Зачем компании нужна политика обработки персональных данных

Роскомнадзор разработал Рекомендации по структуре и содержанию Политики по обработке персональных данных (сокращенно – Политика). Приведенная Политика не обязательна, буквально составлять и исполнять ее по образцу на сайте, не нужно. Документ носит рекомендательный характер и призван выработать унифицированный подход к его форме.

Он поможет вам сформировать структуру Политики, определить ее общее содержание, дополнить его согласно потребностям и особенностям вашей компании и при необходимости – актуализировать.

Мы ознакомились с Рекомендациями Роскомнадзора, проанализировали их и подготовили для вас в статье инструкцию для разработки вашей собственной Политики в отношении персональных данных.

ПРОВЕДИТЕ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ

Аудит персональных данных, в том числе и проверку Политики, можно провести собственными силами, а также – с помощью профессионалов с большим опытом проведения аудитов и экспертизой в области персональных данных. Для этого нужно изучить перечень нормативных актов, составить списки внутренних документов для проверки с описанием алгоритмов ее проведения и оформить кадровых документы (ст. 18.1 Закона № 152-ФЗ).

Не хватает времени? Закажите аудит у внешних экспертов. Команда "Митрофанова и партнеры" проводит аудиты более 20 лет, мы накопили большую практику и обязательно поможем вам правильно настроить вашу работу с персданными

ИНТЕРЕСНЫЕ СТАТЬИ

Что важно знать каждой компании об информационной безопасности при обработке персональных данных?

Подробнее

НАШИ КЕЙСЫ

Аудит персональных данных спас руководителя от тюрьмы и дисквалификации

Подробнее

Политика обработки персональных данных
Какая ответственность предусмотрена за отсутствие политики обработки персональных данных

Политика обработки персональных данных

Политика персональных данных – это обязательный документ для каждого работодателя, который является оператором персданных. Его принимают с целью обеспечить законность, конфиденциальность и безопасность при обработке персональных данных работников и третьих лиц (ст. 18. 1 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).

Унифицированной формы у Политики нет. Роскомнадзор разработал Рекомендации по ее составлению. Однако следует учесть, что ведомство предостерегает компании от принятия этого документа по единому образцу, поскольку он должен отражать специфику деятельности каждой отдельной организации и составляться под ее потребности, особенности и цели.

ВЫПИСКА

Оператор персональных данных – это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют сбор и обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (ст. 3 Закона № 152-ФЗ)

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), которые совершаются с использованием средств автоматизации (или без них) с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (ст. 3 Закона № № 152-ФЗ)

ВАЖНО!

Не путайте Политику в области обработки персданных с иными локальными актами (Регламентом допуска, Правилами по их защите, согласиями и др.). Они тоже обязательны в компании, но устанавливают частный и непосредственный порядок получения, обработки, распространения, хранения, защиты персданных и доступа к ним. Политика же – общий документ, который определяет концептуальные основы при работе с персданными

РЕКОМЕНДАЦИЯ

В Политике обязательно укажите субъекты обработки персональных данных. Субъект персональных данных – это работники, бывшие сотрудники, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физические лица) и их представители. Для каждой категории субъектов опишите свои цели и перечислите все персональные данные, которые вы обрабатываете. Помните, что нельзя обрабатывать персданные с не корректными целями их обработки или вовсе без указания целей (ст. 5 Закона № 152-ФЗ

Какая ответственность предусмотрена за отсутствие политики обработки персональных данных

Политика в отношении персональных данных должна быть не просто разработана и утверждена в вашей компании, но и размещена общедоступным способом: например, вывешена на информационном стенде или опубликована на сайте (ст. 18.1 № 152-ФЗ). Иначе оператор рискует быть привлеченным к ответственности по части 3 статьи 13.11 КоАП РФ.

ОБРАТИТЕ ВНИМАНИЕ!

Политику разрабатывают по распоряжению уполномоченного лица (чаще всего руководителя). Утверждают ее также либо по приказу с проставлением грифа «УТВЕРЖДЕНЫ» и его реквизитов, либо путем проставления грифа «УТВЕРЖДАЮ» с указанием должности, подписи, расшифровки уполномоченного лица и даты (ГОСТ Р 7.0.97-2016)

Штрафы за отсутствие Политики в общедоступном месте

Правонарушение

Ответственность

Норма

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему его политику в отношении обработки ПД, или сведениям о реализуемых требованиях к их защите

- для организации:

от 30000 до 60000 рублей;

- для ИП:

от 10000 до 20000 рублей;

- для должностного лица:

от 6000 до 12000 рублей;

- для граждан:

от 1500 до 3000 рублей.

ч. 3 ст. 13.11 КоАП РФ

Помимо уплаты административных штрафов, у работодателя возникает риск привлечь внимание к своей компании при проведении инспекционного мониторинга. Кроме того, в таком случае возможна внеплановая проверка по решению Роскомнадзора.

Заказать аудит персональных данных

Заказать

Чек-лист нарушений для экспресс-аудита Скачать

Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»