Меры обеспечения выполнения обязанностей, предусмотренных 152-ФЗ (статья 18.1)
назначение ответственного за организацию обработки ПДн;
издание документов, определяющих политику в отношении обработки ПДн,
применение правовых, организационных и технических мер по обеспечению безопасности ПДн
осуществление внутреннего контроля и (или) аудита соответствия обработки
оценка потенциального вреда и принятие мер, направленных на его нейтрализацию
ознакомление работников с положениями законодательства РФ о ПДн и (или) обучение указанных работников
Политика обработки и защиты персональных данных
Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке установленном Федеральным законом
«О персональных данных»
июль 2017г.
ЦЕЛЬ
Рекомендаций Роскомнадзора:
Унифицировать подходы к структуре и форме Политики
СТРУКТУРНЫЕ КОМПОНЕНТЫ ПОЛИТИКИ:
1.Общие положения
- назначение Политики
- основные понятия и определения
- основные права и обязанности оператора
- основные права и обязанности субъекта
СТРУКТУРНЫЕ КОМПОНЕНТЫ
ПОЛИТИКИ:
2.Цели сбора персональных данных:
- уставные, фактические цели
- правовые акты регулирующие вашу деятельность
- конкретных бизнес-процессов вашей компании (в отношении определенных категорий субъектов (работник, обучающийся, гражданин, соискатель..)
СТРУКТУРНЫЕ КОМПОНЕНТЫ
ПОЛИТИКИ:
3. Правовые основания обработки ПДн
- ФЗ и принятые на их основе нормативные правовые акты
- уставные документы
- договоры
- согласия
СТРУКТУРНЫЕ КОМПОНЕНТЫ
ПОЛИТИКИ:
4. Объем и категории обрабатываемых персональных данных, категории субъектов
- все категории ПДн по каждой категории субъектов
- все случаи обработки специальных категорий ПДн
- все случаи обработки биометрических ПДн
СТРУКТУРНЫЕ КОМПОНЕНТЫ
ПОЛИТИКИ:
5. Порядок и условия обработки ПДн
- указываете перечень действий с ПДн
- указываете способы обработки
- указываете условия передачи ПДн 3-м лицам на обработку
- указываете условия трансграничной передачи ПДн
-указываете сведения о соблюдении конфиденциальности
- указываете информацию о принятии вами мер, предусмотренных ст.18.1 и ст.19 №152-ФЗ
- условия прекращения обработки ПДн
- условия хранения ПДн (с указанием сроком хранения)
СТРУКТУРНЫЕ КОМПОНЕНТЫ
ПОЛИТИКИ:
6. Ответы на запросы субъектов
- утвердить и разместить в виде приложения форму Запроса
- утвердить и разместить в виде приложения Регламент реагирования на запросы/обращения субъектов персональных данных
ПРИМЕР
Политика в отношении обработки и защиты персональных данных
с учетом требований Роскомнадзора
от 27 июля 2017 г.
Политика конфиденциальности
Согласие на обработку персональных данных
Субъект имеет право на:
получение сведений от оператора об обработке своих персональных данных:
О факте обработки персональных данных
О целях и правовых основаниях обработки персональных данных
О способах обработки персональных данных
О организациях/лицах, кому могут быть переданы персональные данные по договору или федеральному закону
О объеме обрабатываемых данных и источниках их получения (если вы их получили, например, не от самого работника, а от иной организации/лица,хотя нет для этого федерального закона)
О сроках обработки и сроках хранения персональных данных
О порядке осуществления прав субъекта по ФЗ-152
О передаче его персональных данных заграницу
О передаче его персональных данных иным организациям на обработку
Иные сведения, предусмотренные ФЗ-152 или другими ФЗ
ВЫ ИМЕЕТЕ ПРАВО ОТКАЗАТЬ СУБЪЕКТУ, ЕСЛИ:
1. обработка ПДн, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка
2. обработка ПДн осуществляется органами, осуществившими задержание субъекта по подозрению в совершении преступления, либо предъявившими субъекту обвинение по уголовному делу, либо применившими к субъекту меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн
3. обработка ПДн ведется в соответствии с ФЗ-115 о легализации доходов
4. доступ к его персональным данным, нарушает права 3х лиц
5. обработка ведется по ФЗ о транспортной безопасности
Запрос субъекта должен содержать:
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя
сведения о дате выдачи указанного документа и выдавшем его органе
сведения, подтверждающие участие субъекта в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)
сведения, иным образом подтверждающие факт обработки ПДн оператором
подпись субъекта или его представителя
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ
Оператор обязан сообщить субъекту в порядке, по ст.14, информацию о наличии ПДн и предоставить возможность ознакомления с ними в течение 30 дней с момента получения запроса.
В случае отказа (по ст.14 п.8) предоставить информацию, дать мотивированный ответ в письменной форме в течение 30 дней
3. Внести изменения в ПДн, если они являются неполными, неточными или неактуальными в течение 7 раб. дней
4. Уничтожить ПДн, незаконно полученные или не являющиеся необходимыми для заявленной цели обработки, в течение 7 раб. дней с момента представления данных субъектом.
5. Уведомить субъекта или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы
6. Сообщить в Роскомнадзор необходимую
информацию в течение 30 дней с даты получения запроса
Сводная таблица действий в ответ на запросы Субъекта ПДн
1. При обращении субъекта при неправомерной обработке (или неточных) ПДн нужно заблокировать неправомерные (неточные) ПДн с момента такого обращения.
2.Если субъект представил информацию о неточности ПДн, оператор обязан их уточнить в течение 7 раб. дней и снять блокирование ПДн.
3. В случае выявления неправомерной обработки Оператором, в срок не превышающий 3 раб. дней, обязан:
прекратить неправомерную обработку
в случае, если обеспечить правомерность обработки ПДн невозможно - уничтожить их в течении 10 дней.
4. В случае достижения цели обработки, оператор обязан прекратить обработку и уничтожить ПДн в срок до 30 дней с даты достижения цели, если иное не предусмотрено договором, стороной которого является субъект
5. Если субъект отзывает Согласие , то оператор обязан прекратить обработку ПДн и если их сохранение больше не требуется, то уничтожить ПДн в срок не превышающий 30 дней с даты отзыва, если сохранение ПДн более не требуется для целей обработки ПДн, и если иное не предусмотрено :
договором, стороной которого, выгодоприобретателем является субъект
обязанностью оператором обрабатывать ПДн по другим ФЗ
6. Если уничтожить в установленный срок нельзя Оператор
блокирует ПДн (или обеспечивает их блокирование)
и обеспечивает уничтожение ПДн в срок не более 6 мес.
ПОСТАНОВЛЕНИЕ
от 15 сентября 2008 г. N 687 г. Москва
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Заявление о приеме
Ответственный за организацию обработки персональных данных
Оператор назначает лицо, ответственное за организацию обработки персональных данных
Ответственный получает указания непосредственно от руководителя организации и является подотчетным ему
Оператор должен предоставить Ответственному сведения, указанные в ст.22 ч.3 (содержание Уведомления): цель обработки, категории ПДн, категории субъектов ПДн, правовые основания обработки, перечень действий с ПДн, меры по ст.18.1, ст.19 и т.д.