Главная   

  Блог   

  Рекомендации по составлению политики обработки персональных данных согласно 152-ФЗ

 27.04.2023
Рекомендации по составлению политики обработки персональных данных согласно 152-ФЗ

Введение

     Целью данных рекомендации является создание единой структуры и формы политики, определяющей отношение оператора к обработки персональных данных. 1 Обработка персоанльных данных.jpg

Основные понятия

  • персональные данные - любая информация, относящаяся к конкретному человеку (субъекту персональных данных);
  • оператор персональных данных - тот, кто обрабатывает персональные данные, а также определяет зачем данные будут обрабатываться, какие данные будут обрабатываться и что конкретно с этими данными будет делаться;
  • обработка персональных данных - любое действие или совокупность действий с персональными данными. Обработка персональных данных включает в себя, в том числе:сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
  • автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники (например компьютеров);
  • распространение персональных данных - раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – передача персональных данных конкретному человеку или определенному кругу лиц;
  • блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить кому принадлежат персональные данные;
  • информационная система персональных данных - совокупность ПДн и обрабатывающих их информационных технологий (например программы) и технических средств (например компьютеры);
  • трансграничная передача персональных данных - передача персональных данных за границу, органу власти иностранного государства, иностранному физическому или юридическому лицу.
2. Трансграниная передача данных.jpg

Рекомендации к структуре

1) Общие положения
      В данном разделе обычно описывается зачем была создана эта политика, используемые в ней понятия, а также основные права и обязанности оператора и субъекта персональных данных.

2) Цели сбора персональных данных
      Здесь прописывается конкретная цель обработки, для которой собираются персональные данные. Обработка ПДн должна ограничиваться достижением конкретных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

3) Правовые основания обработки персональных данных
      Здесь указывается совокупность правовых актов, для которых и по которым будет осуществляться обработка персональных данных.
      В качестве правового основания актов могут быть указаны:
  • федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
  • уставные документы оператора;
  • договоры, заключаемые между оператором и субъектом персональных данных;
  • согласие на обработку персональных данных.
      Федеральный закон N 152-ФЗ «О персональных данных» не может служить правовым основанием, так как он регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.

4) Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
      Обрабатываемые данные и их количество должны соответствовать заявленным целям обработки. Нельзя обрабатывать больше данных чем необходимо для достижения цели.
      К категориям субъектов можно отнести:
  • работников оператора, как нынешних, так и бывших, а также кандидатов на замещение вакансии и родственников работников;
  • клиентов и контрагентов (физические лица);
  • представителей или работников клиентов и контрагентов (юридические лица).
      Рекомендуется описать какие именно персональные данные будут обрабатываться и для каких целей по отношению к каждой категории субъектов, а также, если необходимо, отдельно описать все случаи обработки как специальных, так и биометрических персональных данных.

5) Порядок и условия обработки персональных данных
      Здесь указывается что конкретно оператором будет делать с персональными данными, а также способы и сроки обработки ПДн. Также рекомендуется указывать сведения о соблюдении требований конфиденциальности и принятых мерах по защите информации.
      Если необходимо взаимодействие с третьими лицами, то надо указывать условия передачи ПДн (например, наличие договора поручения на обработку ПДн), в том числе, при трансграничной передаче. При этом рекомендуется указать кому и куда передаться данные, зачем осуществляется передача, сколько данных передаётся, что с ними будет делаться, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
      Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, а также иным уполномоченным органам согласно законодательству.
      Обработка персональных данных превращается, как только цель обработки была достигнута, либо если истёк срока действия согласия или оно было отозвано, а также в случаи выявления неправомерной обработки.
      Рекомендуется указывать как долго будут храниться персональных данных. Хранение разрешено только в базах данных, находящихся на территории РФ.

6) Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
     Если персональные данные неточные, необходимо прекратить обработку, уточнить данные, после чего можно их обновить и продолжить обработку.
      Как только цель обработки была достигнута, либо в случаи отзыва согласия на обработку, персональные данные необходимо уничтожить, если:
  • иное не предусмотрено договором между оператором и субъектом;
  • оператор не вправе осуществлять обработку без согласия, на основании 152-ФЗ или иных федеральных законов;
  • иное не предусмотрено иным соглашением между оператором и субъектом.
      Субъект может запросить информации об обработки его персональных данных, в таком случаи оператор обязан будет предоставить ему эти сведенья.
      Так же сюда следует включить порядок реагирования на запросы и обращения субъектов персональных данных, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов и обращений. 3 Политика обработки персональных данных.jpg

Источник:

Ссылки на наши ресурсы:

Заказать консультацию

Источник: Профи Консалт
  161