[01]
Политика обработки персональных данных в 2025 году
[02]
Что должно быть в политике?
Согласно недавним изменениям закона, в содержании политики обязательно должны быть включены:
Я рекомендую дополнить политику также разделами, которые описывают следующее:
Что касается запрета на введение дополнительных полномочий и обязанностей, то это нельзя рассматривать как невозможность оператора проводить непредусмотренные законом мероприятия в области обработки данных (например, путем ведения реестра обработок или проведения внешних пентестов). Оно должно пониматься также через призму ограничения прав субъектов, в частности если оператор устанавливает для себя дополнительную процедуру идентификации субъекта путем затребования у него паспортных данных, хотя изначально такие данные оператор не обрабатывал.
В отличие от российского закона европейскому регулированию также известно требование о составлении политики на простом и понятном для субъекта персональных данных языке без излишних юридических терминов и бессмысленных отсылок к положениям закона. Проще говоря, структура документа должна быть максимально незамысловатой и с удобной навигацией между основными разделами. Предложения дополнить закон аналогичными требованиями к политике звучат в профессиональном сообществе достаточно давно и настойчиво, но пока не привели к результату.
- Описание категорий и перечня обрабатываемых персональных данных применительно к каждой цели. Если под перечнем понимаются конкретные данные с максимально возможным уровнем детализации (Ф. И. О., номер телефона и пр.), то категории подразделяются на общие персональные данные («классические» — уже упомянутые Ф. И. О. и номер телефона), специальные (по смыслу ст. 10 ФЗ № 152) и биометрические персональные данные (по смыслу ст. 11 ФЗ № 152). Такое деление полностью совпадает с формой уведомления на сайте Роскомнадзора о намерении осуществлять обработку персональных данных.
- Отмечу, что постановление правительства РФ от 01.11.2012 № 1119 также упоминает общедоступные персональные данные как полученные из общедоступных источников (по смыслу ст. 8 ФЗ № 152), которые на практике практически не встречаются ввиду появления специального режима персональных данных, разрешенных для распространения, и иные персональные данные (по сути, это упомянутые общие персональные данные).
- Категории субъектов, персональные данные которых обрабатываются (например, работники, кандидаты на вакансии, контрагенты, клиенты).
- Способы обработки (с использованием средств автоматизации — в информационных системах или без таковых, например только на материальных носителях).
- Сроки обработки и хранения. Правилом хорошего тона считается указание оператором конкретных временных промежутков, по истечении которых данные подлежат уничтожению.
- На практике обозначение таких сроков, впрочем, не всегда возможно, поскольку они могут варьироваться в зависимости от обстоятельств (например, убыточные организации обязаны хранить первичную документацию дольше прибыльных организаций по правилам налогового и бухгалтерского учета) или в зависимости от конкретных бизнес-процессов (например, в рамках разных сервисов оператора для достижения цели требуются объективно разные сроки). В таких случаях оператору следует описать конкретные события, наступление которых будет означать прекращение обработки (например, расторжение пользовательского соглашения с пользователем, которое по умолчанию бессрочное).
- Порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований. Как правило, здесь операторы ограничиваются стандартными формулировками о том, что прекращают обработку и уничтожают данные по достижении цели, отпадении правовых оснований для обработки или ликвидации оператора, а более детальное описание процесса включают в иные документы и локальные акты. Нужно понимать, что нельзя подходить к этому пункту излишне формально, потому что уже почти полтора года действует приказ Роскомнадзора от 28.10.2022 № 179. Убедитесь, что описанные в ваших документах процедуры уничтожения удовлетворяют требованиям этого документа.
Я рекомендую дополнить политику также разделами, которые описывают следующее:
- Процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, поскольку п. 2 ч. 1 ст. 18.1 закона требует от оператора включения таких сведений в локальные акты.
- Такие процедуры могут включать в себя как реагирование на запросы и жалобы субъектов персональных данных, так и порядок проведения оператором мероприятий внутреннего контроля, направленных на предупреждение возможных нарушений закона. Если у оператора отсутствуют специфические контрольные мероприятия, которые уместно описывать в отдельном акте или детали которых относительно конфиденциальны и не подлежат разглашению широкому кругу лиц, то их общее описание можно привести в политике, дабы не плодить лишние документы.
- Права субъектов персональных данных и порядок их реализации. Например, в этом разделе имеет смысл указать конкретный адрес электронной почты, выделенный для обращений от субъектов персональных данных.
Что касается запрета на введение дополнительных полномочий и обязанностей, то это нельзя рассматривать как невозможность оператора проводить непредусмотренные законом мероприятия в области обработки данных (например, путем ведения реестра обработок или проведения внешних пентестов). Оно должно пониматься также через призму ограничения прав субъектов, в частности если оператор устанавливает для себя дополнительную процедуру идентификации субъекта путем затребования у него паспортных данных, хотя изначально такие данные оператор не обрабатывал.
В отличие от российского закона европейскому регулированию также известно требование о составлении политики на простом и понятном для субъекта персональных данных языке без излишних юридических терминов и бессмысленных отсылок к положениям закона. Проще говоря, структура документа должна быть максимально незамысловатой и с удобной навигацией между основными разделами. Предложения дополнить закон аналогичными требованиями к политике звучат в профессиональном сообществе достаточно давно и настойчиво, но пока не привели к результату.
[04]
Как публиковать политику?
Согласно письму Роскомнадзора от 19.10.2021 № 08-71063, если оператор собирает персональные данные с использованием интернета, то политика должна быть размещена также в интернете, а у субъектов должен быть к ней доступ. В противном случае размещение политики в интернете не требуется, но она все еще должна быть доступна к ознакомлению неограниченным кругом лиц (например, она может быть размещена на информационном стенде в офисе оператора).
Требование иметь политику и публиковать ее в открытом доступе формально адресовано только оператору-юрлицу. Тем не менее я рекомендую вести такой документ всем, кто работает с большим массивом персональных данных, скажем, если у вас есть сайт или вы оказываете услуги в интернете. Это потенциально повышает доверие со стороны субъектов, которые привыкли видеть подобный документ практически на любом сайте и позволяет систематизировать те процессы обработки, которые у оператора уже есть.
По правилам последней редакции закона (от 14 июля 2022 года), при сборе персональных данных в интернете необходимо также размещать ссылку на политику под каждой формой сбора (или как минимум на той же странице в «подвале» сайта). Если данные собираются и обрабатываются в форме обратной связи на основании согласия, то требования закона можно выполнить такой формулировкой: «Заполняя настоящую форму, даю согласие на обработку персональных данных (гиперссылка на более подробные условия) в соответствии с политикой (гиперссылка на документ)».
Еще следует учесть, что с политикой должны быть ознакомлены не только работники, которые прямо участвуют в обработке персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ № 152), но вообще все работники оператора, поскольку политика устанавливает порядок обработки их персональных данных, определяет права и обязанности работников в области персональных данных (п. 8 ст. 86 ТК).
Требование иметь политику и публиковать ее в открытом доступе формально адресовано только оператору-юрлицу. Тем не менее я рекомендую вести такой документ всем, кто работает с большим массивом персональных данных, скажем, если у вас есть сайт или вы оказываете услуги в интернете. Это потенциально повышает доверие со стороны субъектов, которые привыкли видеть подобный документ практически на любом сайте и позволяет систематизировать те процессы обработки, которые у оператора уже есть.
По правилам последней редакции закона (от 14 июля 2022 года), при сборе персональных данных в интернете необходимо также размещать ссылку на политику под каждой формой сбора (или как минимум на той же странице в «подвале» сайта). Если данные собираются и обрабатываются в форме обратной связи на основании согласия, то требования закона можно выполнить такой формулировкой: «Заполняя настоящую форму, даю согласие на обработку персональных данных (гиперссылка на более подробные условия) в соответствии с политикой (гиперссылка на документ)».
Еще следует учесть, что с политикой должны быть ознакомлены не только работники, которые прямо участвуют в обработке персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ № 152), но вообще все работники оператора, поскольку политика устанавливает порядок обработки их персональных данных, определяет права и обязанности работников в области персональных данных (п. 8 ст. 86 ТК).
контакты
Екатеринбург, ул. восточная, д. 145
телефон
e-mail