Как разработать политику конфиденциальности персональных данных

Навигация

Кто и зачем разрабатывает политику обработки персданных

Федеральный закон от 27.07.2006 № 152-ФЗ требует наличия в организациях документа, закрепляющего правила, способы и цели сбора и обработки персданных.

Роскомнадзор — это ведомство, которое следит за соблюдением положений закона № 152. Ведомство составило рекомендации по разработке положения о персональных данных (ПД).

Каждая компания получает ПД от работников, клиентов, контрагентов и пр. граждан, поэтому организациям необходимо иметь правила работы с ПД внутри предприятия.

Разработку положения о ПД поручают юристу или лицу, ответственному за работу с ПД на предприятии.

Документ доводят со сведения сотрудников, работающих с ПД, при наличии сайта организации с формой для сбора ПД — размещают на сайте. Необходимо обеспечить доступ граждан к политике, именно для этого документ хранят в открытом доступе в офисах или на информационных стендах.

Для сведения: как уведомить РКН об обработке персональных данных

Как разработать политику обработки персданных

Роскомнадзор рекомендует включить в документ шесть блоков.

1. Вводная часть

В этом разделе указывают, для чего организация осуществляет сбор ПД. В блок включают термины, которые встречаются по тексту, перечисляют права и обязанности оператора и субъекта ПД.

2. Цели сбора данных

В соответствии со ст. 5 ФЗ № 152 оператору необходимо определить цели сбора и обработки ПД. Их формируют с учетом:

• положений локальных нормативных актов;
• специфики деятельности организации;
• требований бизнес-процессов;
• особенностей программного обеспечения на предприятии.

3. Основания работы с ПД

Правовое регулирование работы с данными осуществляет не только ФЗ № 152, в положение необходимо включить в качестве правовой основы:

• уставные документы;
• локальные нормативные акты (должностные инструкции, регламенты доступа к информации и пр.);
• договоры, на основании которых происходит взаимодействие оператора и субъекта;
• согласия субъектов на доступ к данным и пр.

4. Перечень, объем данных и категории субъектов

Объем обрабатываемой информации необходимо сопоставить с целями. Значение должно соответствовать целям: для связи с клиентом в целях оформления заявки достаточно номера телефона и имени, не следует запрашивать паспортные данные, прописку и пр.

Категории субъектов перечисляют в зависимости от целей получения данных:

• сотрудники;
• клиенты;
• кандидаты на вакантные должности;
• контрагенты и пр.

Объем и цели указывают для каждой категории субъектов.

5. Порядок работы с ПД

В этом разделе указывают перечень действий, которые ответственный работник совершает при получении и работе с информацией. Эту информацию допустимо взять из должностной инструкции или положения о работе с ПД в организации.

Необходимо детально прописать цепочку действий сотрудника от запроса информации до прекращения работы с данными.

6. Обновление, уничтожение ПД и порядок доступа к информации

Ст. 21 ФЗ № 152 требует актуализации информации в случае неточностей или ее изменения.

ПД необходимо уничтожить при достижении цели обработки, в случае отзыва субъекта ПД согласия на обработку.

Роскомнадзор рекомендует включить в документ порядок реагирования на запросы и обращения субъектов ПД по вопросу уточнения данных, неправомерности их обработки, отзыва согласия и доступа к своим данным.

Пример политики обработки персональных данных

Вот образец документа:

Надо знать: как оформить согласие на обработку персданных

Политику необходимо утвердить приказом руководителя:

Читайте также:

• как разработать положение о персональных данных сотрудников;
• как составить журнал учета персональных данных.