектов, а не только для юристов.
- Недостаточно описать «мы защищаем данные» — нужно перечислить конкретные меры (например, ограничение доступа сотрудников).
- Контакты ответственного за ПДн должны быть актуальными, иначе обращение субъекта будет невозможно.
Рекомендации и выводы
Политика по ПДн должна содержать конкретные обязательные разделы, а не быть формальной. Чтобы соответствовать закону:
- Включите все разделы, предусмотренные ФЗ-152 и рекомендациями Роскомнадзора.
- Укажите реальные процессы и меры защиты, применяемые в компании.
- Регулярно обновляйте документ при изменении законодательства или практики обработки.
- Разместите политику в открытом доступе на сайте или в офисе.
Компания ICTech поможет вашей организации разработать политику по ПДн с полным набором обязательных разделов, которая выдержит проверку Роскомнадзора и будет понятна вашим клиентам и сотрудникам.
