Политика в отношении обработки персональных данных

Что это за документ?

В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети.

Контроль исполнения этой обязанности осуществляют органы Роскомнадзора. И по их требованию оператор обязан представить перечисленные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных ст. 18.1 Закона № 152-ФЗ.

Что же это за документ? Не стоит путать его с положением о персональных данных. У оператора персональных данных в силу той же ст. 18.1 помимо Политики должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений.

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». До недавнего времени он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ (далее – Рекомендации).

О том, какие положения рекомендовано включать в документ, определяющий эту политику, мы расскажем далее. Но прежде следует разобраться, все ли работодатели являются операторами персональных данных и соответственно все ли должны утверждать и опубликовывать его для неограниченного доступа.

Права Субъектов ПДн и обязанности Оператора

8.1. Субъект ПДн имеет право на получение информации, касающейся Обработки его Персональных данных. Субъект ПДн вправе требовать от Оператора уточнения его Персональных данных (Данных), их блокирования или уничтожения в случае, если Персональные данные (Данные) являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законодательством меры по защите своих прав. Для реализации данного права Субъект ПДн может подать соответствующий запрос в службу поддержки Оператора по адресу электронной почты info@paidsub.io.

При получении запроса Субъекта ПДн о получении информации, касающейся Обработки Персональных данных, Оператор обязуется безвозмездно в доступной форме в течение 30 (тридцати) календарных дней предоставить следующую информацию:

  • подтверждение факта Обработки Персональных данных Оператором;
  • правовые основания и цели Обработки Персональных данных;
  • цели и применяемые Оператором способы Обработки Персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональным данным (Данным) или которым могут быть раскрыты Персональные данные (Данные) на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые Персональные данные (Данные), относящиеся к соответствующему Пользователю, источник их получения, если иной порядок представления таких данных не предусмотрен Законодательством;
  • сроки Обработки Персональных данных, в том числе сроки их хранения;
  • порядок осуществления Субъектом ПДн прав, предусмотренных Законодательством;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку Персональных данных по поручению Оператора, если Обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Законодательством.

8.2. В случае выявления случаев неправомерной Обработки Персональных данных Оператор обязуется прекратить такую Обработку. В случае если обеспечить правомерность Обработки Персональных данных невозможно, Оператор обязуется уничтожить такие Персональные данные (Данные) в порядке, установленном Законодательством.

8.3. В случае выявления факта неточности Персональных данных (Данных) Оператор обязуется осуществить блокирование таких Персональных данных (Данных) и уточнить их в порядке, установленном Законодательством.

8.4. Если Пользователь считает, что Оператор осуществляет Обработку Персональных данных с нарушением требований Законодательства или иным образом нарушает его права и свободы, Пользователь вправе обратиться с претензией к Оператору через службу поддержки, а также обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

8.5. Оператор обязуется принимать меры, необходимые и достаточные для соблюдения прав Субъектов ПДн и выполнения обязанностей, предусмотренных Законодательством. Оператор вправе самостоятельно определять перечень и состав таких мер.

8.6. Оператор осуществил следующие действия для реализации прав Пользователей и выполнения обязанностей, предусмотренных Законодательством:

  • Назначено лицо, ответственное за Обработку Персональных данных. Оно контролирует соблюдение Оператором и его работниками требований Законодательства, отвечает за безопасность данных, а также следит за тем, чтобы Оператор своевременно реагировал и отвечал на запросы Субъектов ПДн, связанные с Обработкой Персональных данных;
  • Приняты внутренние документы по вопросам Обработки Персональных данных и обеспечению их безопасности, работники ознакомлены с ними под роспись;
  • Регулярно проводится обучение работников и доведение до них требований Законодательства о персональных данных;
  • Регулярно проводятся внутренние проверки и контролируется, чтобы процессы Обработки Персональных данных не нарушали права Субъектов ПДн и требования Законодательства;
  • Регулярно проводится оценка вреда, который может быть причинен Субъектам ПДн в случае нарушения их прав и требований Законодательства, проводится соотнесение этого вреда с принимаемыми Оператором мерами для его предотвращения.

Права и обязанности

6.1. Права и обязанности Оператора:

6.1.1. Общество, как оператор персональных данных вправе:

– отстаивать свои интересы в суде;- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

– отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством РФ;

– использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством РФ.

6.1.2. Оператор персональных данных обязан:

Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

6.2. Права субъекта персональных данных:

6.2.1. Субъект персональных данных имеет право:

– требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

– требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения;

– получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

– требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

– на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Поделитесь в социальных сетях:FacebookXВКонтакте
Напишите комментарий