Политика оператора обработки персональных данных

Конструктор политики обработки персональных данных

Заполните поля и получите образец документа о конфиденциальности данных бесплатно

Для чего нужна политика обработки персональных данных на сайте?

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных. В этом случае вы обязаны получить согласие на обработку персональных данных и разместить ссылку на вашу политику в отношении обработки персональных данных, чтобы человек мог с ней ознакомиться, согласиться и только после этого сообщить вам свои данные.

Создайте образец документа с помощью конструктора, при необходимости скорректируйте, разместите текст на отдельной странице сайта и в форме приема данных поставьте ссылку на эту страницу.

Адрес сайта, на котором собираются персональные данные:

Адрес страницы, на которой расположена политика обработки персональных данных:

ФИО или название организации:

Email оператора персональных данных (владельца сайта) для связи:

Отметьте данные, которые вы собираете:

Укажите цель обработки персональных данных:

Образец политики конфиденциальности

Политика в отношении обработки персональных данных

1. Общие положения

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных Михайлова Ивана Сергеевича (далее – Оператор).

  1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://mysite.ru .
2. Основные понятия, используемые в Политике
3. Оператор может обрабатывать следующие персональные данные Пользователя
  1. Фамилия, имя, отчество;
  2. Номер телефона;
  3. Адрес электронной почты;
  4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
  5. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.
4. Цели обработки персональных данных
  1. Цель обработки персональных данных Пользователя — заключение, исполнение и прекращение гражданско-правовых договоров; предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://mysite.ru; уточнение деталей заказа.
  2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты [email protected] с пометкой «Отказ от уведомлениях о новых продуктах и услугах и специальных предложениях».
  3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
5. Правовые основания обработки персональных данных
  1. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://mysite.ru . Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
  2. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
6. Порядок сбора, хранения, передачи и других видов обработки персональных данных

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

  1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
  2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.
  3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора [email protected] с пометкой «Актуализация персональных данных».
  4. Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора [email protected] с пометкой «Отзыв согласия на обработку персональных данных».
7. Трансграничная передача персональных данных
  1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
  2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

Источник: http://tilda.cc/ru/privacy-generator/

Политика оператора в отношении обработки персональных данных

Главная > Консультации > Правовое обеспечение > Политика оператора в отношении обработки персональных данных

В предыдущем выпуске от 15.08.2017 рассматривался вопрос обработки персональных данных. В публикации отдельно сказано о том, что в соответствии с требованиями ч. 2 ст. 18.1. Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» «оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети».

Сбор персональных данных с использованием информационно-телекоммуникационных сетей может осуществляться в образовательных организациях различными способами, в том числе через официальных сайт. В качестве примера такого сбора персональных данных можно привести заполнение каких-либо форм заявок, электронных обращений, заполнение анкет, содержащих персональные данные.

Если такие сервисы предусмотрены на сайте, то Оператор (в нашем случае образовательная организация) обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, т. е. разместить данный документ на своём официальном сайте. Что должно быть отражено в таком документе? Рассмотрим рекомендации Роскомнадзора по составлению такого документа.
Читайте так же:  Установление юридический факт в гражданском праве

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных

1. Настоящие Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных (далее — Политика).

2. Основные понятия, используемые в Рекомендациях:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

3. В Политику рекомендуется включить следующие структурные компоненты

3.1 Общие положения

В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т. д.), перечислить основные права и обязанности оператора и субъекта(ов) персональных данных.

3.2 Цели сбора персональных данных

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3.3 Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

В качестве правового основания обработки персональных данных могут быть указаны:

  • федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
  • уставные документы оператора;
  • договоры, заключаемые между оператором и субъектом персональных данных;
  • согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку указанный Закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.

3.4 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных данных могут быть отнесены, в том числе:

  • работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
  • клиенты и контрагенты оператора (физические лица);
  • представители/работники клиентов и контрагентов оператора (юридических лиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

3.5 Порядок и условия обработки персональных данных

В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».

Рекомендуется указывать иные условия хранения персональных данных, в том числе при обработке персональных данных без использования средств автоматизации.

3.6 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
  • иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

Читайте так же:  Участники полного товарищества несут своим имуществом

Рекомендуется включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

В заключении ещё раз отметим — размещение данного документа на официальном сайте образовательной организации обязательно.

Источник: http://eduface.ru/consultation/pravo/politika_operatora_v_otnoshenii_obrabotki_personal_nyh_dannyh

Все о политике оператора в отношении обработки персональных данных: образец составления и содержание документа

Согласно законодательству Российской Федерации любому государственному или муниципальному органу, физическому или юридическому лицу, которые осуществляют операции с личными сведениями человека, необходимо иметь отдельный документ, регламентирующий действия с этими сведениями. Он называется «Политика оператора в отношении обработки и защиты персональных данных субъекта». Для исключения проблем с Роскомнадзором и другими службами РФ важно понимать, для чего этот документ нужен, и как правильно его составить.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Документ, определяющий принципы проведения процедуры

Основное содержание бумаги

Политика состоит из следующих разделов:
  1. Общие положения.
  2. Категории субъектов персональных данных.
  3. Цели обработки.
  4. Сроки хранения личной информации.
  5. Права субъектов ПД.
  6. Основные принципы и условия действий с личной информацией.
  7. Обеспечение условий работы с ПД.
  8. Заключительные положения.

На официальном сайте Роскомнадзора есть рекомендации по составлению Политики.

Подробное описание и содержание документа

Общие положения

  • Описать, для чего нужна Политика, какие задачи ставит перед собой организация.

Пример: выполнение норм федерального законодательства, соблюдение законности, конфиденциальности, справедливости, обеспечение безопасности при хранении личной информации.

  • Обозначить основные понятия, которые будут использованы в документе, например, персональные данные (ПД), оператор, субъект, обработка ПД и т.д.
  • Указать права и обязанности оператора и субъекта /субъектов личной информации.
  • Категории субъектов

    В этом пункте необходимо указать, кто является владельцем личных сведений, используемых для обработки. Это могут быть:
    • Работники (в том числе и бывшие), кандидаты на замещение вакантных должностей или родственники работников.
    • Физические лица – клиенты и контрагенты.
    • Юридические лица.

    Для каждой категории важно обозначить, какая именно информация будет обработана. Если планируется использовать специальные и биометрические персональные сведения, это также необходимо указать.

    Цели обработки должны быть чётко прописаны, без общих слов. Все указанные в Политике цели должны быть законные, конкретные, заранее ограничены и совместимы с тем, какие персональные данные запрашиваются (подробнее о том, что такое персональные данные и кто является оператором, читайте тут).

    Сроки

    Рекомендовано указывать сроки хранения информации. Сроки хранения документов, в том числе и тех, которые содержат личную информацию владельца, указаны в Приказе Министерства Культуры РФ № 558 от 25.8.2010 г.

    Примеры:
    • Личные дела и документы сотрудников должны храниться 75 лет.
    • Медицинские карты амбулаторных больных – 5 лет.
    • Стационарных больных – 25 лет.

    Условия для прекращения работы с персональными данными могут быть:

    • Достижение целей обработки.
    • Истечение срока действия Согласия.
    • Отзыв Согласия владельцем информации.
    • Выявление неправомерной обработки сведений.

    Права

    Подробная информация о правах субъекта прописана в Главе 3 федерального закона № 152. Основные моменты, которые стоит отразить в Политике:

    • Право на доступ к персональным данным, на подтверждение факта обработки.
    • Право на запрос правовых оснований и целей обработки, на сведения об операторе и третьих лицах, которым эта информация может быть раскрыта и на каком основании, источник получения личных данных, сроки их обработки и хранения.
    • Право на уточнение персональных данных у оператора, их блокировку или уничтожение в случаях, если они устарели, неактуальны, предоставлены не полностью, получены незаконным путём или не соответствуют целям.
    • Право на обжалования действий или бездействий оператора, обращением в уполномоченные службы РФ.
    • Право на защиту своих прав и законных интересов, также на возмещение убытков и/или моральную компенсацию в судебном порядке.

    Принципы и условия

    Основные принципы работы с личными данными указаны в статье 5 ФЗ 152:
    • Законная и справедливая основа.
    • Цели – конкретные, заранее определенные, законные. Проводимые операции не могут противоречить целям.
    • Для разных целей необходимо собрать разные базы данных. Также запрошенные сведения должны соответствовать целям обработки.
    • Сведения должны быть точными, достаточными, если необходимо, актуальными. Оператор принимает меры по их уточнению или уничтожению в случае неактуальности.
    • По достижению целей, обрабатываемые данные подлежат обезличиванию или уничтожению.

    Перед работой с личной информацией следует получить согласия субъекта на обработку его личных сведений. Необходимо указать, зачем нужна обработка данных. Например, для исполнения договора, в котором субъект может выступать одной стороной или поручителем.

    Если необходимо для достижения цели обработки сотрудничество с третьими лицами (в том числе находящихся заграницей), прописываются условия передачи личных сведений в их адрес.

    Здесь есть также определенные рекомендации:

    • указать точное наименование и местонахождение третьих лиц;
    • цели передачи;
    • объем сведений, которые будут переданы;
    • перечень действий по их обработке;
    • условия обработки.

    Обеспечение условий

    Оператор может доверить обработку иному лицу или организации только с согласия субъекта персональных данных. В таком случае составляется договор. Третье лицо также обязано соблюдать принципы и условия работы с личными сведениями, предусмотренными федеральным законом № 152.

    В поручении оператора должны быть указаны:
    1. Конкретные действия и операции, которые будут проводится.
    2. Цели обработки.
    3. Обязанность соблюдать конфиденциальность, обеспечивать безопасность, защищать обрабатываемые сведения.

    Ответственность за действие или бездействие третье лицо несёт перед оператором, а он в свою очередь – перед субъектом. Третье лицо перед субъектом не отвечает.

    Заключительные положения

    В заключительных положениях приводится информация о том, кем разработана Политика, также ФИО и должность ответственного лица. Задача этого сотрудника – следить за соблюдением обозначенного в документе регламента.

    Заключение

    При несоблюдении условия работы с личной информацией, организация может быть привлечена к административной ответственности. Стоит ли упоминать о том, что такое нарушение плохо сказывается на репутации компании. Поэтому важно уделить должное внимание составлению Политики, и чётко регламентировать все процедуры, связанные с личными сведениями.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/operator/politika-v-otnoshenii-obr.html

    5 мифов о персональных данных

    Пару месяцев назад поднялся хайп по поводу изменения законодательства о персональных данных. Находчивые юристы стали наперебой убеждать, что любая форма обратной связи или виджет заказа обратного звонка на сайте свидетельствует об обработке персональных данных пользователей, Роскомнадзор уже штрафует за нарушения и нужно срочно вставать на учет.

    Читайте так же:  Возражение на ходатайство об истребовании доказательств

    Вся эта шумиха основана на мифах о персональных данных. Давайте разберемся, что произошло на самом деле, чем это грозит и как этого избежать.

    Правила обработки персональных данных не изменились. В июле 2017 года вступили в силу поправки в КоАП РФ, ужесточающие ответственность за нарушение законодательства о персональных данных. Введены новые составы правонарушений и суммы штрафов повышены до 75 000 рублей. Это правда.

    Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц. Максимальный штраф в 75 тыс. руб. установлен для юридических лиц по одному их 7 составов. В остальных случаях максимальный штраф колеблется от 30 до 50 тыс. руб.

    Из неприятного – штрафы по различным составам частично могут складываться. Среди возможных нарушений в частности перечислены:

    • обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора персональных данных;
    • обработка персональных данных при отсутствии письменного согласия субъекта;
    • неисполнение обязанности по опубликованию политики по обработке персональных данных.

    Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о персональных данных. Чтоб оценить риски привлечения к ответственности рассмотрим 5 наиболее популярных мифов о персональных данных, блуждающих в умах интернет-сообщества.

    1. Персональные данные — это любые сведения о физическом лице

    «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).

    Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.

    Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.

    Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

    Если у вас остались сомнения в такой трактовке нормы, можно ознакомиться с первоисточником на сайте Роскомнадзора. Дословно норма Конвенции о защите физических лиц при автоматизированной обработке персональных данных звучит так:

    «Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (»субъекта данных»)» (ст.2 Конвенции).

    «Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».

    Если форма обратной связи не предполагает предоставление помимо номера телефона или электронного адреса дополнительных сведений, идентифицирующих пользователя, такая информация не относится к персональных данным. Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными, т.к. имя не идентифицирует гражданина.

    «Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая (ч.1 ст.19 ГК РФ)».

    Поэтому с точки зрения гражданского законодательства просто имени не достаточно для возникновения юридических последствий. Как минимум, необходимы еще отчество и фамилия.

    Аналогичным образом не относятся к ПДн сведения об IP, cookie, и прочие данные, собираемые в автоматическом режиме в связи с активностью на сайте или в приложении пользователя, не прошедшего полную идентификацию.

    2. Оператор по обработке персональных – это лицо, осуществляющее их обработку

    «Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).

    «Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).

    Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.

    На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.

    Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.

    Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.

    3. Все сайты должны опубликовать Политику конфиденциальности

    «Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).

    Видео (кликните для воспроизведения).

    Однако не забывайте о возможных исключениях из данного правила.

    Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).

    Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).

    В-третьих, сам ФЗ «О персональных данных» не возлагает на физических лиц (в том числе ИП) обязанность издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы должны издаваться только юридическими лицами (пп.2 ч.1 ст.18.1).

    4. На обработку персональных данных требуется письменное согласие

    Действительно, в качестве первого условия обработки ПДн названо согласие субъекта персональных данных на обработку его персональных данных (пп.1 ч.1 ст.6 ФЗ «О ПДн»).Но при этом не всегда обязательно оформлять согласие на бумаге за собственноручной подписью субъекта ПДн. Есть ряд дополнительных или взаимоисключающих правил.

    Читайте так же:  Прописка в квартире без права собственности последствия

    1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)

    2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:

    • в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
    • к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).

    Таким образом в случае принятия пользовательского соглашения достаточно уведомить пользователя об обработке его персональных данных.

    3. Согласие может быть дано оператору в иной форме

    «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (ч.1 ст.9).

    Другими словами, если федеральный закон не требует получения согласия строго в письменной форме, оно может быть дано любым иным способом, в том числе путем совершения запрашиваемых действий. Например, такими действиями могут признаваться направление проверочного кода, указанного в СМС, переход по ссылке, направленной на электронную почту пользователя при регистрации в аккаунте и т.п.

    4. Согласие в письменной форме может быть подписано электронной подписью

    «Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе» (ч.4 ст.9)

    Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»).

    5. Каждый оператор ПДн должен быть включен в реестр Роскомнадзора

    «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (ч.1 ст.22).

    Однако при этом забывают, что в той же статье закона предусмотрены исключения из данного правила. К рассматриваемой ситуации обработки ПДн частным интернет-сервисом относятся минимум два основания освобождения от обязанности подачи уведомления.

    В частности оператор вправе осуществлять без уведомления Роскомнадзора обработку следующих персональных данных:

    «полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22)
    «сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22)

    1) В первом случае для обработки ПДн без уведомления Роскомнадзора достаточно предложить пользователю принять пользовательское соглашение, которое по сути является договором. Для получения сообщений на номер телефона и адрес электронной почты в любом случае необходимо получать согласие пользователя, поэтому принятие пользовательского соглашение решает две задачи одновременно: с одной стороны вы легально используете данные без уведомления Роскомнадзора, с другой – получаете согласие на обращение к пользователю по указанным номерам и адресам, включая при необходимости рекламную рассылку.

    2) Второе исключение из правил касается общедоступных данных. Это основание может пригодиться социальной сети, доске объявлений или сайту поиска работы, где пользователи самостоятельно делают доступной информацию о себе. В таком случае нет необходимости не только уведомлять Роскомнадзор об обработки данной категории ПДн, но и получать дополнительное согласие пользователя на их обработку.

    3) Помимо этого вспомните, что не все лица, осуществляющие обработку ПДн считаются операторами. Некоторые из них действуют по поручению оператора (см. миф 2 выше). Поэтому им не нужно направлять уведомление в Роскомнадзор об обработке ПДн, предоставленных оператором.

    4) Отдельного упоминания заслуживает регомендация встать на учет «как бы чего не вышло». Это во всех отношениях вредный совет, т.к. Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр. И тогда вам простая политика конфиденциальности не поможет: спросят все внутренние регламенты по информационной безопасности и проверят фактическое выполнение!

    Обращайте внимание на детали – в них кроется юрист дьявол.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.


    Источник: http://habr.com/post/337354/

    Политика оператора обработки персональных данных

    Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных

    Версия для MS Word (DOCX)

    РЕКОМЕНДАЦИИ ПО СОСТАВЛЕНИЮ ДОКУМЕНТА, ОПРЕДЕЛЯЮЩЕГО ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ПОРЯДКЕ, УСТАНОВЛЕННОМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 ГОДА № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

    1.Настоящие Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных (далее – Политика).

    2.Основные понятия, используемые в Рекомендациях:

    -персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    -оператор персональных данных (оператор)– государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

    -обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данныхвключает в себя, в том числе:

    — уточнение (обновление, изменение);

    — передачу (распространение, предоставление, доступ);

    -автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

    -распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

    -предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

    -блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

    -уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

    -обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

    -информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

    -трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

    Читайте так же:  Постановление конституционного суда трудовой кодекс

    В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.

    3.2 Цели сбора персональных данных

    Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

    Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

    3.3 Правовые основания обработки персональных данных

    Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

    В качестве правового основания обработки персональных данных могут быть указаны:

    — федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;

    — уставные документы оператора;

    — договоры, заключаемые между оператором и субъектом персональных данных;

    — согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

    Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку указанный Закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.

    3.4 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

    Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям[1] обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

    К категориям субъектов персональных данных могут быть отнесены, в том числе:

    — работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;

    — клиенты и контрагенты оператора (физические лица);

    — представители/работники клиентов и контрагентов оператора (юридических лиц).

    В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данныхи биометрических персональных данных.

    3.5 Порядок и условия обработки персональных данных

    В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

    В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных[2]), в том числе, находящихся за пределами Российской Федерации (трансграничная передача).При этомрекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц,цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

    Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

    Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

    Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

    Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данныхне дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

    Рекомендуется указывать сроки[3] хранения персональных данных.

    При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».

    Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.

    3.6 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

    В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно[4].

    При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данныеподлежат уничтожению, если:

    — иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

    — оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;

    — иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

    Оператор обязан сообщитьсубъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего[5].

    Рекомендуется включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

    [1]Ст. 6 № 152-ФЗ «О персональных данных»

    [2]Ч. 3 ст. 6 № 152-ФЗ «О персональных данных»

    [3] Конкретная дата (число, месяц, год) и основание (условие), наступление которого повлечет прекращение обработки персональных данных.

    [4]Ст. 21 № 152-ФЗ «О персональных данных»

    [5]Ст. 20 № 152-ФЗ «О персональных данных»

    Время публикации: 29.08.2017 16:33
    Последнее изменение: 29.08.2017 16:41

    © 2009-2020, Версия 2.15.18

    Официальный интернет-ресурс Федеральной службы по надзору

    в сфере связи, информационных технологий и массовых коммуникаций

    Видео (кликните для воспроизведения).

    Источник: http://24.rkn.gov.ru/directions/p5987/p22406/

    Политика оператора обработки персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here