Политика в отношении персональных данных. Политика оператора персональных данных Политика обработки персональных данных закон

Образец Политики обработки персональных данных для организации. В конце статьи выложен образец в формате MS Word для скачивания.

С примерным перечнем документов по можете ознакомиться в данной статье

УТВЕРЖДАЮ
Директор ООО «________»

А. А. Иванов
«____»______________2017г.

ПОЛИТИКА обработки персональных данных ООО «____________»

1. Общие положения.

1.1. Настоящая Политика обработки персональных данных (далее - Политика обработки ПДн) ООО «________» (далее – Оператор), ИНН _________, расположенного по адресу: __________________, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами.
1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Политика обработки ПДн разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее – ПДн).
1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «_______» вопросы обработки персональных данных работников ООО «______» и других субъектов персональных данных.

2. Цели обработки персональных данных.

Персональные данные обрабатываются Оператором в следующих целях:
1) осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:
— выполнение требований законодательства в сфере труда и налогообложения;
— ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
— выполнение требований законодательства по определению порядка обработки и защиты ПДн граждан, являющихся клиентами или контрагентами ООО «________» (далее – субъекты персональных данных).
2) осуществления прав и законных интересов ООО «_____» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ООО «______», или третьих лиц либо достижения общественно значимых целей;
3) в иных законных целях.

3. Правовое основание обработки персональных данных.

Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно-правовых актов:
1) Конституции Российской Федерации;
2) Трудового кодекса Российской Федерации;
3) Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
4) Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.
5) Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
6) Постановления от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
7) приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
8) приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
9) приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
10) Приказ ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников».
11) Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

4. Перечень действий с персональными данным.

При обработке ПДн Оператор будет осуществлять следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5. Состав обрабатываемых персональных данных.

5.1. Обработке Оператором подлежат ПДн следующих субъектов ПДн:
— сотрудники Оператора;
— клиенты Оператора;
— контрагенты Оператора;
— физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
5.2. Состав ПДн каждой из перечисленных в п. 5.1 настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящего Положения, а также нормативным документам Учреждения, изданным для обеспечения их исполнения.
5.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.
5.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «_______» не осуществляется.

6. Обработка персональных данных.
6.1. Обработка персональных данных в ООО «__________» осуществляется следующими способами:
не автоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.

7. Обеспечение защиты персональных данных при их обработке Оператором.
Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:
– назначение Оператором ответственного за организацию обработки персональных данных;
– издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
– определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
7.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8. Право субъекта персональных данных на доступ к его персональным данным.
8.1. Субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.3. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
8.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Оператором;
– правовые основания и цели обработки персональных данных;
– цели и применяемые Оператором способы обработки персональных данных;
– наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки персональных данных, в том числе сроки их хранения;
–порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.
8.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.
8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1. Общие положения

1.1. Настоящая Политика Администрации сайта в отношении обработки персональных данных пользователей сайта «Юрсовет.ру» (далее также – сайт), разработана Администрацией сайта (далее также — Администрация) и определяет порядок и условия обработки Администрацией персональных данных пользователей сайта (далее также пользователи, посетители, читатели).

1.2. Политика является соглашением между любым пользователем и Администрацией, предметом которого является регулирование порядка и условий обработки Администрацией персональных данных пользователя.

1.3. К настоящей Политике применяются положения и термины, установленные законодательством в области персональных данных, об информации, информационных технологиях и о защите информации.

1.4. Пользователи обязан полностью ознакомиться с настоящей Политикой до момента совершения любых регистрационных и иных действий, влекущих передачу (размещение) любых своих данных на сайте. Регистрация пользователей на сайте, а также сообщение Администрации любых своих персональных данных означает полное и безоговорочное принятие пользователями настоящей Политики в соответствии со ст. 438 Гражданского кодекса Российской Федерации.

1.5. Политика может быть изменена Администрацией сайта в одностороннем порядке с сохранением предыдущих редакций соглашения и/или размещения сведений об истории производимых изменений. Приоритетную юридическую силу имеет соглашение, имеющее последнюю редакцию. Соглашение имеет обратную силу и распространяется на отношения, которые возникли ранее, в том числе по условиям в предыдущих редакциях. Сведения об изменениях публикуются по тексту Соглашения (в заключительных разделах) и являются надлежащим уведомлением, адресованным неопределенному кругу лиц.

1.6. Политика является открытым и общедоступным документом для неопределенного круга лиц. Действующая редакция Политики размещена в сети «Интернет» на странице сайта (адрес: ).

Администрация Сайта рекомендует пользователям регулярно проверять условия настоящей Политики на предмет её изменения. Продолжение использования сайта пользователями после внесения изменений в Политику означает принятие и согласие пользователей с такими изменениями.

2. Основания и условия обработки персональных данных пользователей

2.1. Основание обработки персональных данных.

2.1.1. Обработка персональных данных пользователей осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2.1.2. Пользователь, сообщая свои данные, выражает собственное волеизъявление, основанное на своем интересе и разумении. Под сообщением данных подразумеваются любые законные манипуляции пользователя, направленные на достижение своих выгод и удовлетворение потребностей, исходя из организационных, информационных и технических возможностей сайта, в том числе, но, не ограничиваясь, заключение соглашений об оказании услуг, запрос информации.

2.2. Цель обработки персональных данных.

2.2.1. Обработка персональных данных, в том числе сбор, хранение, передача и распространение производится исключительно для удовлетворения потребительских запросов пользователей в сфере правовых услуг, а также осуществления исследовательско-просветительной деятельности в области права.

2.3. Случаи предоставления персональных данных пользователями:

  • волеизъявления пользователей на заключение договоров и соглашений на получение безвозмездных юридических услуг, оказываемых Администрацией сайта;
  • заявления читателя (вопросы) о разъяснении положений и информационных блоков, размещенных на сайте;
  • замечания, пожелания и мнения пользователей о характере информации на сайте, о способах её публикации, о пользовательских свойствах и настройках сайта;
  • запрос на обратную связь со специалистом в сфере правоведение и правоприменения для проведения приватного диалога по обстоятельствам частной жизни пользователя, требующих познаний в области юриспруденции и /или заключения отдельного договора на оказания юридических услуг.

2.4. Состав персональных данных, которые подлежат обработке.

2.4.1. Администрация сайта по желанию пользователей оказывает услуги в правовой сфере, в том числе консультирование, подготовка/помощь в составлении документов правового значения.

Услуги оказываются на безвозмездной основе.

Консультация оказывается на основании устного договора по оказанию юридических услуг.

Услуги по подготовке/содействию в подготовке документов правого значения предоставляются на основании письменного договора на оказание безвозмездных услуг.

При этом в распоряжение Администрации могут поступать сведения в любом виде и формате (в том числе электронные копии документов), необходимые для выполнения задания пользователей. Полученные персональные данные пользователей собираются и хранятся Администрацией в объеме необходимом для надлежащего оказания услуг и в период непосредственного оказания услуг. Персональная информация, не имеющая отношения к оказанию услуг, не обрабатывается Администрацией и в случае поступления подлежит возврату пользователям и/или уничтожению/удалению. После оказания услуг персональные данные пользователей удаляются/уничтожаются. Персональные данные, обрабатываемые в порядке оказания услуг, не распространяются неопределенному кругу лиц.

При заключении договора на оказании услуг пользователи дают согласие на обработку персональных данных.

2.4.2. Пользователи могут задавать вопросы, оставлять на сайте свои мнения и комментарии относительно размещенной на нём информации (далее также обращения).

Администрация имеет право реагировать на обращения пользователей, в том числе размещать контекстуальные ответы, разъяснения и т.п.

Содержание вопросов, мнений, комментариев и т.п. пользователей на сайте является информацией, к которой имеется доступ неограниченный круг лиц. В этой связи направление обращений является выражением сознательной воли пользователей о предоставлении доступа неограниченному кругу лиц к содержанию вопросов, мнений, комментариев и, соответственно, к персональным данным пользователей, обращающихся с такими вопросами, комментариями, мнениями и т.п. Обращение пользователей производится путем заполнения соответствующих интерактивных форм на сайте. Заполнение указанных форм и их активация (по правилам заполнения) свидетельствует о просьбе пользователей на предоставление доступа неограниченному кругу лиц к предоставленной информации и даче конкретного, сознательного согласия Администрации сайта на обработку персональных данных.

Администрация сайта при публикации обращений пользователей из числа их персональных данных распространяет на сайте только имя конкретного пользователя. Указанный вид обработки персональных данных осуществляется в целях обеспечение возможности пользователям идентифицировать свои обращения к Администрации сайта и ответы (прочие ответные реакции) на них.

Прочие персональные данные, в числе которых номера телефонов, адреса проживания, адреса электронной почты, иные сведения, использованные при описаниях, удаляются или обезличиваются.

Обращение публикуется на сайте не ранее чем через 1 день. До этого времени пользователи могут отказаться от обращения. Администрация сайта не производит обработку персональных данных пользователей. После размещения обращений пользователей на сайте пользователи могут отозвать свое согласие на обработку персональных данных. Администрация в таком случае незамедлительно производит блокирование персональных данных и их удаление/уничтожение.

2.4.3. Пользователи сайта имеют возможность получения услуг в области права от третьих лиц. Администрация содействует установлению контактов между пользователями и независимыми специалистами в области юриспруденции, то есть оказывает безвозмездную посредническую услугу. В рамках налаживания контактов, в том числе для консультирования, индивидуальной беседы и иных услуг Администрация предоставляет возможность размещать частное обращение пользователя к специалисту. Оформляя обращение с использование интерактивных форм, пользователи подтверждают факт заключения устного договора на оказание посреднической услуги и одновременно дают согласие на обработку их персональных данных, в числе которых могут быть имя пользователя, номер телефона, город проживания пользователя, адрес электронной почты. Указанные персональные данные Администрация обрабатывает исключительно в целях реализация соглашения о предоставлении безвозмездной посреднической услуги. Администрация сайта передает независимому специалисту указанные персональные данные пользователей для заключения между специалистом и пользователем соглашения на правовые услуги.

После выполнения указанных операций Администрация уничтожает/удаляет персональные данные, полученные от пользователей.

Отношения между специалистом и пользователем не регулируются Администрацией сайта, которая не несет ответственность за действия сторон друг перед другом

2.4.4. Администрация обрабатывает персональные данные специалистов в области правоведения, которые регистрируются (размещают свои данные) на сайте с целью оказания независимых услуги пользователям сайта. Отношения между специалистами и Администрацией определяются соглашением о сотрудничестве. Специалисты дают согласие на обработку их персональных данных при заключении соглашения о сотрудничестве. Заключение соглашения допускается путем подписания сторонами соглашения, либо регистрации и авторизации специалистов на сайте Администрации.

2.5. Персональные данные пользователей, не касающихся случаев, указанных в п.п. 2.3.- 2.4. настоящего соглашения уничтожаются без обработки.

3. Изменение пользователем персональной информации

3.1. Пользователь может в любой момент изменить (обновить, дополнить) предоставленную им персональную информацию или её часть. Для этих целей в пользователей может обратиться в частном порядке в любой доступной форме к Администрации сайта. Администрация принимает незамедлительные меры к актуализации персональных данных в соответствие с требованием такого пользователя.

3.2. Пользователь также может требовать удалить любую персональную информацию касающуюся его. При этом пользователь осознает и согласен с тем, что такое удаление не касается отношений, действовавших в прошлом. В связи с чем пользователь не может требовать компенсаций или принятиях каких-либо действий для восстановления положения, существовавшего до дачи согласия на обработку персональных данных.

4. Меры, применяемые для защиты персональных данных пользователей

4.1. Администрация сайта принимает необходимые и достаточные организационные и технические меры для защиты персональных данных пользователей от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

4.2. Принимаемые меры защиты должны соответствовать требованиям законодательства, информационным и кибернетическим тенденциям.

4.3. Администрация обеспечивает регулярные технические мероприятия (в том числе с привлечением соответствующих специалистов в области программного обеспечения и функционирования телекоммуникационных систем) по поддержанию сайта в состоянии устойчивости к хакерским атакам, воздействию вредоносных программ и пр.

5. Заключительные положения

5.1. Настоящая Политика регулируется и толкуется в соответствии с законодательством Российской Федерации. Вопросы, не урегулированные Правилами, подлежат разрешению в соответствии с законодательством Российской Федерации.

5.2. В случае возникновения любых споров или разногласий, связанных с исполнением настоящей Политики, пользователи и Администрация сайта приложат все усилия для их разрешения путем проведения переговоров между ними. В случае, если споры не будут разрешены путем переговоров, споры подлежат разрешению в порядке, установленном действующим законодательством Российской Федерации.

5.3. Настоящая Политика вступает в силу для пользователей с момента совершения соответствующих действий на сайте в порядке п. 2.3-2.4 и действуют в течение неопределенного срока.

5.4. Если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, это не оказывает влияния на действительность или применимость остальных положений.

5.5. Администрация вправе использовать предоставленную пользователями информацию, в том числе персональные данные, в целях обеспечения соблюдения требований действующего законодательства Российской Федерации (в том числе в целях предупреждения и/или пресечения незаконных и/или противоправных действий пользователей). Раскрытие предоставленной пользователями информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях.

5.6. Администрация, являясь оператором обработке персональных данных, в соответствии со ст. 22 ФЗ «О персональных данных» не несет обязанности по предоставлению уполномоченному органу по защите прав субъектов персональных данных уведомления о намерении осуществлять обработку персональных данных.

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную х и существенное увеличение штрафов.

Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

Структура Политики обработки персональных данных

  • Общие положения
  • Цели сбора персональных данных
  • Правовые основания обработки персональных данных
  • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  • Порядок и условия обработки персональных данных
  • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

  • из анализа правовых актов, регламентирующих деятельность оператора;
  • из целей фактически осуществляемой оператором деятельности;
  • из деятельности, которая предусмотрена учредительными документами оператора;
  • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

Что указывается в этом разделе:

  • перечень действий, совершаемых с персональными данными;
  • способы обработки персональных данных;
  • сроки обработки персональных данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

  • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
  • указать наименование и местонахождение третьих лиц;
  • обозначить цели передачи данных и их объем;
  • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики обработки персональных данных в офисе и на сайте

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в

С 1.07.2017 г. вступили в действие изменения в КоАП и ФЗ № 152. В соответствии с ними, всем организациям, учреждениям, предприятиям необходимо разработать и утвердить особый документ - Политику в отношении обработки персональных данных .

Актуальность вопроса

Новые требования законодательства направлены на защиту граждан от несанкционированного доступа и незаконного использования их личных сведений. Особое внимание законодатель уделил социально значимым объектам: ДОУ, школам.

Позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации.

Законодательством предусмотрены периодические проверки субъектов на предмет соответствия фактического уровня защиты установленным требованиям. Мониторинг осуществляют территориальные подразделения Роскомнадзора.

Политика в отношении обработки персональных данных - это документ, состоящий из нескольких разделов. В них приводятся сведения о субъекте, осуществляющем сбор и обработку данных, и о третьих лицах, участвующих в этом процессе, меры по защите информации, ссылки на нормативные документы, права носителей персональных сведений. Далее будет описан типовой образец Политики в отношении обработки персональных данных.

Титульная страница

Справа вверху должен присутствовать гриф утверждения. В нем присутствуют: наименование должности, Ф. И. О. руководителя и его подпись, а также печать организации.

По центру, с небольшим отступом от грифа указывается наименование документа. Например, оно может быть таким:

"Политика ООО "__" в отношении обработки персональных данных и сведениях о реализуемых мерах по их защите".

Как правило, с титульного листа начинается текст документа.

В Общих положениях Политики в отношении обработки персональных данных приводится информация о самом документе. Ключевые его задачи состоят в:

  1. Раскрытии основных категорий персональных сведений, целей, способов, принципов их обработки, обязанностей и прав предприятия в процессе использования данных.
  2. Обеспечении защиты конфиденциальности персональной информации.

Образец Политики в отношении обработки персональных данных содержит также указание на общедоступность документа.

Сведения об организации

В качестве субъекта, осуществляющего сбор и обработку личных сведений, может выступать любое предприятие, организация, в том числе оказывающая услуги оператора. Политика в отношении обработки персональных данных содержит информацию о:

  1. Наименовании субъекта. Оно приводится в полной и сокращенной форме.
  2. Фактическом адресе.
  3. Телефоне, факсе.

В Политику оператора в отношении обработки персональных данных включаются также сведения о номере, дате и основании их внесения в единый реестр.

Нормативные основания

В этом разделе Политики организации в отношении обработки персональных данных приводятся указания на правовые документы, которыми руководствуется компания при работе с личными сведениями. К основным нормативным актам относят:

  • Конституцию РФ.
  • ТК РФ.
  • ГК РФ.
  • ФЗ № 160.
  • ФЗ № 152.
  • ФЗ № 210.
  • ФЗ № 326.
  • ФЗ № 149.

В целях реализации Политики в отношении обработки персональных данных компания принимает ряд локальных актов. В их числе Перечни:

  • Личных сведений, подвергающихся обработке.
  • Информационных систем, используемых при работе с информацией.
  • Сотрудников, имеющих допуск к персональным данным.

Кроме того, утверждаются:

  • Правила обработки информации.
  • Акты классификации информсистем.
  • Модели возможных угроз безопасности личных данных в ходе их обработки.

Цели работы с информацией

В должен присутствовать закрытый перечень задач, реализуемых организацией. Обработка сведений должна осуществляться для:

  1. Обеспечения реализации госполитики по соцподдержке и социальному обслуживанию граждан, в том числе относящихся к категории особо нуждающихся. В их числе: малоимущие, пенсионеры, инвалиды любой группы, многодетные семьи, несовершеннолетние и пр.
  2. Оформления трудовых договоров, гражданско-правовых соглашений, контрактов с контрагентами и исполнения их условий.
  3. Организации пропускного режима.

Категории сведений

Политика в отношении обработки персональных данных предусматривает работы с личными сведениями:

  • сотрудников;
  • получателей услуг, их родственников, представителей.

Источниками этой информации являются сами ее носители.

Принципы работы со сведениями

Согласно Политике в отношении обработки персональных данных , субъект, работающий с информацией, обязан соблюдать положения 5 статьи ФЗ № 152.

Если организация не работает с в Политике должно быть это указано. Биометрические сведения характеризуют биологические и физиологические особенности человека, по которым устанавливается его личность.

К другим основополагающим принципам работы с личной информацией следует отнести:

  1. Неиспользование специальных категорий сведений, относящихся к национальной/расовой принадлежности, религиозным, политическим взглядам, философским убеждениям, интимной жизни, состоянию здоровья.
  2. Исключение трансграничной передачи информации (в другое государство, иностранному гражданину или юрлицу).
  3. Передача сведений сторонним лицам осуществляется исключительно с согласия носителя на основании соглашения.
  4. Формирование общедоступных источников личных данных (справочников, адресных книг), сообщаемых гражданином. Информация, в соответствии с Политикой конфиденциальности в отношении обработки персональных данных , включается в них только с его согласия.

Третьи лица, задействованные в работе с личными данными

Для реализации требований законодательства, достижения целей работы с персональной информацией, в интересах и по согласию носителей сведения передаются:

  • Субъектам системы электронного межведомственного взаимодействия.
  • Отделениям негосударственных пенсионных фондов.

Меры безопасности

Этот раздел Политики в отношении обработки персональных данных считается одним из самых значимых.

Субъект, работающий с личной информацией граждан, обязан предпринять все юридические, технические и организационные меры по предотвращению случайного или противоправного доступа, изменения, уничтожения, копирования, блокирования, распространения и совершения иных противозаконных действий с ней.

В организации должны быть назначены служащие, ответственные за организацию работы с информацией.

В обязательном порядке предусматривается внутренний контроль/аудит соответствия обработки сведений требованиям ФЗ № 152, а также нормативным документам, принятым на его основании, в том числе локальным актам. Все сотрудники, работающие с личной информацией граждан, должны быть ознакомлены с их положениями.

До ввода в эксплуатацию информсистемы должна быть проведена оценка эффективности мер, предпринимаемых для обеспечения защиты сведений.

Факты несанкционированного доступа к персональным данным должны выявляться оперативно. При их обнаружении организация обязана принимать меры по восстановлению измененных либо уничтоженных сведений.

Доступ к персональным данным должен осуществляться по установленным в законодательстве и других, в том числе В организации должны обеспечиваться регистрация и учет действий, совершаемых с личной информацией граждан. Обязательным требованием законодательства является установление контроля за мерами, предпринимаемыми для защиты данных и информсистем.

В должностных регламентах определяются обязанности сотрудников, работающих с личной информацией.

Права носителей персональных данных

Граждане вправе получать сведения о процессе обработки их личной информации. Носитель данных может потребовать их уточнения, уничтожения либо блокирования, если они:

  • устарели;
  • являются неполными/неточными;
  • получены противоправным способом;
  • не являются необходимыми для заявленных целей обработки.

Носитель информации вправе принимать меры для защиты своих интересов в рамках действующего законодательства.

Ограничение прав

Оно допускается исключительно в случаях, предусмотренных законом. Права граждан на доступ к их персональным данным ограничивается, если:

  • Обработка информации, включая ту, что получена при оперативно-розыскной, разведывательной или контрразведывательной деятельности, осуществляется для обеспечения безопасности, обороноспособности государства и охраны порядка.
  • С личными сведениями работают органы, производившие задержание лиц, подозреваемых/обвиняемых в преступлениях, применившие к субъектам меры пресечения. Исключение составляют случаи, закрепленные УПК.
  • Обработка данных направлена на противодействие отмывания (легализации) доходов, полученных незаконным путем, а также на пресечение финансирования терроризма.
  • Работа с информацией осуществляется для обеспечения безопасного функционирования транспортной инфраструктуры, защиты прав и интересов личности, государства и общества в транспортной сфере.

Важные моменты

В Политике об обработке персональной информации должны закрепляться меры, которые может предпринимать гражданин для защиты своих прав. В частности, субъект может обратиться непосредственно к лицам, работающим с его личными данными.

Организация должна рассматривать любые жалобы и обращения, тщательно изучать их. При необходимости проводится внутреннее расследование нарушений. Организация обязана предпринять все меры для незамедлительного устранения выявленных нарушений, наказания виновных и урегулирования конфликтов в досудебном порядке.

Носитель персональных сведений может оспорить действия/бездействия организации, ее сотрудников посредством обращения в орган, уполномоченный на реализацию функций по защите прав субъектов персональной информации. Он также может потребовать компенсации морального либо материального вреда в судебном порядке.

Контактные сведения

В Политике должна присутствовать информация о лицах, ответственных за организацию работы с персональными сведениями. Им может являться руководитель отдела по приему граждан, организационно-технической работы и социального сопровождения. Должны указываться его Ф. И. О., должность, номер телефона. По усмотрению руководства организации в контактных данных может присутствовать адрес эл. почты.

Кроме того, в этом разделе Политики должны указываться сведения о контролирующем органе:

  1. Почтовый адрес.
  2. Наименование.
  3. Официальный сайт.
  4. Адрес эл. почты.
  5. Номера телефонов.

Заключительные положения

В этом разделе приводится информация о разработчиках Политики и лице, контролирующем ее исполнение в организации. В качестве первых выступает, как правило, компании. Контроль исполнения положений возлагается на руководителя организации или его заместителя. Ф. И. О. и должность ответственного лица должна обязательно указываться в документе.

Приказ об утверждении

Разработанный проект Политики передается руководителю для согласования. Утверждение документа осуществляется по приказу директора. Этот акт составляется по типовому образцу, принятому в соответствии с номенклатурой дел, на основании Инструкции по делопроизводству.

В Приказе присутствуют следующие сведения:

  1. Наименование организации.
  2. Название документа.
  3. Дата составления, номер.
  4. Преамбула.
  5. Текст.
  6. Дата вступления в силу.
  7. Ф. И. О. руководителя предприятия, подпись.
  8. Подписи лиц, ознакомленных с приказом.

Преамбула, как правило, обычно выглядит следующим образом:

"В соответствии с п. 2 ст. 18.1 ФЗ № 152 "О персональных данных", Постановлением правительства № 211 от 21.03.2012 г., принятыми на их основании нормативными актами, приказываю…"

"Утвердить Политику "___" в отношении обработки персональных данных".

Операторы должны размещать утвержденный документ на официальном сайте региона в разделе "Реестр поставщиков соц. услуг". В этой связи в приказе указывается следующее:

"Начальнику отдела по работе с гражданами (Ф. И. О.) в течение 10 дней с даты утверждения опубликовать Политику на официальном сайте (наименование региона) в разделе "Реестр поставщиков социальных услуг".

Дополнительно

Если в организации ранее была утверждена Политика, ее следует пересмотреть и при необходимости внести изменения. Откорректированный документ следует утвердить заново. При этом приказ, на основании которого была принята действовавшая до изменений Политика, нужно отменить. Для этого издается распоряжение. В нем можно одновременно отменить ранее действовавший приказ и утвердить откорректированную политику.

Заключение

В последнее время вопросу обеспечения защиты персональных сведений уделяется повышенное внимание. Это связано со стремительным развитием компьютерных технологий, появлением новых возможностей для недобросовестных пользователей. Каждая организация, работающая с персональными данными, должна гарантировать их носителям безопасность.

Положения Политики должны быть доведены до сведения всех работников. Требования, предусмотренные документом, являются обязательными для исполнения всеми подразделениями компаний, учреждений, предприятий и других лиц, участвующими в работе с личной информацией граждан. Нарушение предписаний влечет ответственность в соответствии с нормами действующего законодательства.