Политика обработки персональных данных: требования к документу
Содержание статьи
Юридические лица, самозанятые и индивидуальные предприниматели, которые обрабатывают данные физических лиц, являются операторами ПДн, и у них должна быть Политика обработки персональных данных.Если такого документа нет или он не размещен в открытом доступе — на информационном стенде или на сайте организации, — Роскомнадзор может оштрафовать на сумму до 60 000 рублей (ч.3 ст.13.11 КоАП РФ). Разберемся, как правильно составить этот документ и для чего он нужен.
Когда требуется документ
Политика обработки персональных данных — это внутренний документ организации, регламентирующий особенности работы с ПДн в соответствии с требованиями ФЗ от 27.07.2006 №152-ФЗ. Он определяет цели, правила, принципы и процедуры, которые применяются при сборе, хранении, использовании и защите персональных данных, и нужен абсолютно всем предпринимателям, которые собирают данные физлиц.
Почему так важна политика обработки ПДн:
- Соблюдение законодательства. Это требование ст. 18.1 ФЗ №152-ФЗ — без нее могут оштрафовать.
- Прозрачность для клиентов. Документ показывает, какие данные собираете и для каких целей, как защищаете — это повышает доверие.
- Контроль внутри компании. Четкие правила для сотрудников: кто, как и когда может работать с личными сведениями физлиц.
Согласно ст. 18.1 ФЗ №152-ФЗ, Политика должна быть доступна всем — и клиентам, и сотрудникам. Если у компании есть сайт, документ обязательно размещается там. При работе только офлайн — на информационном стенде.
Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»
Сделаем заключение на соблюдение требований Роскомнадзора
Запишитесь на бесплатный аудит
Заполните форму и мы свяжемся с вами
Содержание Политики обработки ПДн
На сайте Роскомнадзора опубликованы рекомендации по составлению документа, также можно посмотреть образец Политики оператора в отношении обработки персональных данных на сайте ведомства. Документ составляется каждой организацией индивидуально с учетом специфики деятельности: для каких целей он нужен, в какой объеме будут обрабатываться сведения, и т.д.
Что указывается в политике:
- Общие положения: что относится к ПДн, что такое обработка данных, какие оператор использует способы обработки.
- Цели сбора ПДн: например, заключение договоров,исполнение требований законодательства, и другое.
- Основания обработки ПДн: договоры, законодательство, согласие субъекта, уставные документы оператора.
- Объем и категории ПДн и субъектов: не должны противоречить заявленным целям. Здесь подробно расписывается, для чего оператор обрабатывает ПДн, с чьими данными он может работать.
- Порядок и условия работы с данными: как они хранятся, какие есть ограничения, какие способы обработки используются (автоматизированный, неавтоматизированный, смешанный).
- Условия обработки биометрии: когда оператор может обрабатывать такие ПДн, какие меры защиты предусмотрены.
- Особенности актуализации, уничтожения и удаления ПДн: обязанность оператора предоставить субъекту доступ к его данным, своевременно и правильно изменять или удалять их, прекращать работу с ними при отзыве согласия субъектом.
Если вы только планируете запускать бизнес, Политика должна быть у вас еще до того, как наймете сотрудников и станете собирать заявки от клиентов. Документ составить сложно, единого шаблона для всех организаций нет, поэтому, если у вас нет опыта или сотрудника, который справится с такой задачей, лучше обратиться за помощью к юристам.
Что в итоге
Политика обработки ПДн — ключевой документ для легальной работы с личной информацией. Важно помнить, что обработка персональных данных должна осуществляться в соответствии с законодательством и с учетом прав и свобод субъектов данных. Обязательное соблюдение требований Роскомнадзора поможет избежать неприятных последствий и сохранить репутацию компании.
Остались вопросы?
Наш менеджер вас проконсультирует
Наши ключевые услуги
Вам может быть интересно
