Роскомнадзор: опубликован перечень рекомендаций по составлению политики обработки персональных данных
Роскомнадзор составил список требований, необходимых для составления политики обработки персональных данных.
Представители Роскомнадзора совместно с Молодежной палатой Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных обнародовали материал, содержащий рекомендации по составлению документа, который определяет политику оператора в отношении обработки личных данных.
Создание перечня требований, который был опубликован на сайте «Цифровой дом», было вызвано законом «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вступил в силу первого июня текущего года.
Рекомендации, предназначенные для большинства ресурсов, собирающих персональные данные интернет-пользователей, состоят из трех разделов. В Роскмондазоре отмечают, что данные указания были созданы для выработки специализированных подходов к структуре и форме документа, касающегося политики оператора.
Согласно публикации, основной раздел документа, который идет под номером 3, включает в себя рекомендации, которые необходимо включить оператору в осуществлении его деятельности.
Так, в параграфе 3.1. об «Общих положениях» операторам необходимо описать, для каких целей оператор собирается обрабатывать персональные данные, а также назвать права и обязанности оператора и субъекта.
Пункт 3.2. «Цели сбора персональных данных» гласит о том, что деятельность оператора должна быть заранее определена и ограничиваться конкретными целями. Здесь отмечаются цели, исходящие из актов, которые регламентируют деятельность операторов, или же деятельности, предусмотренной его учредительными документами.
В разделе 3.3. указаны правовые акты, в соответствии с которыми оператор обработки персональных данных осуществляет свою деятельность. К числу таких документов относятся: федеральные законы и правовые акты, связанные с деятельностью оператора, уставные документы, соглашения между оператором и субъектом персональных данных, а также согласие на обработку данных.
Отмечается, что закон «О персональных данных», принятый 27 июля 2006 года, не является документом для обработки данных оператором.
В разделе 3.4. говорится об объеме обрабатываемых персональных данных и их содержании, которое должно соответствовать заявленным целям обработки. Также в этом пункте перечислены категории субъектов персональных данных. Так, к ним относятся нынешние и бывшие работники оператора, его клиенты и различные представители.
В пункте 3.5. оператору обработки персональных данных рекомендовано перечислять действия, которые он совершает с информацией о субъектах. Также в этот перечень требований входит способ обработки данных, а также его сроки. В разделе опубликованы этапы действий, в случае возникновения необходимости передачи персональных данных третьим лицам. В этом случае оператору необходимо указать их не только название и расположение, цели передачи, но и объем данных.
Что касается хранения персональных данных, то каждому оператору рекомендуется указывать сроки хранения информации, а также он обязан хранить их в расположенных в РФ базах данных.
Раздел 3.6. рекомендаций сообщает об актуализации, исправлении, удалении и уничтожении персональных данных. Так, если персональные данные имеют неточность, то их обработка должна прекратиться, а сами они подлежат актуализации оператором.
Если же цели обработки персональных данных будут достигнуты, или субъект отзовет согласие на их обработку, то их необходимо будет уничтожить. Однако для этого процесса приводятся несколько условий: иное не предусмотрено договором, оператор не имеет права осуществлять деятельность без согласия субъекта.