Политика обработки персональных данных

Политика в отношении обработки персональных данных: как составить документ

Чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, каждая компания должна разработать документ, объясняющий, как она использует персональные данные работников, клиентов и других физических лиц.

Политика в отношении обработки персональных данных должна содержать шесть разделов. Обычно этот документ размещают в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора данных.

Как правильно составить Политику, какие разделы в нее включить, в своих рекомендациях прописал Роскомнадзор.

Структура Политики в отношении обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных блоков.

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика в отношении обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных) требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных формулируются с учетом:

• анализа правовых актов, регламентирующих деятельность компании;
• целей фактически осуществляемой деятельности;
• деятельности, которая предусмотрена учредительными документами;
• конкретных бизнес-процессов в конкретных информационных системах персональных данных (по структурным подразделениям и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Закон о персональных данных не является правовым основанием обработки данных. Эту роль выполняют правовые акты, в соответствии с которыми компания, как оператор, обрабатывает данные.

Таким образом, в Политике в качестве правовых оснований можно указать:

• федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
• уставные документы компании;
• договоры, заключаемые между оператором и субъектом персональных данных;
• согласие на обработку персональных данных.

4. Объем и категории обрабатываемых данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

К категориям субъектов персональных данных могут относиться:

• сотрудники — как настоящие, так и бывшие;
• кандидаты на вакансии;
• родственники работников;
• клиенты и контрагенты (физлица);
• представители или работники клиентов и контрагентов.

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

В этом разделе нужно указать перечень действий с персональными данными, способы и сроки обработки данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

• пояснить условия передачи персональных данных в адрес третьих лиц (речь идет в том числе о трансграничной передаче данных);
• указать наименование и местонахождение третьих лиц;
• обозначить цели передачи данных и их объем;
• перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Закона о персональных данных) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Реклама 16+. ООО «Сертум-Про». Реквизиты ОГРН 1116673008539. 620036, Екатеринбург, ул. Малопрудная, д. 5. оф 715.

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке по запросу.

Роскомнадзор рекомендует включить в Политику регламенты реагирования на запросы и обращения субъектов персональных данных по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики в отношении обработки персональных данных

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Что такое персональные данные

Понятие персональных данных и правила их обработки содержатся в федеральном законе №152-ФЗ «О персональных данных». Согласно ему, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

• фамилия, имя, отчество;
• мобильный телефон;
• электронная почта;
• адрес проживания;
• фотография;
• паспортные данные;
• другие сведения, позволяющие идентифицировать человека.

Когда вы начинаете обрабатывать такие сведения, то становитесь оператором персональных данных. Под обработкой закон понимает любые действия: сбор, запись, систематизацию, накопление, хранение, — вплоть до уничтожения. Полный список можно посмотреть в этой статье.

Почти все компании в России — операторы персональных данных, потому что обрабатывают хотя бы сведения о сотрудниках. Также операторами становятся все, кто обрабатывает сведения о клиентах. Вот несколько типовых ситуаций:

• Пользователи оставляют имя и email, чтобы подписаться на новостную рассылку.
• Потенциальный покупатель заполнил заявку на бесплатный тест-драйв в автосалоне и указал имя и номер телефона.
• Клиент оформил заказ на маркетплейсе и указал там номер банковской карты, адрес и Ф. И. О.

В тот момент, когда вы начинаете обработку персональных данных, запускается и механизм ответственности. Вы становитесь оператором со всеми последствиями.

О чём необходимо помнить операторам, когда они обрабатывают персональные данные граждан? Нужно определить цель и сроки обработки ПДн, содержание, объём, перечень и категории обрабатываемых данных, заручиться согласием субъекта. Ниже мы разберём подробнее, какие требования законодательства нужно выполнить.

Уведомление Роскомнадзора

Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.

Перед подачей заявления нужно подготовиться:

1. Разработать пакет необходимых документов — например, положение об обработке персональных данных и приказы о назначении ответственных. Мы разбираем документы в специальном разделе.
2. Выполнить ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.

Уже после этого можно регистрироваться. Роскомнадзор разработал форму уведомления для всех, кто будет обрабатывать персональные данные. Есть три способа подать уведомление:

• заполнить, распечатать и отправить в местное отделение Роскомнадзора;
• заполнить, подписать и отправить в электронной форме на сайте Роскомнадзора;
• заполнить форму и направить её ведомству на «Госуслугах», если у вас есть подтверждённая учётная запись. Если хотите подать уведомление от имени компании, ваша учётная запись должна быть привязана к организации на портале «Госуслуг».

Регулятор вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления. Когда вы начнёте обрабатывать данные и потребуются какие-либо изменения, нужно будет сообщить о них Роскомнадзору. Также нужно будет уведомить, если вы прекратите собирать и обрабатывать данные.

Можно ли обойтись без регистрации в Роскомнадзоре?Можно, но в редких случаях — они описаны в статье 22 №152-ФЗ. В основном это прямые договоры с клиентами, когда вы никому не передаёте информацию о клиентах, а также не предоставляете им дополнительных услуг. Ещё можно обойтись без уведомления, если вы:

• обрабатываете данные сотрудников по ТК РФ;
• используете только Ф. И. О.;
• выдаёте разовый пропуск на территорию.

Но всё это — только если правоотношения строятся «в чистом виде», что на практике практически невозможно. Например, работодатель наверняка имеет зарплатный проект и передаёт сведения в банк.

Если у вас есть хотя бы небольшие сомнения, лучше спросить регулятора о вашем конкретном случае, чем в одностороннем порядке решить, что предписания к вам не относятся.

Случай из практики.Автосалон не зарегистрировали в качестве оператора персональных данных. Руководители организации решили, что организация подпадает под исключения из части 2 статьи 22 152-ФЗ. Все случаи обработки персональных данных, решили они, — это исключения: автосалон выдаёт разовые пропуска, заключает договоры купли-продажи авто и обрабатывает сведения о работниках.

Организация сообщила об этом в Роскомнадзор информационным письмом. В ответ регулятор разъяснил, что пройти процедуру придётся. Аргументы Роскомнадзора были такими:

• Когда салон продаёт автомобиль, в том числе конкретному клиенту, он взаимодействует с дилерами.
• Организация предоставляет услуги по гарантийному и техническому обслуживанию транспортных средств.
• Салон выступает посредником при продаже услуг страхования.
• Компания предлагает тест-драйв авто, собирая персональные данные в заявках, без договора.

Поскольку салон оказывает сопутствующие и посреднические услуги, ему пришлось зарегистрироваться в качестве оператора.

Необходимые документы и их шаблоны

Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:

• Политику конфиденциальности.
• Правила работы с персональными данными.
• Согласие на обработку персональных данных.
• Обязательство о неразглашении персональных данных.

В разделе мы расскажем об этих документах подробнее.

Политика конфиденциальности и правила работы с персональными данными.В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.

Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.

Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.

Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора. Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы. Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.

Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные. Ошибкой будет написать что-то вроде «Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».

Если собираете данные только в интернете, достаточно прописать в политике конфиденциальности случаи, в которых пользователь выражает согласие на обработку. Например, если он заполняет чекбокс .

Обязательство о неразглашении персональных данных.Документ обязывает работников не разглашать персональные данные, полученные компанией. Его должны подписывать все сотрудники, у которых есть доступ к сведениям о клиентах.

Приказ о назначении ответственного за работу с персональными данными.Внутренний документ. Его не нужно нигде публиковать, но Роскомнадзор может попросить его при проверке. Как правило, ответственным назначают IT-специалиста или сотрудника службы безопасности.

Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.

Что это за документ?

В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети. Контроль исполнения этой обязанности осуществляют органы Роскомнадзора. И по их требованию оператор обязан представить перечисленные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных ст. 18.1 Закона № 152-ФЗ. Что же это за документ? Не стоит путать его с положением о персональных данных. У оператора персональных данных в силу той же ст. 18.1 помимо Политики должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений.

К сведению:к обозначенным локальным актам относятся различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.), перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.), инструкции и регламенты.

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». До недавнего времени он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ (далее – Рекомендации). О том, какие положения рекомендовано включать в документ, определяющий эту политику, мы расскажем далее. Но прежде следует разобраться, все ли работодатели являются операторами персональных данных и соответственно все ли должны утверждать и опубликовывать его для неограниченного доступа.

Кто является оператором персональных данных?

• обрабатываемых в соответствии с трудовым законодательством;
• полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
• сделанных субъектом персональных данных общедоступными;
• включающих в себя только фамилии, имена и отчества субъектов персональных данных;
• необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
• обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание:сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.

К сведению:в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Рекомендации по составлению Политики

Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.

Обратите внимание:рекомендации изданы в целях выработки унифицированного подхода к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.

Итак, исходя из Рекомендаций, в Политику надо включить такие разделы:

1. Общие положения.

Здесь нужно описать назначение Политики, привести основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т. д.), перечислить основные права и обязанности оператора и субъекта(ов) данных.

2. Цели сбора персональных данных.

Следует помнить, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных.

Цели обработки персональных данных, перечисляемые в этом разделе, могут происходить в том числе из:

• анализа правовых актов, регламентирующих деятельность оператора;
• целей фактически осуществляемой оператором деятельности;
• деятельности, которая предусмотрена учредительными документами оператора;
• конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовое основание обработки персональных данных.

Таковым является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных. В качестве правового основания обработки этих данных могут быть указаны:

• федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
• уставные документы оператора;
• договоры, заключаемые между оператором и субъектом персональных данных;
• согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора).

Обратите внимание:Закон № 152-ФЗ не может служить правовым основанием обработки персональных данных оператором, поскольку регулирует отношения, связанные с обработкой этих данных, и закрепляет требования, предъявляемые к операторам при обработке этих данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

К категориям субъектов персональных данных могут быть отнесены в том числе:

• работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников;
• клиенты и контрагенты оператора (физические лица);
• представители и работники клиентов и контрагентов оператора (юридических лиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

5. Порядок и условия обработки персональных данных.

В этом разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы и сроки обработки данных.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи данных в адрес третьих лиц – например, наличие договора поручения на обработку персональных данных, в том числе находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.

Рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Закона № 152-ФЗ, а также о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Закона № 152-ФЗ.

Условием прекращения обработки персональных данных может являться достижение целей обработки, истечение срока действия согласия или отзыв согласия субъекта данных на их обработку, выявление неправомерной обработки персональных данных.

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта данных, и не дольше, чем требуют цели обработки персональных данных, кроме случаев, когда срок хранения данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Рекомендуется указывать сроки хранения (конкретная дата (число, месяц, год)) персональных данных и основание, наступление которого повлечет прекращение обработки данных.

К сведению:при осуществлении хранения персональных данных оператор обязан использовать базы данных, находящиеся на территории РФ, в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ.

Также рекомендуется указывать иные условия хранения персональных данных, в том числе при их обработке без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

В случае подтверждения факта неточности данных или неправомерности их обработки персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена (ст. 21 Закона № 152-ФЗ).

При достижении целей обработки персональных данных, а также в случае отзыва субъектом данных согласия на их обработку они подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;
• иное не предусмотрено другим соглашением между оператором и субъектом персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего (ст. 20 Закона № 152-ФЗ).

Кроме этих разделов, в Политику рекомендуется включать регламент(ы) реагирования на запросы, обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов, обращений.

Политика утверждается приказом работодателя. Если принимается новая Политика, приказом следует отменить предыдущую и утвердить новую редакцию Политики.

С Политикой необходимо ознакомить всех работников организации под подпись.

В связи с постоянным развитием компьютерных технологий защите персональных данных уделяется все больше внимания. Сейчас практически каждая организация имеет свой сайт и не просто размещает на нем те или иные сведения, но и осуществляет через него обмен информацией, в том числе персональными данными. При этом на сегодняшний момент Политика мало кем из организаций опубликована.

Еще раз обращаем внимание, что Политика – это отдельный документ, который должен быть у каждого оператора персональных данных, не считая других обязательных локальных актов в сфере обработки и защиты персональных данных. Если у вас еще его нет, его следует разработать, а если есть – привести в соответствие с Рекомендациями. И не стоит относиться к этому формально, ограничиваясь общими нормами Закона № 152-ФЗ, поскольку при проверке будет учитываться не только сам факт наличия Политики, но и то, насколько она соответствует реальному положению дел в области обработки персональных данных в конкретной организации.