Роскомнадзор опубликовал рекомендации по обработке персональных данных — «технологии»

Роскомнадзор опубликовал рекомендации по обработке персональных данных - «технологии»

Иллюстрация: hr-elearning.ruРоскомнадзор опубликовал советы по составлению документа, определяющего политику оператора в отношении обработки персональных данных. Документ подготовлен с участием Молодежной палаты Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных.

С 1 июля 2017 года вступил в силу закон от 07.02.2017 № 13-ФЗ «О внесении трансформаций в Кодекс РФ об административных правонарушениях». Закон установил семь новых составов административных правонарушений при обработке персональных данных, затрагивающих главный круг распространенных правонарушений в области персональных данных. Часть 3 статьи 13.11 КоАП РФ устанавливает административную ответственность за невыполнение оператором обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных.

Эта норма актуальна для громадного количества онлайн-сервисов и ресурсов, собирающих персональные эти пользователей в сети Интернет.

Советы по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

1.Настоящие Советы созданы в целях выработки унифицированных подходов к форме и структуре документа, определяющего политику оператора в отношении обработки персональных данных (потом — Политика).

2. Главные понятия, применяемые в Советах:

персональные эти — каждая информация, относящаяся к прямо либо косвенно определенному либо определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) — национальный орган, муниципальный орган, юридическое либо физическое лицо, самостоятельно либо совместно с вторыми лицами организующие и (либо) осуществляющие обработку персональных данных, а кроме этого определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных — любое воздействие (операция) либо совокупность действий (операций) с персональными данными, совершаемых с применением средств автоматизации либо без их применения. Обработка персональных данных включает в себя, а также:

сбор;

запись;

систематизацию;

накопление;

хранение;

уточнение (обновление, изменение);

извлечение;

применение;

передачу (распространение, предоставление, доступ);

обезличивание;

блокирование;

удаление;

уничтожение.

автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных — действия, направленные на раскрытие персональных данных неизвестному кругу лиц;

предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу либо определенному кругу лиц;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, в случае если обработка нужна для уточнения персональных данных);

уничтожение персональных данных — действия, в результате которых делается неосуществимым вернуть содержание персональных данных в информационной совокупности персональных данных и (либо) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных — действия, в результате которых делается неосуществимым без применения дополнительной информации выяснить принадлежность персональных данных конкретному субъекту персональных данных;

информационная совокупность персональных данных — совокупность содержащихся в базах данных персональных данных и снабжающих их обработку IT и технических средств;

трансграничная передача персональных данных — передача персональных данных на территорию зарубежного страны органу власти зарубежного страны, зарубежному физическому лицу либо зарубежному юридическому лицу.

3. В Политику рекомендуется включить следующие структурные компоненты:

3.1. Неспециализированные положения

В указанном разделе рекомендуется обрисовать назначение Политики, а кроме этого включить главные понятия, применяемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т. д.), перечислить главные права и субъекта и обязанности оператора (ов) персональных данных.

3.2. Цели сбора персональных данных

Обработка персональных разрешённых должна ограничиваться достижением конкретных, заблаговременно определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Цели обработки персональных разрешённых могут происходить, а также, из анализа правовых актов, регламентирующих деятельность оператора, целей практически осуществляемой оператором деятельности, а кроме этого деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных совокупностях персональных данных (по структурным их процедурам и подразделениям оператора в отношении определенных категорий субъектов персональных данных).

3.3. Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных есть совокупность правовых актов, во выполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

В качестве правового основания обработки персональных разрешённых могут быть указаны:

законы и принятые на их базе нормативные правовые акты, регулирующие отношения, которые связаны с деятельностью оператора;

уставные документы оператора;

контракты, заключаемые между субъектом и оператором персональных данных;

согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но полномочиям оператора).

закон от 27.07.2006 № 152-ФЗ «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, потому, что указанный Закон регулирует отношения, которые связаны с обработкой персональных данных, а кроме этого закрепляет требования, предъявляемые к операторам при обработке персональных данных.

3.4. категории и Объём обрабатываемых персональных данных, категории субъектов персональных данных

объём и Содержание обрабатываемых персональных разрешённых должны соответствовать заявленным целям[1] обработки. Обрабатываемые персональные эти не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных разрешённых могут быть отнесены, а также:

работники оператора, бывшие работники, кандидаты на замещение свободных должностей, а кроме этого родственники работников;

контрагенты и клиенты оператора (физические лица);

представители/работники контрагентов и клиентов оператора (юрлиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные эти, а кроме этого, в случае если применимо, раздельно обрисовать все случаи обработки особых категорий персональных данных и биометрических персональных данных.

3.5. условия и Порядок обработки персональных данных

В данном разделе рекомендуется показывать список действий, совершаемых оператором с персональными данными субъектов, а кроме этого применяемые оператором методы обработки персональных данных и сроки обработки персональных данных.

В случае необходимости сотрудничества с третьими лицами в рамках успехи целей обработки персональных разрешённых рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (к примеру, наличие соглашения поручения на обработку персональных данных[2]), а также, находящихся за пределами РФ (трансграничная передача). Наряду с этим рекомендуется указать местонахождение и конкретное наименование соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, количество передаваемых персональных данных, список действий по их обработке, иные условия и способы обработки, включая требования к защите обрабатываемых персональных данных.

Помимо этого, оператор вправе передавать персональные эти органам следствия и дознания, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.

Кроме этого рекомендуется показывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 закона «О персональных данных», а кроме этого данные о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст.

 19 закона «О персональных данных».

Условием прекращения обработки персональных разрешённых может являться достижение целей обработки персональных данных, истечение срока действия согласия либо отзыв согласия субъекта персональных данных на обработку его персональных данных, а кроме этого обнаружение неправомерной обработки персональных данных.

Хранение персональных разрешённых рекомендуется осуществлять в форме, разрешающей выяснить субъекта персональных данных не продолжительнее, чем этого требуют цели обработки персональных данных, не считая случаев, в то время, когда срок хранения персональных данных не установлен законом , контрактом, стороной которого, выгодоприобретателем либо поручителем по которому есть субъект персональных данных.

Рекомендуется показывать сроки[3] хранения персональных данных.

При осуществлении хранения персональных данных оператор персональных разрешённых обязан использовать базы данных, находящиеся на территории РФ, в соответствии с ч. 5 ст. 18 закона «О персональных данных».

Рекомендуется показывать иные условия хранения персональных данных, а также, при обработке персональных данных без применения средств автоматизации.

3.6. Актуализация, исправление, уничтожение и удаление персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае подтверждения факта неточности персональных данных либо неправомерности их обработки, персональные эти подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно[4].

При достижении целей обработки персональных данных, а кроме этого в случае отзыва субъектом персональных данных согласия на их обработку персональные эти подлежат уничтожению, в случае если:

иное не предусмотрено соглашением, стороной которого, выгодоприобретателем либо поручителем по которому есть субъект персональных данных;

оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законом «О персональных данных» либо иными законами ;

иное не предусмотрено иным соглашением между субъектом и оператором персональных данных.

Оператор обязан сказать субъекту персональных данных либо его представителю данные об осуществляемой им обработке персональных данных для того чтобы субъекта по запросу последнего[5].

Рекомендуется включить в Политику регламент (ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по предлогу неточности персональных данных, неправомерности их обработки, доступа субъекта и отзыва согласия персональных данных к своим данным, а кроме этого соответствующие формы запросов/обращений.

[1] Ст. 6 № 152-ФЗ «О персональных данных»

[2] Ч. 3 ст. 6 № 152-ФЗ «О персональных данных»

[3] Конкретная дата (число, месяц, год) и основание (условие), наступление которого повлечет прекращение обработки персональных данных.

[4] Ст. 21 № 152-ФЗ «О персональных данных»

[5] Ст. 20 № 152-ФЗ «О персональных данных»

РОСКОМНАДЗОР: как избежать огромных штрафов? Закон о ПЕРСОНАЛЬНЫХ ДАННЫХ!


Темы которые будут Вам интересны:

Читайте также: