Ниже инструкция по минимизации рисков возложения на организацию ответственности за невыполнение требований законодательства о персональных данных.

Один из наиболее странных штрафов грозит организации за невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Странным этот штраф мы считаем по той причине, что Федеральный закон «О персональных данных» не дает определения тому, что есть политика в отношении обработки ПД и каково должно быть ее содержание. По смыслу закона это не тот документ, который содержит сведения о реализуемых оператором требованиях к защите ПД (такие сведения должны быть, исходя из части 2 статьи 18.1 ФЗ, опубликованы наряду с политикой). Не является такая политика и локальным актом (обычно именуется «Положение об обработке ПД» или как-то так). Политика в отношении обработки ПД – это не то же, что согласие об обработке ПД. Ввиду неясности по сути сего документа организации компилируют в него текст Федерального закона и добавляют информацию, которая должна содержаться в согласии на обработку ПД. Следующий ниже текст Политики составлен с целью формального соблюдения требований ФЗ и недопущения назначения штрафа. Разумеется, по мере нарастания административной и (неизбежно) судебной практики документ будет подлежать корректировке. Желтым маркером отмечены поля, которые требуют заполнения в отношении конкретной организации.

Политику следует разместить на видном месте, например, в футере сайта.

Скачать WORD-файл Политика организации в отношении обработки ПД (шаблон)

Политика организации в отношении обработки персональных данных

1. Общие положения
   • Настоящий документ (далее – «Политика») определяет политику общества с ограниченной ответственностью «____________» (ИНН____________, ОГРН____________, адрес:____________, далее — «Оператор») в отношении обработки персональных данных и содержит, помимо прочего, сведения о реализуемых Оператором требованиях к защите персональных данных.
   • Политика утверждена и опубликована на сайте ____________ (далее – «Сайт») во исполнение Оператором предусмотренных частью 2 статьи 18.1 Федерального закона от 07.2006 N 152-ФЗ «О персональных данных» (далее – «Федеральный закон») обязанностей по опубликованию в информационно-телекоммуникационной сети документа, определяющего политику Оператора в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также по обеспечению возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
   • Политика разработана с учетом требований законодательства Российской Федерации в области персональных данных. Примененные в Политике термины следует понимать в значении, определенном для них в Федеральном законе, если иное прямо не оговорено в Политике.
   • Политика доступна любому пользователю сети Интернет при переходе по ссылке ____________.
   • Оператор обрабатывает персональные данные пользователей с учетом следующих принципов:

— обработка персональных данных осуществляется Оператором на законной и справедливой основе;

— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Оператором не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

— обработке Оператором подлежат только персональные данные, которые отвечают целям их обработки;

— содержание и объем обрабатываемых Оператором персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;

— при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных;

— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2. Права субъекта персональных данных на доступ к его персональным данным

• Субъект персональных данных имеет право на получение следующих сведений:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные законодательством Российской Федерации.
  • Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, предусмотренных законодательством Российской Федерации.

3. Реализуемые оператором требования к защите персональных данных
   • Оператор использует систему защиты персональных данных, нейтрализующую актуальные угрозы, определенные в соответствии с Федеральным законом. Система защиты персональных данных включает в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
   • Оператор обеспечивает надлежащий уровень защищенности персональных данных при их обработке.