Рекомендации Роскомнадзора от 27.07.2017 по составлению политики обработки персональных данных

Роскомнадзор опубликовал 27 июля 2017 г. Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №152-ФЗ "О персональных данных".

Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме документа, определяющего политику оператора персональных данных в отношении обработки персональных данных.

Документ "Политика оператора в отношении обработки персональных данных" должен быть опубликован или иным образом обеспечен к нему неограниченный доступ (ч.2 ст.18.1 Федерального закона "О персональных данных"). При нарушении данного требования предусмотрено административное наказание (ч.3 ст.13.11 КоАП РФ), а именно предупреждение или наложение административного штрафа:

• на граждан в размере от 700 руб. до 1500 руб.; 
• на должностных лиц - от 3000 руб. до 6000 руб.; 
• на индивидуальных предпринимателей - от 5000 руб. до 10000 руб.; 
• на юридических лиц - от 15000 руб до 30000 руб.

Основная структура документа "Политика оператора в отношении обработки персональных данных":

1. общие положения;
2. цели сбора персональных данных;
3. правовые основания обработки персональных данных;
4. объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;
5. порядок и условия обработки персональных данных;
6. актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

1. Общие положения 

В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор персональных данных, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных. 

  2. Цели сбора персональных данных 

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 

Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность оператора персональных данных, целей фактически осуществляемой оператором персональных данных деятельности, а также деятельности, которая предусмотрена учредительными документами оператора персональных данных, и конкретных бизнес-процессов оператора персональных данных в конкретных информационных системах персональных данных (по структурным подразделениям оператора персональных данных и их процедурам в отношении определенных категорий субъектов персональных данных). 

3. Правовые основания обработки персональных данных 

Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор персональных данных осуществляет обработку персональных данных. 

В качестве правового основания обработки персональных данных могут быть указаны: 

• федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора персональных данных; 
• уставные документы оператора персональных данных; 
• договоры, заключаемые между оператором персональных данных и субъектом персональных данных; 
• согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора персональных данных). 

Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных" не может служить правовым основанием обработки персональных данных оператором персональных данных, поскольку указанный Закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам персональных данных при обработке персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных 

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 

К категориям субъектов персональных данных могут быть отнесены, в том числе: 

• работники оператора персональных данных, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников; 
• клиенты и контрагенты оператора персональных данных (физические лица); 
• представители/работники клиентов и контрагентов оператора персональных данных (юридических лиц). 

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных. 

5. Порядок и условия обработки персональных данных 

В данном разделе рекомендуется указывать перечень действий, совершаемых оператором персональных данных с персональными данными субъектов, а также используемые оператором персональных данных способы обработки персональных данных и сроки обработки персональных данных. 

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных. 

Кроме того, оператор персональных данных вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации. 

Также рекомендуется указывать сведения и информацию:

• о соблюдении требований конфиденциальности персональных данных, установленных ст.7 Федерального закона "О персональных данных";
• о принятии оператором персональных данных мер, предусмотренных ч.2 ст.18.1 Федерального закона "О персональных данных", а именно опубликовать или иным образом обеспечить неограниченный доступ к документу "Политика оператора в отношении обработки персональных данных";
• о принятии оператором персональных данных мер, предусмотренных ч.1 ст.19 Федерального закона "О персональных данных", а именно принятие необходимых правовых, организационных и технических мер или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных. 

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. 

Рекомендуется указывать сроки хранения персональных данных. 

При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч.5 ст.18 Федерального закона "О персональных данных". 

Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации. 

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным 

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором персональных данных, а обработка должна быть прекращена, соответственно. 

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если: 

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; 
• оператор персональных данных не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами; 
• иное не предусмотрено иным соглашением между оператором персональных данных и субъектом персональных данных. 

Оператор персональных данных обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего. 

Рекомендуется включить в документ "Политика оператора в отношении обработки персональных данных" регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.