Зачем компании нужна политика обработки персональных данных
Роскомнадзор разработал Рекомендации по структуре и содержанию Политики по обработке персональных данных (сокращенно – Политика). Приведенная Политика не обязательна, буквально составлять и исполнять ее по образцу на сайте, не нужно. Документ носит рекомендательный характер и призван выработать унифицированный подход к его форме.Он поможет вам сформировать структуру Политики, определить ее общее содержание, дополнить его согласно потребностям и особенностям вашей компании и при необходимости – актуализировать.
Мы ознакомились с Рекомендациями Роскомнадзора, проанализировали их и подготовили для вас в статье инструкцию для разработки вашей собственной Политики в отношении персональных данных.
- Политика обработки персональных данных – что это за документ
- Ответственность за отсутствие политики обработки персональных данных
Политика обработки персональных данных – что это за документ
Политика персональных данных – это обязательный документ для каждого работодателя, который является оператором персданных. Его принимают с целью обеспечить законность, конфиденциальность и безопасность при обработке персональных данных работников и третьих лиц (ст. 18. 1 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).Унифицированной формы у Политики нет. Роскомнадзор разработал Рекомендации по ее составлению. Однако следует учесть, что ведомство предостерегает компании от принятия этого документа по единому образцу, поскольку он должен отражать специфику деятельности каждой отдельной организации и составляться под ее потребности, особенности и цели.
Оператор персональных данных – это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют сбор и обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (ст. 3 Закона № 152-ФЗ).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), которые совершаются с использованием средств автоматизации (или без них) с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (ст. 3 Закона № № 152-ФЗ)
Ответственность за отсутствие политики обработки персональных данных
Политика в отношении персональных данных должна быть не просто разработана и утверждена в вашей компании, но и размещена общедоступным способом: например, вывешена на информационном стенде или опубликована на сайте (ст. 18.1 № 152-ФЗ). Иначе оператор рискует быть привлеченным к ответственности по части 3 статьи 13.11 КоАП РФ.Политику разрабатывают по распоряжению уполномоченного лица (чаще всего руководителя). Утверждают ее также либо по приказу с проставлением грифа «УТВЕРЖДЕНЫ» и его реквизитов, либо путем проставления грифа «УТВЕРЖДАЮ» с указанием должности, подписи, расшифровки уполномоченного лица и даты (ГОСТ Р 7.0.97-2016)
Правонарушение |
Ответственность |
Норма |
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему его политику в отношении обработки ПД, или сведениям о реализуемых требованиях к их защите |
- для организации: от 30000 до 60000 рублей; - для ИП: от 10000 до 20000 рублей; - для должностного лица: от 6000 до 12000 рублей; - для граждан: от 1500 до 3000 рублей. |
ч. 3 ст. 13.11 КоАП РФ |
Помимо уплаты административных штрафов, у работодателя возникает риск привлечь внимание к своей компании при проведении инспекционного мониторинга. Кроме того, в таком случае возможна внеплановая проверка по решению Роскомнадзора.
Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»