Политика обработки персональных данных

Юридические услуги по разработке и подготовке политики обработки персональных данных

По большому счету, деятельность практически каждой организации связана с обработкой персональных данных, к которым в силу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»), относят любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В связи с этим законодатель предусмотрел обязанность операторов персональных данных издавать документ, определяющий политику в отношении обработки персональных данных. В разных организациях могут быть приняты разные локальные документы, законодатель не ограничивает операторов персональных данных в этом вопросе. В том числе это может быть один документ, отражающий все требования законодательства, или это могут быть несколько документов, отражающие отельные позиции норм Закона № 152-ФЗ.

Политика обработки персональных данных, как правило, представляет собой локальный документ, разработанный организацией, осуществляющей обработку персональных данных для определенных целей. Как правило, в состав разделов политики обработки персональных данных рекомендуется включать следующие разделы:

1. Общие положения. В этом разделе описывается назначение принимаемой Политики, основные понятия, а также основные права и обязанности оператора и субъекта персональных данных.
2. Правовые основания обработки персональных данных. В этом разделе отражаются нормативные документы, в соответствии с которыми оператор персональных данных осуществляет их сбор и обработку, такие как нормативные документы РФ, локальные документы оператора персональных данных, договоры между оператором и субъектом персональных данных, согласие на обработку персональных данных.
3. Цели сбора персональных данных. Для каждой цели обработки персональных данных определяются категории и перечень обрабатываемых персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Вместе с тем, в Политике должны быть отражены категории субъектов персональных данных, например, работники оператора персональных данных, клиенты, контрагенты и т.д.
5. Порядок и условия обработки персональных данных. В этом разделе необходимо указать, какие действия будут совершаться оператором с персональными данными, способы обработки, сроки обработки, способы хранения, условия прекращения обработки персональных данных, возможность передачи персональных данных третьим лицам и условия такой передачи и т.д. Стоит отметить, что некоторые персональные данные подлежат достаточно длительному хранения. В связи с этим, условия их хранения должны быть защищены и ограничены, в целях исключения утечки персональных данных неограниченному кругу лиц.
6. Удаление, уничтожение, актуализация, исправление персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных, вместе с тем, в связи с достижением цели обработки персональных данных их дальнейшее использование становится неактуальным, и персональные данные могут подлежать удалению, уничтожению. При этом персональные данные могут быть изменены, в связи с чем требуется их периодическая актуализация или исправление.
7. Заключительные положения. В этом разделе могут отражаться дополнительные условия Политики, не отраженные в других разделах, например, рассмотрение обращений субъектов персональных данных, отзыв согласия на обработку персональных данных и т.п.

Структура и состав Политики обработки персональных данных зависит непосредственно от целей их получения и обработки, а также особенностей деятельности и структуры операторов персональных данных. Операторам персональных данных для составления Политики необходимо изучить весь процесс взаимодействия с персональными данными, категории сотрудников, имеющих доступ к персональным данным, условия получения персональных данных, условия и сроки хранения персональных данных и т.д. После получения и структурирования такой информации составляется Политика обработки персональных данных. При этом такой локальный документ должен быть актуализирован в соответствии с вносимыми законодателем изменениями.

Политика обработки персональных данных может быть составлена оператором персональных данных самостоятельно или с привлечением квалифицированного специалиста, который изучит имеющиеся способы взаимодействия конкретной организации с персональными данными, структурирует полученную информацию и составит Политику обработки персональных данных полностью соответствующие требованиям Закона о персональных данных.

Вместе с тем, помимо непосредственно разработки Политики обработки персональных данных, не стоит забывать, что в соответствии с частью 2 статьи 18.1 Закона о персональных данных оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. При этом, если сбор персональных данных осуществляется с использованием информационно-телекоммуникационных сетей, оператор персональных данных обязан опубликовать Политику в такой сети и обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети.

Важным моментом в области обработки персональных данных является то, что требование о наличии Политики обработки персональных данных и обеспечение неограниченного доступа к ней необходимо исполнять всем операторам персональных данных вне зависимости от способа их сбора.

Юридические услуги

1. Консультирование по вопросам обработки персональных данных
2. Проверка, анализ и структурирование имеющихся документов, в области обработки персональных данных
3. Подготовка и оформление политики обработки персональных данных и сопутствующих документов
4. Сопровождение деятельности организаций, связанной с обработкой персональных данных