Роскомнадзор и Молодежная палата Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных подготовили рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных.
Появление этого документа было вызвано вступлением в силу Федерального закона от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», вступившего в силу с 1 июля 2017.
Закон установил семь новых составов административных правонарушений при обработке персональных данных, затрагивающих основной круг распространенных правонарушений в области персональных данных. Одна из них — часть 3 статьи 13.11 КоАП РФ — устанавливает административную ответственность за невыполнение оператором обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных.
Так как эта норма актуальна для большого количества онлайн-ресурсов и сервисов, собирающих персональные данные пользователей в сети Интернет, было решено разработать рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. Основная цель появление этих рекомендаций — выработка унифицированных подходов к структуре и форме документа, который определяет политику оператора в части обработки персональных данных.
Напомним, что под обработкой персональных данных подразумеваются следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, блокирование, уничтожение.
РКН рекомендует всем операторам включать в политику описание ее назначения, основные понятия, используемые в ней, а также основные права и обязанности оператора и субъектов персональных данных.
Особо подчеркивается, что обработка персональных данных должна Публикациись с конкретными, заранее определенными и законными целями (обработка персональных данных, не совместимых с целями, не допустима).
Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных. При этом правовым основанием могут быть: федеральные законы, уставные документы оператора, договоры между оператором и субъектом персональных данных, согласие на обработку персональных данных.
Также необходимо учитывать, что обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
В разделе политики, который регламентирует порядок и условия обработки персональных данных, рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также называть все способы обработки персональных данных и сроки обработки персональных данных.
Персональные данные перестают обрабатываться после того, как будет достигнута заявленная ранее цель, либо истечет срок действия согласия, либо будет отозвано согласие субъекта персональных данных на обработку его персональных данных. Еще одним поводом может стать выявление фактов неправомерной обработки персональных данных.
РКН напоминает, что хранить персональные данных необходимо в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных. Еще одна рекомендация касается сроков хранения персональных данных – оператору необходимо использовать базы данных, находящиеся на территории РФ в соответствии с ч. 5 ст. 18 ФЗ "О персональных данных".
Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
Также РКН обращает внимание на актуализацию, исправление, удаление и уничтожение персональных данных, а также ответы на запросы субъектов на доступ к персональным данным. В тех случаях, когда подтверждаются факты неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена.
Полный текст рекомендаций по составлению документа, определяющего политику оператора в отношении обработки персональных данных, размещен здесь.