Рекомендации роскомнадзора по составлению политики персональных данных

Важная информация и советы на тему: «Рекомендации роскомнадзора по составлению политики персональных данных». В статье собраны ответы на многие сопутствующие вопросы. Если вы все же не найдете ответ, или необходимо актуализировать информацию, то обращайтесь к дежурному юристу.

Рекомендации Роскомнадзора по составлению политики персональных данных

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Рекомендации Роскомнадзор (Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций) от 31 июля 2017 г. «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»»

1. Настоящие Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных (далее — Политика).

2. Основные понятия, используемые в Рекомендациях:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

— уточнение (обновление, изменение);

— передачу (распространение, предоставление, доступ);

— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. В Политику рекомендуется включить следующие структурные компоненты:

3.1 Общие положения

В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.

3.2 Цели сбора персональных данных

[2]

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3.3 Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

В качестве правового основания обработки персональных данных могут быть указаны:

— федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;

— уставные документы оператора;

— договоры, заключаемые между оператором и субъектом персональных данных;

— согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку указанный Закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.

3.4 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям*(1) обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных данных могут быть отнесены, в том числе:

— работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;

Читайте так же: Огрн расшифровка цифр номера

— клиенты и контрагенты оператора (физические лица);

— представители/работники клиентов и контрагентов оператора (юридических лиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

3.5 Порядок и условия обработки персональных данных

В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных*(2)), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Рекомендуется указывать сроки*(3) хранения персональных данных.

При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».

Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.

3.6 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно*(4).

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

— оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;

— иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего*(5).

Рекомендуется включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

*(1) ст. 6 № 152-ФЗ «О персональных данных»

*(2) Ч. 3 ст. 6 № 152-ФЗ «О персональных данных»

*(3) Конкретная дата (число, месяц, год) и основание (условие), наступление которого повлечет прекращение обработки персональных данных.

*(4) ст. 21 № 152-ФЗ «О персональных данных»

*(5) ст. 20 № 152-ФЗ «О персональных данных»

Обзор документа

Представлены рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных.

Определены рекомендованные структурные компоненты документа и их содержание.

В документ также рекомендуется включить регламент(ы) реагирования на запросы/обращения субъектов персональных данных (их представителей) и уполномоченных органов, а также соответствующие формы запросов/обращений.

Роскомнадзором даны рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных

Оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Роскомнадзор рекомендует включать в указанный документ, в частности, следующие структурные компоненты:

— цели сбора персональных данных;

— правовые основания обработки персональных данных;

— объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;

— порядок и условия обработки персональных данных;

— актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

Даны рекомендации по составлению каждого из указанных компонентов.

Разрабатываем локальный нормативный акт по персональным данным: практические рекомендации с учетом мнения Роскомнадзора

Одно из важных условий для работы с персональными данными — оформление локальных актов, закрепляющих порядок работы с ними, и утверждение ответственных за его соблюдение лиц. Подробнее о том, какие положения необходимо включать компаниям в свои локальные акты, чтобы не нарушать требования закона, — в материале «ЭЖ».

С 1 июля 2017 г. вступили в силу поправки в ст. 13.11 КоАП РФ, дифференцировавшие и ужесточившие ответственность за нарушения законодательства в области персональных данных. Теперь, к примеру, размер штрафа за обработку персональных данных без согласия на это в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, может достигать 75 000 руб., тогда как в прежней редакции верхний предел штрафа составлял 10 000 руб. Кроме того, протоколы об административных правонарушениях по данной категории дел теперь уполномочены составлять органы Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Результаты этих изменений не заставили себя ждать — органы Роскомнадзора активно ведут проверки работодателей, применяя новые штрафы. Законодательных требований установлено достаточно много. Чтобы все соответствовало букве закона, Роскомнадзор начинает давать разъяснения в отношении проверяемых ими документов. В июле вышли очередные разъяснения в отношении того, какая должна быть структура и форма локального нормативного акта в области персональных данных (Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ), доступны по ссылке http://rkn.gov.ru/personal-data/p908/). Несмотря на то что разъяснения не являются нормативным правовым актом, их рекомендуется учитывать, так как при проведении проверок на это будут обращать внимание инспекторы. Разберем обязательные условия, которые должны быть указаны в локальном нормативном акте с учетом этих рекомендаций.

Локальные акты по работе с персональными данными: основные требования

Локальный нормативный акт (далее — ЛНА) утверждается уполномоченным лицом в организации, которое определяется ее уставом. Такой ЛНА не требует учета мнения представительного органа работников при утверждении. ЛНА может быть один, а также их может быть несколько, в зависимости от обрабатываемых компанией персональных данных. Законом не установлено требований к наличию нескольких ЛНА, тем не менее на практике компании часто имеют целый свод положений по работе с персональными данными. Например, ЛНА могут определять:

общие принципы обработки персональных данных;

порядок обработки персональных данных на бумажных носителях;

порядок обработки персональных данных в информационных системах;

порядок хранения персональных данных;

порядок передачи персональных данных;

порядок обработки персональных данных должностными лицами, непосредственно осуществляющими обработку;

порядок обработки персональных данных при нахождении на территории работодателя третьих лиц и др.

Со всеми локальными нормативными актами по персональным данным под роспись должны быть ознакомлены все работники (ст. 86 ТК РФ).

В качестве структурных элементов рекомендуется включить раздел «Общие положения», в котором будет описываться назначение ЛНА, будут указаны основные термины и понятия, используемые в нем, например «персональные данные», «оператор», «обработка персональных данных», «трансграничная передача персональных данных». В разделе можно также перечислить основные права и обязанности работодателя как оператора персональных данных, а также права и обязанности субъекта персональных данных.

Объем обрабатываемых персональных данных должен соответствовать целям обработки

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Цели обработки персональных данных могут происходить в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора и бизнес-процессами оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

Читайте так же: Чем отличаются друг от друга земли снт, ижс или лпх и что из них лучше

В соответствии с требованиями ст. 86 ТК РФ и Закона № 152-ФЗ необходимо определить перечень должностных лиц, имеющих доступ к персональным данным. Внутренний доступ к персональным данным бывает полный и ограниченный. При работе с полным доступом необходимо указать перечень должностей, для которых он установлен, а при ограниченном доступе помимо должностей необходимо указать перечень персональных данных, к которым допущены работники, и перечень действий с ними с указанием целей обработки.

Не стоит забывать про уполномоченного за организацию обработки персональных данных сотрудника, который также должен быть назначен в соответствии с требованиями ст. 22.1 Закона № 152-ФЗ. Должность данного лица может определяться как в ЛНА, так и в приказе работодателя.

Содержание и объем обрабатываемых и указываемых в ЛНА персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. При указании субъектов, чьи персональные данные обрабатываются, — работников, бывших работников, соискателей, родственников работников, клиентов, контрагентов оператора (физические лица), представителей/работников клиентов и контрагентов оператора (юридические лица) — рекомендуется применительно к конкретным целям, с которыми осуществляется обработка указанных категорий персональных данных, перечислить все обрабатываемые оператором персональные данные, а также отдельно описать все случаи обработки специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья) и биометрических персональных данных, если такая обработка осуществляется.

Помимо описания внутреннего доступа необходимо прописать и внешний доступ к персональным данным. При взаимодействии с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе находящихся за пределами Российской Федерации (трансграничная передача), при этом указывая конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Также должны быть описаны меры, необходимые и достаточные для обеспечения выполнения обязанностей по соблюдению требований к конфиденциальности персональных данных в соответствии с требованиями ст. 18.1 и 19 Закона № 152-ФЗ. К таким мерам относятся в том числе:

определение угроз безопасности персональных данных при их обработке в информационных системах;

обнаружение фактов несанкционированного доступа к персональным данным;

применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, — их исполнение обеспечивает установленные уровни защищенности персональных данных и др.

В локальном акте необходимо закрепить порядок реагирования на запросы субъектов персональных данных

Особое внимание следует уделить закреплению порядка хранения персональных данных и документов, их содержащих. Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных. Рекомендуется указывать сроки хранения и порядок хранения персональных данных в информационных системах и на бумажных носителях с учетом установленного доступа к ним должностных лиц.

Базы данных, содержащих персональные данные работников, должны в обязательном порядке находиться на территории Российской Федерации. В связи с этим место нахождения используемых баз персональных данных рекомендуется указывать в ЛНА.

Порядок исправления, удаления, уничтожения обрабатываемых персональных данных должен быть предусмотрен в ЛНА с указанием порядка действий оператора при поступлении запроса, требования или отзыва согласия на обработку персональных данных от работников и иных субъектов персональных данных в каждом случае.

Рекомендуется включить в ЛНА способы реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

При ведении в бумажном виде журнала однократного пропуска на территорию, где находится оператор, содержащего персональные данные, необходимо в ЛНА закрепить цели обработки персональных данных, способ фиксации и состав информации, запрашиваемой у субъектов персональных данных, а также перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность такого журнала, сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор. Данное требование установлено постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Наконец, ЛНА по работе с персональными данными должен быть опубликован или к нему иным образом должен быть обеспечен неограниченный доступ. Выполнение данного требования обеспечивается через публикацию ЛНА на сайте компании (при наличии сайта) либо его размещение на внутреннем портале оператора, стенде в организации или иным способом, позволяющим обеспечить неограниченный доступ к документу.

Роскомнадзор подготовил рекомендации по составлению политики обработки персональных данных

Boiko Y/ Shutterstock.com

Ведомство на своем официальном сайте опубликовало рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных (далее – Политику) (http://www.rkn.gov.ru/personal-data/p908/). К примеру, в них указано какие структурные компоненты подлежат включению в Политику, в их числе: цели сбора персональных данных, правовые основания указанного процесса, объем и категории обрабатываемых персональных данных, их актуализация, исправление, удаление и уничтожение, а также ответы на запросы субъектов на получение доступа к ним.

Читайте так же: Ограничат ли ставки по микрокредитам

Указанные рекомендации подготовлены с участием Молодежной палаты Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных.

Отметим, что оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных. При этом, если сбор указанных данных происходит с использованием информационно-телекоммуникационных сетей, то Политика должна быть опубликована в используемой сети (ч. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).

Что может быть признано существенным нарушением установленной процедуры составления протокола по делу об административном правонарушении, выразившимся в нарушении установленного порядка обработки персональных данных, и привести к отмене постановления о назначении наказания? Узнайте из материала «Привлечение к административной ответственности по итогам проверки Роскомнадзора» в «Энциклопедии решений. Проверки организаций и предпринимателей» интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

Напомним, что с 1 июля за невыполнение этой обязанности для граждан предусмотрено наказание в виде предупреждения или наложения административного штрафа в размере от 700 до 1,5 тыс. руб., для должностных лиц – от 3 тыс. до 6 тыс. руб., для ИП – от 5 тыс. до 10 тыс. руб., для юрлиц – от 15 тыс. до 30 тыс. руб. (ч. 3 ст. 13.11 КоАП).

Компания собирает персональные данные на своем сайте. Как все оформить, чтобы не получить штраф Роскомнадзора

Материал для подписчиков издания «Корпоративные стратегии». Для оформления подписки на электронную версию издания перейдите по ссылке.

Электронные версии изданий

ОПЕРАТИВНОСТЬ

Подписчик читает издание ПЕРВЫМ, сразу же после его подписания в печать.

АРХИВ ИЗДАНИЯ

Вместе с новыми номерами предоставляется доступ к архиву издания за прошлые годы (при подписке на периоды более 6 месяцев).

PDF номеров издания

Номера изданий доступны для скачивания в pdf-формате.

Роскомнадзор подготовил рекомендации по составлению политики обработки персональных данных

Ведомство на своем официальном сайте опубликовало рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. К примеру, в них указано какие структурные компоненты подлежат включению в Политику, в их числе: цели сбора персональных данных, правовые основания указанного процесса, объем и категории обрабатываемых персональных данных, их актуализация, исправление, удаление и уничтожение, а также ответы на запросы субъектов на получение доступа к ним.

ДОКУМЕНТЫ РОСКОМНАДЗОРА

Рекомендации разработаны рабочей группой по вопросам организационной защиты персональных данных Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных: (Роскомнадзор) для снижения рисков безопасности в условиях «транзитного мира» и эффективного перехода к цифровой эпохе.

Методические рекомендации предназначены для специалистов в области безопасности информационных технологий и персональных данных, а также для заинтересованных лиц.

На основе документа предполагается разработка обучающих программ и документов для различных аудиторий

pdf (779.5 Кб) Методические рекомендации

01.08.2017 00:00 Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных

Рекомендации разработаны в целях разъяснения порядка заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.

Прекратили действие в связи с принятем Рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (утв. заместителем руководителя Роскомнадзора 29 января 2016 г.)

Методические рекомендации разработаны с целью оказания помощи операторам, осуществляющим обработку персональных данных и являющимся государственными или муниципальными органами (далее — Методические рекомендации, Операторы), в выборе предпочтительных вариантов реализации утвержденных требований и методов на практике.

Методические рекомендации содержат методологию обезличивания персональных данных в информационных системах, а также построение процессов дальнейшей обработки данных, полученных в результате обезличивания (далее — обезличенные данные).

Методические рекомендации содержат анализ процессов автоматизированной обработки обезличенных данных, требований к обезличенным данным и методам обезличивания, позволяющий выделить основные свойства обезличенных данных и методов обезличивания и оценить возможности их применения при решении задач обработки персональных данных с учетом вида деятельности Оператора и необходимых действий с персональными данными.

В соответствии со статьей 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

Читайте так же: Правила перестроения по полосам из ряда в ряд по пдд

10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор

Ошибка № 1. Не разработали и не опубликовали политику обработки персональных данных

Ошибка № 2. Не назначили ответственного за обработку персональных данных

Ошибка № 3. Не утвердили перечень лиц, которые имеют доступ к персональным данным

Ошибка № 4. Собираете и храните лишние документы

Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.

Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).

Ошибка № 5. Не проводите внутренний аудит работы с персональными данными

Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.

Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных

Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных

Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных

Ошибка № 9. Не утвердили перечень мест хранения персональных данных

Ошибка № 10. Используете неверный бланк согласия на обработку персональных данных

Роскомнадзор рассказал, что включить в политику обработки персональных данных

Что случилось?

Роскомнадзор опубликовал на своем сайте рекомендации по составлению документа, определяющего политику оператора персональных данных по их обработке. Чиновники дают структуру политики, уточняя, что должно быть в каждом разделе.

По мнению Роскомнадзора, операторы персональных данных должны включать в политику обработки следующие моменты:

общие положения;
цели сбора данных;
основания для обработки персональной информации (федеральные документы, договоры с субъектами данных, их согласие на обработку);
содержание и объем обрабатываемых персональных данных;
порядок и условия обработки с указанием сроков хранения сведений;
регламенты реагирования на запросы/обращения субъектов персональных данных и их представителей, а также уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным;
формы запросов/обращений.

Почему это важно?

В Роскомнадзоре разработали рекомендации, чтобы операторам персональных данных было проще разработать собственную политику обработки. Предложенные структура и форма документа также упростят контроль за компаниями, которые обрабатывают личную информацию граждан.

Что делать?

Поскольку Роскомнадзор не может обязать придерживаться рекомендаций при составлении политики обработки персональных данных, операторы не обязаны полностью копировать всю структуру документа. Однако очень удобно взять ее за шаблон и разработать подходящий для конкретной ситуации локальный акт.

Отметим, что законодательство обязывает оператора публиковать политику в сети либо иным образом сделать его общедоступным. За отказ выполнять это требование грозит штраф по ч.3 ст.13.11 КоАП РФ. Штраф для граждан в этом случае может составить 1,5 тысячи рублей, для ИП – 10 тысяч рублей, а для организации – 30 тысяч рублей.

Рекомендации роскомнадзора по составлению политики персональных данных