Как составить документ, определяющий политику компании по сбору персональных данных

13 Января 2022 697 0 Законодательство
Поделиться

15 ноября 2021 года в Беларуси вступил в силу Закон о защите персональных данных. Национальный центр защиты персональных данных РБ подготовил Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении персональных данных. 

Министерство антимонопольного регулирования и торговли подчеркивает, что эти Рекомендации пригодятся организаторам рекламных игр. 

Что такое Политика оператора (уполномоченного лица) в отношении обработки персональных данных 

Разработка Политики предусмотрена абзацем третьим пункта 3 статьи 17 Закона в качестве обязательной меры для юридических лиц Республики Беларусь, иных организаций, индивидуальных предпринимателей, которые являются операторами или уполномоченными лицами, и направлена на обеспечение прозрачного характера обработки персональных данных (пункт 6 статьи 4 Закона).

Политика должна позволять субъектам персональных данных понимать, кем, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражать имеющиеся у субъектов персональных данных права в контексте этой обработки и механизм их реализации.

2020-10-21_What-Is-PII-non-PII-and-personal-data_blog.png

Как должна выглядеть Политика

Подготавливается либо одна общая Политика в виде отдельного документа, либо несколько документов, определяющих с учетом специфики (особенностей) деятельности оператора (уполномоченного лица) порядок обработки персональных данных в определенных сферах или в связи с определенными бизнес-процессами.

Политика должна быть написана простым, ясным и доступным языком и отражать особенности обработки персональных данных у конкретного оператора (уполномоченного лица).

Следует избегать абстрактных или неоднозначных формулировок, не позволяющих субъекту персональных данных понять суть и параметры обработки персональных данных, в частности таких слов, как «может», «вероятно», «некоторый», «часто», «возможно», «в зависимости от ситуации».

В целях обеспечения максимальной доступности для восприятия в Политике следует избегать излишнего цитирования актов законодательства, использования большого числа специальных терминов, подробного описания технических аспектов обработки персональных данных.

Каким должен быть доступ к Политике

Политика должна размещаться на таком сайте, как правило, на странице не ниже второго уровня, а также дополнительно может размещаться на иных интернет-ресурсах или распространяться другими способами. При отсутствии у оператора (уполномоченного лица) сайта обеспечение неограниченного доступа к Политике осуществляется посредством ее размещения на информационных стендах или иными способами.

Политика должна поддерживаться в актуальном состоянии. В случае если в содержание Политики вносятся существенные изменения, включая изменение оператора, целей обработки, сроков хранения, порядка реализации прав субъектов данных, условий трансграничной передачи, они должны доводиться до сведения субъектов персональных данных заблаговременно, до вступления в силу таких изменений.

Что должна содержать Политика

В Политику рекомендуется включать следующую информацию:
  • общие положения;
  • цели и правовые основания обработки персональных данных;
  • категории субъектов персональных данных, чьи данные подвергаются обработке, а также перечень обрабатываемых персональных данных;
  • порядок и условия обработки персональных данных, в том числе срок хранения персональных данных;
  • права субъектов персональных данных;
  • трансграничная передача персональных данных.

В общих положениях рекомендуется отразить наименование оператора (уполномоченного лица), основные понятия, отражающие специфику обработки у него персональных данных (при их наличии), сферы (бизнес-процессы), на которые распространяется действие Политики (например, обработка персональных данных пользователей сайта, приложения, обработка персональных данных лиц, претендующих на трудоустройство).

Цели и правовые основания обработки персональных данных должны быть конкретными, законными и формулироваться до начала обработки персональных данных.

Не допускается указание абстрактных или общих целей, которые не определяют пределов обработки и не позволяют субъекту персональных данных понять, для чего будут обрабатываться его персональные данные.

В частности, не соответствуют критерию конкретности следующие формулировки:
  • «для совершенствования деятельности организации»;
  • «для разработки новых услуг»;
  • «в исследовательских целях» (за исключением случаев, когда речь идет об обработке обезличенных персональных данных);
  • «для обеспечения реализации Устава»;
  • «для обеспечения соблюдения законодательства» (в отношении обработки персональных данных, связанных с реализацией задач и функций оператора);
  • «для формирования справочных материалов для внутреннего информационного обеспечения деятельности»;
  • «для достижения общественно значимых целей».

Примерами целей обработки, соответствующих критерию конкретности, являются:
  • «обработка информации (резюме) кандидата на трудоустройство»;
  • «обработка персональных данных в процессе трудовой деятельности»;
  • «обеспечение пропускного режима»;
  • «заключение, исполнение, изменение и расторжение определенного договора»;
  • «идентификация зарегистрированного Пользователя» (на конкретном ресурсе);
  • «направление субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с продукцией (работами, услугами)»;
  • «осуществление административных процедур»;
  • «рассмотрение обращений»;
  • «ведение бухгалтерского и налогового учета»;
  • «реализация действующих систем единовременных и накопительных скидок и бонусов на оказываемые услуги, акций и программ лояльности» и т.п.
Применительно к каждой цели обработки персональных данных подлежит указанию правовое основание обработки персональных данных. Правовые основания обработки персональных данных указаны в пункте 3 статьи 4, статьях 6 и 8 Закона.

В случае если обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами, в качестве правового основания подлежат указанию абзац двадцатый статьи 6 либо абзац шестнадцатый пункта 2 статьи 8 Закона, а также конкретный законодательный акт (его структурный элемент), предусматривающий соответствующую обязанность (полномочие).

Кто такие субъекты персональных данных

Категории субъектов персональных данных, чьи данные подвергаются обработке, а также перечень обрабатываемых персональных данных подлежат указанию применительно к каждой цели обработки персональных данных.

В качестве категорий субъектов персональных данных в Политике могут быть, в частности, указаны:
  • работники, в том числе уволенные, а также их родственники;
  • посетители;
  • кандидаты на трудоустройство;
  • покупатели (заказчики);
  • пациенты;
  • абитуриенты;
  • студенты;
  • граждане, подавшие (подающие) обращения;
  • граждане, обратившиеся (обращающиеся) за осуществлением административной процедуры;
  • пользователи интернет-сайта (мобильного приложения) оператора и иные конкретные категории субъектов персональных данных.
Перечень обрабатываемых персональных данных может отражаться в Политике путем их перечисления, отсылки к акту законодательства, перечисляющему персональные данные или устанавливающему соответствующую форму, а также посредством закрепления критериев, очерчивающих объем обрабатываемых данных, и т.п.

При определении порядка обработки персональных данных указываются перечень осуществляемых оператором (уполномоченным лицом) действий с персональными данными, источник получения персональных данных.

В случае если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в Политике рекомендуется указывать:
  • наименование и местонахождение уполномоченного лица (уполномоченных лиц) или категории уполномоченных лиц;
  • основания обработки персональных данных (наличие договора, акта законодательства либо решения государственного органа);
  • перечень персональных данных, обработка которых поручена уполномоченному лицу (уполномоченным лицам);
  • перечень действий с персональными данными, осуществляемых уполномоченным лицом (уполномоченными лицами).
Кроме того, в Политике могут указываться принимаемые правовые, организационные и технические меры по обеспечению защиты персональных данных.

Отдельно указываются сроки хранения персональных данных (дата или период времени) либо критерии, используемые для определения таких сроков. При этом хранение персональных данных может осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

Эти и другие рекомендации Национальный центр защиты персональных данных можно изучить здесь.



Поделиться
Материалы по теме:
Обсуждение:
Читайте также: