Как правильно разработать политику обработки персональных данных

Обработка персональных данных является важным аспектом любого бизнеса, организациям и ИП важно соблюдать требования российского законодательства. Каждый оператор обязан иметь четкую позицию относительно того, каким образом обрабатываются персональные данные клиентов и сотрудников организации. Рассмотрим подробнее, нужна ли политика обработки персональных данных и как её грамотно составить.

Зачем нужна политика обработки ПДн?

Согласно Федеральному закону №152-ФЗ «О персональных данных», любая организация, осуществляющая обработку персональных данных, обязана разрабатывать внутреннюю политику, регламентирующую порядок сбора, хранения, передачи и уничтожения персональных сведений. Наличие подобной документации помогает избежать нарушений закона, штрафов и претензий со стороны Роскомнадзора.

Документ рекомендуется регулярно обновлять в связи с изменениями нормативных актов или внутреннего регламента компании.

Структура политики обработки ПДн

Пример структуры документа, которой стоит придерживаться при разработке собственной политики:

1. Общие положения.

• Описание целей разработки документа.

• Законодательная база, регулирующая защиту персональных данных.

2. Термины и определения.

Здесь важно пояснить термины, используемые в документе («персональные данные», «оператор», «субъект данных» и др.).

3. Правовые основания обработки ПДн.

Перечисляются конкретные нормативные акты и внутренние распорядительные документы компании, служащие основанием для осуществления обработки.

4. Цели обработки персональных данных.

Четко обозначаются цели, ради которых осуществляется сбор и обработка ПДн субъектов (заключение договоров, исполнение обязательств перед клиентами и др.).

5. Категории обрабатываемых персональных данных.

Указывается перечень видов персональных данных, подлежащих обработке (ФИО, адрес проживания, паспортные данные и др.).

6. Меры безопасности при обработке персональных данных.

Описываются меры технической и организационной защиты информации (шифрование, ограничение физического доступа, регулярное обновление программного обеспечения и т.п.).

7. Порядок предоставления и распространения ПДн третьим лицам.

Определяются условия передачи данных контрагентам, партнёрам и другим субъектам (при согласии субъекта данных либо при наличии обязательных правовых оснований).

8. Порядок изменения и отзыва согласия на обработку персональных данных.

Регламентируется процедура изменения условий обработки или полного отказа субъекта от дальнейшего использования его данных оператором.

Роскомнадзор советует предусмотреть в Политике порядок действий при поступлении запросов и обращений пользователей относительно исправления неверных сведений, прекращения неправомерной обработки, отзыва разрешения на обработку и предоставления доступа к личным данным. Целесообразно также приложить шаблоны таких запросов и обращений.

9. Ответственность оператора за нарушение порядка обработки ПДн.

Приводятся возможные санкции, применяемые к ответственному лицу за несоблюдение норм и правил внутренней политики.

10. Заключительные положения.

Подтверждается право субъекта на получение полной информации о порядке обработки его персональных данных, возможность внесения изменений в документ, реквизиты разработчика политики.

Разработка политики обработки персональных данных

Чтобы успешно разработать политику обработки персональных данных, придерживайтесь следующего пошагового руководства:

Шаг 1. Определение правовой базы.

Для начала изучите Федеральный Закон №152-ФЗ «О персональных данных». Это основной законодательный акт, устанавливающий требования к обработке персональных данных. Ознакомьтесь с разъяснениями Минцифры России и рекомендациями Роскомнадзора.

Шаг 2. Составление списка категорий обрабатываемой информации.

Определитесь с перечнем ПДн, которые ваша компания собирает и хранит. Убедитесь, что каждая категория соответствует целям обработки.

Шаг 3. Формулировка принципов обработки данных.

Разделите принципы обработки персональных данных на следующие категории:

• законность,

• минимизация объема собираемых данных,

• прозрачность действий оператора,

• конфиденциальность,

• ответственность оператора.

Шаг 4. Разработка мер информационной безопасности.

Опишите комплекс технических и организационных мероприятий, направленных на обеспечение сохранности данных (защита паролей, контроль доступа, резервирование серверов, обучение персонала правилам обращения с персональными данными).

Шаг 5. Согласование внутренних процедур.

Установите процедуры информирования субъектов данных о целях обработки, порядке изменения согласия, отзыве предоставленного ранее разрешения на использование персональных данных.

Шаг 6. Проверка соответствия внутренним стандартам и закону

Проверьте готовую политику на предмет соответствия вашим бизнес-процессам и нормам Федерального Закона №152-ФЗ. Учтите также нормы международных стандартов ISO/IEC 27001, GDPR (если ваши клиенты находятся за пределами РФ).

Шаг 7. Утверждение руководством компании

Документ подписывается руководителем компании или уполномоченным лицом, после чего размещается на официальном сайте компании.

Роскомнадзор рекомендует всем юридическим лицам и ИП обеспечить открытый доступ к документу, устанавливающему правила политики обработки персональных данных, путем публикации на портале либо иными способами.

Основные ошибки при составлении документа

• Операторы копируют готовую политику, забывая изменить реквизиты своей организации - название, сайт, электронную почту или вовсе не включают полное наименование юридического лица.

• Ссылка ведет на сторонний документ, не относящийся к правилам защиты конфиденциальной информации.

• Цель политики сформулирована расплывчато, изложена единым блоком текста и отличается от целей, указанных в регистрационном уведомлении Роскомнадзора.

• Политический документ скрыт от пользователей, доступен лишь частично или отсутствует на тех страницах сайта, где собираются ПДн.

• Отсутствуют обязательные структурные элементы документа.

• Простое воспроизведение норм Федерального закона №152-ФЗ без учета специфики конкретной организации и особенностей её сайта.

• Указаны утратившие силу временные рамки рассмотрения запросов субъектов персональных данных.

Рекомендации экспертов

Вы можете воспользоваться готовым шаблоном политики обработки персональных данных из сети Интернет. Однако помните, что такой шаблон требует адаптации под специфические нужды вашего бизнеса.

Рекомендуем доверить разработку опытным специалистам в области права и IT-технологий. Цена разработки политики обработки персональных данных зависит от ряда факторов - размера компании, сложности существующих процессов обработки данных и уровня риска утечки данных.

Заполните форму обратной связи и закажите услугу по разработке пакета документов по персональным данным под ключ.

Грамотная разработка политики обработки персональных данных обеспечивает надежную защиту конфиденциальной информации и соблюдение действующего законодательства. Она защищает компанию от возможных санкций и способствует укреплению доверия среди клиентов и партнеров.