Визначення цілей обробки персональних даних та способів роботи з ними. Положення про обробку та захист персональних даних Мета обробки персональних даних приклад

Це доручення на обробку персональних даних (далі – Доручення) розроблено відповідно до Федерального закону від 27.07.2006. №152-ФЗ «Про персональні дані». Дане доручення визначає порядок обробки персональних даних та заходи щодо забезпечення безпеки персональних даних у ТОВ «КардсПроСервіс» з метою захисту прав і свобод людини та громадянина при обробці його персональних даних, у тому числі захисту прав на недоторканність приватного життя, особисту та сімейну таємницю.

1. ТЕРМІНИ І ВИЗНАЧЕННЯ

1) Персональні дані- будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи (суб'єкта персональних даних);

2) Оператор (Замовник) - державний орган, муніципальний орган, юридична або фізична особа, які самостійно або спільно з іншими особами організовують та (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними;

3) Обробка персональних даних- будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збирання, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення, використання, передачу (розповсюдження, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних;

4) Автоматизована обробка персональних даних- Обробка персональних даних за допомогою засобів обчислювальної техніки;

5) Поширення персональних даних- дії, створені задля розкриття персональних даних невизначеному колу осіб;

6) Надання персональних даних- дії, спрямовані на розкриття персональних даних певній особі чи певному колу осіб;

7) Блокування персональних даних- тимчасове припинення обробки персональних даних (крім випадків, якщо обробка необхідна уточнення персональних даних);

8) Знищення персональних даних- дії, внаслідок яких стає неможливим відновити зміст персональних даних в інформаційній системі персональних даних та (або) внаслідок яких знищуються матеріальні носії персональних даних;

9) Уповноважені особи Замовника- особи, які діють у відповідність до угоди про
конфіденційності, укладеним із Замовником.

10) Пробезлічення персональних даних- дії, внаслідок яких стає неможливим без використання додаткової інформації визначити належність персональних даних конкретному суб'єкту персональних даних;

11) Інформаційна система персональних даних- сукупність персональних даних, що містяться в базах даних і забезпечують їх обробку інформаційних технологій та технічних засобів;

12) Транскордонна передача персональних даних- передача персональних даних на
територію іноземної держави органу влади іноземної держави, іноземної фізичної особи або іноземної юридичної особи;

13) Виконавець- ТОВ «КардсПроСервіс» (123610, м. Москва, Краснопресненська набережна, будинок 12, офісна будівля 1, приміщення Iд, кімната 42; ОГРН 1157746550070).

2. ДОРУЧЕННЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

2.1. Замовник, будучи Оператором персональних даних, відповідно до п. 3 ст. 6 Федерального закону від 27.07.2006 року № 152-ФЗ «Про персональні дані», доручає, а Виконавець, зобов'язуються здійснювати обробку персональних даних суб'єктів, на користь Замовника та на виконання
Користувальницької угоди.

3. ПОРЯДОК ВЗАЄМОДІЇ СТОРІН

3.1. Підставою для Виконавця на обробку персональних даних суб'єктів, що здійснюється на користь Замовника, є Угода користувача.

3.2. Порядок організації збору згод суб'єктів персональних даних на обробку та передачу їх персональних даних, а також мети обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними:

3.2.1. Ціль обробки персональних даних.

Обробка персональних даних доручається з метою реалізації програм лояльності.

3.2.2. Перелік персональних даних, обробка яких доручається Виконавцю

  • Прізвище ім'я по батькові;
  • Місце, рік та дата народження;
  • Контактний телефон;
  • Адреса реєстрації;
  • Адреса місця фактичного проживання (перебування);
  • Паспортні дані (серія, номер паспорта, ким і коли видано);
  • Телефонний номер (домашній, робітник, мобільний).
3.2.3. Перелік дій (операцій) з персональними даними, які доручається здійснювати Виконавцю:
  • Збір персональних даних.
  • Систематизація персональних даних.
  • Накопичення персональних даних.
  • Використання персональних даних для реалізації програм лояльності та комунікації із суб'єктами персональних даних.
  • Зберігання персональних даних.
  • Уточнення (оновлення, зміна) персональних даних:

  • Вилучення (вивантаження) – за додатковим письмовим дорученням Замовника.
  • Знеособлення персональних даних:
    -
    - на законну вимогу суб'єкта персональних даних, з обов'язковим письмовим повідомленням Замовника;
    - на вимогу органів державного регулювання щодо захисту прав суб'єктів персональних даних, з обов'язковим письмовим повідомленням Замовника.
  • Блокування персональних даних:
    - за додатковим письмовим дорученням Замовника;
    - на законну вимогу суб'єкта персональних даних, з обов'язковим письмовим повідомленням Замовника;
    - на вимогу органів державного регулювання щодо захисту прав суб'єктів персональних даних, з обов'язковим письмовим повідомленням Замовника.
  • Видалення персональних даних:
    - за додатковим письмовим дорученням Замовника;
    - на законну вимогу суб'єкта персональних даних, з обов'язковим письмовим повідомленням Замовника;
    - на вимогу органів державного регулювання щодо захисту прав суб'єктів персональних даних, з обов'язковим письмовим повідомленням Замовника.
  • Знищення персональних даних – за додатковим письмовим дорученням Замовника.
3.2.4. Порядок обробки персональних даних

Обробка персональних даних має обмежуватися досягненням конкретних, заздалегідь визначених та законних цілей. Не допускається обробка персональних даних, несумісна з метою збору персональних даних.
Не допускається об'єднання баз даних, що містять персональні дані, обробка яких здійснюється з метою, несумісною між собою.
Обробці підлягають лише персональні дані, які відповідають цілям їхньої обробки.
Зміст та обсяг оброблюваних персональних даних повинні відповідати заявленим цілям обробки. Персональні дані, що обробляються, не повинні бути надмірними по відношенню до заявлених цілей їх обробки.
Під час обробки персональних даних мають бути забезпечені точність персональних даних, їх достатність, а також актуальність щодо цілей обробки персональних даних.
Зберігання персональних даних має здійснюватися у формі, що дозволяє визначити суб'єкта персональних даних не довше, ніж цього вимагають мети обробки персональних даних, якщо інше не визначено умовами договору. Оброблювані персональні дані підлягають знищенню чи знеособленню по досягненню цілей обробки або у разі втрати необхідності досягнення цих цілей, якщо інше визначено умовами договору.

3.2.5. Організація захисту персональних даних

Об'єкти захисту

  • інформація, що містить персональні дані суб'єктів;
  • машинні носії, які містять персональні дані суб'єктів;
  • інформаційні системи персональних даних;
  • персональні дані суб'єктів, які у електронних базах даних інформаційних систем персональних даних.
3.2.6. Заходи щодо організації та забезпечення безпеки персональних даних

Для забезпечення безпеки персональних даних Виконавцем повинні виконуватися такі заходи:

  • Необхідні правові, організаційні та технічні заходи або забезпечувати їх прийняття для захисту персональних даних від неправомірного чи випадкового доступу до них, знищення, зміни, блокування, копіювання, надання, розповсюдження персональних даних, а також інших неправомірних дій щодо персональних даних.
  • Забезпечення доступу працівників Виконавця до персональних даних, що обробляються за дорученням Замовника, після підписання ними Зобов'язання про нерозголошення персональних даних, вивчення вимог Замовника щодо порядку обробки та захисту персональних даних, локальних нормативних актів, що регламентують порядок організації та забезпечення захисту персональних даних та проходження інструктажу по порядку звернення із персональними даними.
  • Визначає загрози безпеці персональних даних при їх обробці в інформаційних системах персональних даних.
  • Застосування організаційних і технічних заходів щодо забезпечення безпеки персональних даних для їх обробки у інформаційних системах персональних даних, необхідні виконання вимог захисту персональних даних, виконання яких забезпечує встановлені Урядом Російської Федерації рівні захищеності персональних даних.
  • Оцінка ефективності заходів, що вживаються щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційної системи персональних даних.
  • Облік машинних носіїв персональних даних.
  • Виявлення фактів несанкціонованого доступу до персональних даних та вжиття заходів.
  • Відновлення персональних даних, модифікованих чи знищених унаслідок несанкціонованого доступу до них.
  • Встановлення правил доступу до персональних даних, що обробляються в інформаційній системі персональних даних, а також забезпеченням реєстрації та обліку всіх дій, які здійснюються з персональними даними в інформаційній системі персональних даних.
  • Контролює заходи щодо забезпечення безпеки персональних даних та рівня захищеності інформаційних систем персональних даних.
3.2.7. Знищення персональних даних

Знищення персональних даних суб'єктів може здійснюватися Виконавцем лише:

  • за додатковим письмовим дорученням Замовника;
  • на законну вимогу суб'єкта персональних даних, з обов'язковим письмовим повідомленням Замовника;
  • на вимогу органів державного регулювання щодо захисту прав суб'єктів персональних даних, з обов'язковим письмовим повідомленням Замовника.
Знищення оброблюваних персональних даних суб'єктів має бути гарантованим та забезпечувати неможливість відновлення змісту персональних даних в інформаційній системі персональних даних або носіїв, які їх містять.

3.2.8. Порядок припинення обробки персональних даних

Припинення обробки персональних даних здійснюється:

  • у разі припинення договірних відносин, які є основою обробки персональних даних;
  • за додатковим письмовим дорученням Замовника;
  • за письмовим розпорядженням органів державного регулювання.
У всіх випадках припинення обробки персональних даних, подальше призначення баз даних визначається Замовником зі складанням письмового повідомлення про подальше призначення баз персональних даних.

4. ПРАВА ТА ОБОВ'ЯЗКИ СТОРІН

4.1. Замовник зобов'язується:

4.1.1. У разі відкликання суб'єктом персональних даних згоди на обробку персональних даних та відсутності підстав, зазначених у пунктах 2 – 11 частини 1 статті 6, частини 2 статті 10 та частини 2 статті 11 Федерального закону від 27.07.2006 р. № 152-ФЗ «Про персональні даних», що допускають обробку
персональних даних без наявності згоди суб'єкта, направляти Виконавцю письмове доручення для проведення робіт з видалення або знеособлення персональних даних суб'єкта.

4.1.2. При надходженні запиту від суб'єкта персональних даних на надання відомостей, зазначених у частині 7 статті 14 Федерального закону від 27.07.2006 р. № 152-ФЗ "Про персональні дані", або вимог суб'єкта про потонання його персональних даних, їх блокування або знищення у разі , якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки, направляти Виконавцю письмове доручення
надання інформації, або вчинення конкретних дій із персональними даними суб'єкта.

4.2. Виконавець зобов'язується:

4.2.1. Здійснювати обробку персональних даних на законній основі, у суворій відповідності до умов цього Доручення.

4.2.2. На першу письмову вимогу Замовника зробити передачу (повернення) оброблюваних за його дорученням баз персональних даних, зазначеним у вимогі способом.

4.2.4. За запитом уповноваженого органу захисту прав суб'єктів персональних даних, надати доказ отримання зібраних у рамках цього Доручення згод суб'єктів персональних даних на обробку їх персональних даних або доказ наявності підстав, зазначених у пунктах 2 – 11 частини 1 статті 6, частини 2 статті 10 та частини 2 статті 11 Федерального закону від 27.07.2006 р. № 152-ФЗ "Про персональні дані", що допускають обробку персональних даних без наявності згоди суб'єкта.

Ця інформація – будь-яка дія або операція з особистими даними суб'єкта: збір, запис, систематизація, накопичення, зберігання, уточнення, вилучення, використання, передача, знеособлення, блокування, видалення, знищення.

Навіщо збирати інформацію про суб'єкта та давати згоду на її аналіз?

Для клієнта/пацієнта

Відомості про стан здоров'я громадянина належать до спеціальної категорії персональних даних.Відповідно до ч. 2 п. 4 ст. 10 ФЗ № 152 обробка таких відомостей допускається без згоди суб'єкта за умови, що вона здійснюється з метою:

  • встановлення діагнозу;
  • профілактики захворювання;
  • надання медичних та медико-соціальних послуг.

Це справедливо для ситуацій, коли обробка здійснюється професійним лікарем, зобов'язаним зберігати лікарську таємницю відповідно до законодавства РФ.

Виняток становлять ті ситуації, коли отримати згоду неможливо,але необхідна захисту життя чи здоров'я пацієнта.

Якщо людина користується будь-якою послугою – укладає договір, оформляє кредит – тобто є клієнтом, особисті відомості про неї також можуть бути опрацьовані згідно з ФЗ № 152 .

Дані клієнта можуть бути використані для:

  1. Надання консультаційних, інформаційних та посередницьких послуг.
  2. Укладання та виконання договору з клієнтом.
  3. Ведення кадрової роботи та бухгалтерських послуг.
  4. Інші угоди, які не заборонені законодавством РФ.

Для співробітника організації

Роботодавець має право на своїх співробітників, воно закріплено у ст. 22 ФЗ №152. Цілі обробки персональних даних в організації:

  • Оформлення цивільно-правових договорів із громадянами, передбачених Законодавством РФ та Статутом підприємства.
  • Кадровий облік, дотримання законів та , оформлення зобов'язань за трудовими та цивільно-правовими договорами.
  • Допомога у працевлаштуванні, здобутті освіти або просування по службі, оформленні та використанні пільг.
  • Забезпечення особистої безпеки працівника та збереження майна.
  • Виконання вимог податкового та пенсійного законодавства при нарахуванні внесків на пенсійне страхування.
  • Формування статистики у відповідність до Трудовим, Податковим Кодексами та федеральними законами.
  • Контроль виконуваної працівником роботи.

(Ст. 86 "Трудового Кодексу Російської Федерації" від 30.12.2001 р. № 197-ФЗ). Особисті відомості про працівника, що належать до категорії «спеціальні», не підлягають обробці роботодавцем.

Обов'язково мають бути встановлені терміни дії Згоди на обробку персональних даних, це може бути конкретна дата або подія, наприклад, звільнення чи відкликання працівником своєї згоди.

Приклади

Банківська сфера

Банк "Фінансовий". Мета обробки персональних даних клієнта – здійснення банківських та інших операцій,в тому числі:

  1. Відкриття та ведення банківських рахунків.
  2. Переказ коштів за банківськими рахунками.
  3. Переказ коштів від осіб – фізичних та юридичних осіб без відкриття банківського рахунку.
  4. Купівля-продаж іноземної валюти.
  5. Надання послуг консультування та інформування, у тому числі через адресу електронної пошти.

Медична організація

Медична організація "Здоров'я". Мета обробки:

  • Організація надання медичної допомоги.
  • Виписування пільгових рецептів.
  • Оплата рахунків у системі ЗМС та ДМС.
  • Використання для статистики та під час проведення науково-дослідної роботи.
  • Інформування за допомогою смс-повідомлення про результати аналізів, акції та розклад роботи фахівців.

Висновок

З клієнта або пацієнта не все так просто, як здається на перший погляд.Просто так, без згоди та попередження, вони не можуть бути передані третім особам або використані з тією метою, з якою суб'єкт не згоден. Якщо людина зіткнулася з тим, що стався витік його особистих даних, він завжди може звернутися до Роскомнагляду або суду.

Чи не знайшли відповіді на своє запитання? Дізнайтесь, як вирішити саме Вашу проблему - зателефонуйте прямо зараз:

Відповідно до ч. 2 ст. 85 ТК РФ обробка персональних даних працівника -це отримання, зберігання, комбінування, передача чи інше використання персональних даних працівника.

Обробка персональних даних працівника може здійснюватися виключно з метою забезпечення дотримання законів та інших нормативних правових актів, сприяння працівнику у працевлаштуванні, навчанні та просуванні по службі, забезпечення столичної безпеки, а також контролю кількості та якості виконуваної ним роботи та забезпечення збереження майна (п. 1 ст. 86 ТК РФ).

Відповідно до п. 3 ст. 3 Федерального закону «Про персональні дані» обробка персональних даних — це дії (операції) з персональними даними, включаючи збирання, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), використання, поширення (у тому числі передачу), знеособлення, блокування знищення персональних даних. Слід мати на увазі, що незалежно від кількості функціональних операцій, що перераховуються в законодавстві, правове регулювання має охоплювати всі стадії обробки персональних даних — від отримання до знищення без будь-яких вилучень і винятків.

До принципів обробки персональних даних зазначений Закон відносить такі:

  • законність цілей та способів обробки та сумлінність;
  • відповідність цілей обробки цілям, заздалегідь визначеним та заявленим при зборі персональних даних, а також повноважень оператора;
  • відповідність обсягу та характеру оброблюваних даних, способів обробки цілям їх обробки;
  • достовірність персональних даних, їх достатність для цілей обробки, неприпустимість обробки персональних даних, що не мають відношення до цілей, заявлених під час збору даних;
  • неприпустимість об'єднання створених для несумісних між собою цілей баз даних інформаційних систем персональних даних.

Обробка персональних даних працівника починається з отримання. За загальним правилом усі персональні дані слід отримувати у самого працівника. У виняткових випадках, коли персональні дані працівника можна отримати лише у третьої сторони, працівника має бути повідомлено про це заздалегідь і від нього має бути отримана письмова згода. Роботодавець зобов'язаний повідомити працівника про цілі, передбачувані джерела та способи отримання персональних даних, а також про характер підлягають отриманню персональних даних та наслідки відмови працівника дати письмову згоду на їх отримання (п. 3 ст. 86 ТК РФ). Однак персональні дані працівника про його політичні, релігійні та інші переконання та приватне життя роботодавець не має права отримувати та обробляти (п. 4 ст. 86 ТК РФ). Також роботодавець не може вимагати інформацію про стан здоров'я працівника, якщо це не відноситься до вирішення питання про можливість виконання працівником трудової функції (ст. 88 ТК РФ).

Окремі вимоги ТК РФ пред'являє до організації та технології обробки персональних даних роботодавцем. Обов'язок ознайомлення працівників та їх представників під розпис із документами роботодавця, які встановлюють порядок опрацювання персональних даних працівників, а також про їхні права та обов'язки у цій галузі, передбачає необхідність розробки та прийняття відповідного локального нормативного правового акта. Такий акт, залежно від специфіки діяльності та розсуду роботодавця, може іменуватися положенням або інструкцією і, як правило, включає наступні розділи:

  • основні поняття та положення;
  • обробка персональних даних працівника;
  • формування персональних даних працівника;
  • облік, зберігання та передача персональних даних працівника;
  • права та обов'язки працівника в галузі обробки та захисту його персональних даних.

Такий локальний нормативний правовий акт визначає режим конфіденційності (обмеженого доступу) персональних даних працівника певного роботодавця. Співробітники роботодавця, які отримують персональні дані працівника, зобов'язані дотримуватися цього режиму, про що необхідно вказати не тільки в їх посадових інструкціях, а й у трудових договорах, що укладаються з ними. Положення (інструкція) про захист персональних даних є основним документом, який відбиває специфіку обробки та передачі персональних даних працівника в межах конкретної організації, у певного індивідуального підприємця. У разі наявності в рамках цієї діяльності автоматизованої складової роботодавець не має права приймати щодо працівника рішення, що базуються на персональних даних, отриманих виключно внаслідок їх автоматизованої обробки або електронного отримання (п. 6 ст. 86 ТК РФ). Роботодавець може не обмежуватися прийняттям положення про захист персональних даних працівників у своїй організації. Проте наявність цього локального акта є обов'язковою, яке відсутність розглядається державною інспекцією праці як серйозне порушення трудового законодавства.

За це та інші порушення норм, що регулюють отримання, обробку та працівника, роботодавець може притягувати винних осіб до матеріальної, дисциплінарної відповідальності, а відповідні державні органи – до цивільно-правової, адміністративної та кримінальної.

Здійснюється виходячи з виконання законів та інших нормативних актів.

Що таке обробка персональних даних? У цей процес включаються такі дії:

Правове регулювання роботи з персональними даними охоплює всі процеси та стадії роботи з ними.

Ціль

Навіщо потрібна обробка персональних даних? Обробка персональних даних працівника складає підприємстві, у створенні з метою сприяння йому.

Основні цілі обробки персональних даних:

  • у влаштуванні працювати;
  • у влаштуванні до навчального закладу або на навчання, щодо підвищення кваліфікації;
  • з метою охорони організації праці;
  • для просування по службі та контролю, за можливістю кар'єрного зростання;
  • для здійснення контролю, за кількістю та якістю виконаних робіт.

Законодавство передбачає акумуляцію та трансляцію особистих даних працівника виключно з метою його розвитку та доцільного застосування його здібностей та досвіду. , включають багатофункціональні цілі.

У цілі обробки персональних даних працівників входить використання та обробки персональних даних шляхом їх синтезу та взаємозв'язку, що визначають актуальність можливостей працівника в умовах організації виробничого процесу.

Поставлені та озвучені цілі для обробки персональних даних не можуть змінюватися без повідомлення працівника.

Ким здійснюється?

Під персональними даними розуміється така інформація, що містить основні відомості про особу, яка представляє інтерес для певного кола представників державних та інших служб.

Зокрема, на виробництві (в організації) персональні дані становлять інтерес для роботодавця, який здійснює управління організацією праці на виробництві на підставі відомостей про своїх співробітників.

Роботодавець має право зажадати будь-які персональні дані, наявні в облікових записах про працівника. Крім нього, доступ до персональних даних має обмежене коло осіб, що здійснює операційну роботу. Як правило, це секретаріат та співробітники кадрової служби.

Оператор, який здійснює інформаційну діяльність з персональними даними, перш ніж розпочати зазначену роботу, проходить інструктаж. Він знайомиться з правилами роботи та принципами, що забороняють розголошення відомостей, що містяться в персональних даних.

Здійснення перелічених видів робіт може переслідувати виключно ті цілі, які стали причиною збору інформації. Нецільове використання персональних даних або їх розголошення вважається грубим порушенням, яке зобов'язується.

Порушення

Як було розглянуто раніше, порушеннями в обробці персональних даних вважаються:


Робота оператора з персональними даними підлягає суворому контролю з боку уповноважених служб, а за недоліки, ненавмисні чи навмисні порушення оператору ставиться у вину відповідальність.

За всі неправомочні дії при обробці персональних даних може бути покарання: дисциплінарне, адміністративне, в деяких випадках – кримінальне.

1 липня 2017 року набрав чинності Федеральний закон від 07.02.2017 № 13-ФЗ, який вносить поправки до ст. 13.11 КпАП та передбачає розширення переліку підстав для притягнення до адміністративної відповідальності за незаконну і суттєве збільшення штрафів.

Один із обов'язкових документів, який має підготувати оператор персональних даних, щоб дотриматися вимог Федерального закону від 27.07.2006 № 152-ФЗ, називається Політика щодо обробки персональних даних, вона пояснює, як компанія працює з даними працівників, клієнтів та інших фізичних осіб. Цей файл знаходиться у вільному доступі практично на всіх сайтах, які мають будь-які форми збору персональних даних.

Як правильно скласти Політику обробки персональних даних, які розділи обов'язково потрібно включити? Роз'яснення з цих питань дає Роскомнагляд.

Структура Політики обробки персональних даних

  • загальні положення
  • Цілі збору персональних даних
  • Правові підстави обробки персональних даних
  • Обсяг та категорії оброблюваних персональних даних, категорії суб'єктів персональних даних
  • Порядок та умови обробки персональних даних
  • Актуалізація, виправлення, видалення та знищення персональних даних, відповіді на запити суб'єктів на доступ до персональних даних

1. Загальні цілі

У цьому розділі ви фактично відповідаєте на запитання – навіщо призначена Політика обробки персональних даних? Тут же пояснюються основні поняття, що використовуються в документі, а також права та обов'язки оператора та суб'єкта персональних даних.

2. Цілі збору персональних даних

ст. 5 Федерального закону від 27.07.2006 № 152-ФЗ вимагає визначення конкретних, законних цілей збору даних. Отже, не можна обробляти персональні дані, які не відповідають цим цілям.

Роскомнагляд вказує на те, що цілі обробки персональних даних можуть відбуватися в тому числі:

  • з аналізу правових актів, які регламентують діяльність оператора;
  • із цілей фактично здійснюваної оператором діяльності;
  • з діяльності, що передбачена установчими документами оператора;
  • з конкретних бізнес-процесів оператора в конкретних інформаційних системах персональних даних (за структурними підрозділами оператора та їх процедур щодо певних категорій суб'єктів персональних даних).

3. Правові основи обробки персональних даних

Федеральний закон від 27.07.2006 № 152-ФЗ не є правовою основою обробки персональних даних. Цю роль виконують правові акти, відповідно до яких оператор опрацьовує дані.

Таким чином, у Політиці обробки даних як правові підстави можна вказати: федеральні закони та прийняті на їх основі нормативні правові акти, що регулюють відносини, пов'язані з діяльністю оператора; статутні документи оператора; договори, що укладаються між оператором та суб'єктом персональних даних; згоду на обробку персональних даних (у випадках, прямо не передбачених законодавством Російської Федерації, але відповідних повноважень оператора).

4. Обсяг та категорії оброблюваних персональних даних, категорії суб'єктів персональних даних

Важливо, щоб обсяг оброблюваних персональних даних не розходився із заявленими метою обробки.

До категорій суб'єктів персональних даних можуть належати: співробітники — як справжні, так і колишні, кандидати на вакансії, родичі працівників, клієнти та контрагенти (фізособи), представники чи працівники клієнтів та контрагентів.

Роскомнагляд звертає увагу, що з кожної категорії суб'єктів і стосовно конкретним цілям слід зазначити все оброблювані персональні дані. Окремо описуються всі випадки обробки спеціальних категорій персональних даних та біометричних персональних даних (якщо застосовуються).

5. Порядок та умови обробки персональних даних

Що вказується у цьому розділі:

  • перелік дій, які здійснюються з персональними даними;
  • способи обробки персональних даних;
  • терміни опрацювання персональних даних.

Якщо рамках досягнення цілей обробки персональних даних оператор взаємодіє з третіми особами, йому потрібно:

  • пояснити умови передачі персональних даних на адресу третіх осіб (у тому числі йдеться і про транскордонну передачу даних);
  • вказати найменування та місцезнаходження третіх осіб;
  • позначити цілі передачі та їх обсяг;
  • перерахувати дії з обробки, способи та інші умови обробки, включаючи вимоги до захисту персональних даних, що обробляються.

Передавати персональні дані оператор має право органам дізнання та слідства, а також іншим уповноваженим органам за передбаченими законодавством підставами.

До Політики обробки персональних даних слід внести відомості про дотримання вимог конфіденційності персональних даних (вони названі у ст. 7 Федерального закону від 27.07.2006 № 152-ФЗ) та інформацію про вжиття заходів (ч. 2 ст. 18.1, ч. 1 ст. 19).

Крім того, оператору потрібно вказати умову припинення обробки персональних даних. Це може бути досягнення цілей обробки, закінчення терміну дії згоди на обробку, відкликання згоди суб'єкта персональних даних на обробку, виявлення неправомірної обробки даних.

Окрему увагу варто приділити такому питанню як зберігання персональних даних. По-перше, обов'язково називаються терміни. По-друге, використовуються бази даних, що знаходяться на території РФ. По-третє, враховується той факт, що зберігання має здійснюватися у формі, що дозволяє визначити суб'єкта персональних даних не довше, ніж цього вимагають мети обробки. По-четверте, необхідно згадати інші умови зберігання, зокрема, при обробці даних без використання засобів автоматизації.

6. Актуалізація, виправлення, видалення та знищення персональних даних, відповіді на запити суб'єктів на доступ до персональних даних

Відповідно до ст. 21 № 152-ФЗ, персональні дані мають бути актуалізовані оператором, якщо підтверджено факт неточності персональних даних. Те саме стосується й підтвердження факту неправомірності обробки.

Персональні дані підлягають знищенню при досягненні цілей їх обробки та у разі відкликання суб'єктом персональних даних згоди на їх обробку, якщо: інше не передбачено договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт персональних даних; інше не передбачено іншою угодою між оператором та суб'єктом персональних даних. Оператор немає права здійснювати обробку без згоди суб'єкта персональних даних на підставах, передбачених Федеральним законом від 27.07.2006 № 152-ФЗ чи іншими федеральними законами.

На підставі ст. 20 оператор зобов'язаний повідомити суб'єкт персональних даних інформацію про здійснювану ним обробку персональних даних на запит.

Роскомнагляд рекомендує включити до Політики обробки персональних даних регламенти реагування на запити та звернення суб'єктів персональних даних, їх представників, уповноважених органів з приводу неточності даних, неправомірності їх обробки, відкликання згоди та доступу до своїх даних. Не зайвим буде додати до Політики відповідні форми запитів та звернень.

Розміщення Політики обробки персональних даних в офісі та на сайті

Будь-яка людина, чиї дані опрацьовує компанія, має право ознайомитися з Політикою обробки персональних даних. Тому її потрібно розміщувати у загальнодоступному місці. Наприклад, використовуватиме цього інформаційний стенд.

Якщо компанія збирає персональні дані через інтернет, вона зобов'язана розмістити Політику на сайті. Відвідувач сайту зможе ознайомитися з нею, натиснувши на посилання.

Щоб дізнатися про найважливіші зміни, що стосуються бізнесу, приєднуйтесь до нашого каналу в