Роскомнадзор разработал рекомендации по составлению политики обработки ПД для операторов

489

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций опубликовала рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных.

Напомним, с 1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 №13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Закон установил семь новых составов административных правонарушений при обработке персональных данных, затрагивающих основной круг распространённых правонарушений в области персональных данных.

Частью 3 статьи 13.11 КоАП РФ устанавливает административную ответственность за невыполнение оператором персональных данных обязанности по опубликованию документа, определяющего политику в отношении обработки персональных данных.

Данная норма актуальна для большого количества онлайн-ресурсов и сервисов, собирающих персональные данные (ПД) пользователей в Интернете, отмечает Роскомнадзор.

В политику обработки ПД рекомендуется включить следующие структурные компоненты:

1. Общие положения (описание назначение политики, основные понятия, права и обязанности оператора и субъектов ПД).

2. Цели сбора ПД (обработка ПД, несовместимая с целями сбора ПД, не допускается).

3. Правовые основания обработки ПД (например, федеральные законы, уставные документы оператора, договоры между оператором и субъектом ПД и пр.).

4. Объём и категории обрабатываемых ПД, категории субъектов ПД (обрабатываемые ПД не должны быть избыточными; в рамках каждой категории рекомендуется перечислить все обрабатываемые оператором ПД).

5. Порядок и условия обработки ПД (сюда входят и условия передачи ПД третьим лицам, и сведения о соблюдении требований конфиденциальности ПД, и условия прекращения обработки ПД, и сроки хранения данных)

6. Актуализация, исправление, удаление и уничтожение ПД, ответы на запросы субъектов на доступ к ПД (рекомендуется включить в политику регламент(ы) реагирования на запросы/обращения субъектов ПД и их представителей, уполномоченных органов по поводу неточности ПД, неправомерности их обработки, отзыва согласия и доступа субъекта ПД к своим данным, а также соответствующие формы запросов/обращений).