Что должна включать политика обработки персональных данных

Политика обработки персональных данных. Что это такое? Главным законодательным актом в этой сфере является ФЗ №152 «О персональных данных». Однако, он напрямую не прописывает ни содержание документа, ни его структуру, ни даже название. «Политикой» его стали называть люди, для удобства. Тем не менее несмотря на довольно расплывчатое определение самого документа, штрафы за его отсутствие или неправильное составление вполне реальные. И вопреки расхожему мнению, нужен такой документ не только крупным компаниям и владельцам сайтов, а очень многим пользователям интернета. Именно поэтому команда RF.ru постарается объяснить вам, что необходимо включить в политику в отношении обработки персональных данных (ПД).

Общие положения

Согласно указанному выше закону, все операторы ПД, будь то физические или юридические лица, должны издать и утвердить политику обработки персональных данных. И обязательно сделать её общедоступной. Этот документ должен описывать с какой целью собираются личные сведения, как они будут использоваться и храниться.

В 2017 году, после внесения очередных изменений в закон, Роскомнадзор опубликовал на своём сайте рекомендации, касающиеся составления документа. Однако, там так же, как и в законе, нет единой формы для Политики. Там описано, какая информация должна быть отражена в документе, но его структура, названия разделов и их порядок произвольные.

Единственное, что обязательно должно быть в любом таком документе – блок утверждения ответственного лица. Расположить его нужно в правом верхнем углу первого листа.

Что следует отразить в Политике обработки персональных данных

• Общие положения
• С какой целью обрабатываются ПД
• Правовые аспекты
• Категории субъектов и объём ПД
• Как будет производиться работа с информацией
• Период их хранения и меры безопасности
• Порядок исправления и удаления ПД
• Могут ли субъекты получить доступ к своим данным и при каких условиях

Кроме того, Роскомнадзор советует в качестве приложений к Политике добавить внутренние документы, касающиеся процедуры работы с ПД, того как компания реагирует на запросы субъектов и уполномоченных лиц. Туда же желательно добавить соответствующие шаблоны: согласия и его отзыва, запроса информации и т.п.
Пример Политики обработки ПД вы можете посмотреть здесь.

Штрафы и как их избежать

В редакции закона до 2017 года были требования об издании, утверждении и размещении Политики в открытом доступе, но не было санкций за её отсутствие. Теперь же за это предусмотрен штраф до 50 тыс. руб. для организаций и до 10 тыс. для должностных лиц.

Чтобы избежать такого наказания, достаточно просто разместить вашу Политику обработки ПД на вашем же сайте. При этом сделать её доступной абсолютно каждому. Многие ошибочно полагают, что такой документ нужен только большим организациям. Но на самом деле, даже если вы просто проводите опрос в соц. сети или квиз, то возможно вы собираете личную информацию пользователей. К ПД относятся:

• ФИО
• Номер телефона
• Электронный адрес
• Паспортные данные
• Место учёбы
• Место работы
• Финансовое положение
• Национальность
• И т.п.

Ознакомиться с полным списком вы можете всё в том же законе «О персональных данных».

Подведём итог

Если вы собираете хоть какую-нибудь информацию о других людях, то возможно вам стоит разработать свою Политику обработки ПД и опубликовать её в открытом доступе. При этом писать её можно в произвольной форме, главное отразить все основные аспекты, перечисленные выше.