Политика оператора в отношении обработки персональных данных

В соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор, являющийся юридическим лицом (в том числе органы государственной власти и местного самоуправления Воронежской области, подведомственные им государственные и муниципальные организации), издает документы, определяющие политику оператора в отношении обработки персональных данных.

При этом операторы, являющиеся государственными и муниципальными органами, в соответствии с подпунктом б пункта 1 перечня мер, утвержденного постановлением Правительства Российской Федерации от 21.03.2012 № 211, актом руководителя утверждают следующие документы:

  • правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
  • правила рассмотрения запросов субъектов персональных данных или их представителей;
  • правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
  • правила работы с обезличенными данными в случае обезличивания персональных данных;
  • перечень информационных систем персональных данных;
  • перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
  • перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных;
  • перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
  • должностной регламент (должностные обязанности) или должностную инструкцию ответственного за организацию обработки персональных данных в государственном или муниципальном органе;
  • типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
  • типовую форму согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
  • порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных.

Роскомнадзором подготовлены рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Органам государственной власти и местного самоуправления Воронежской области рекомендуется разрабатывать перечисленные документы в качестве самостоятельных документов с использованием постановления правительства Воронежской области от 26.09.2017 № 748 «Об утверждении документов, определяющих политику в отношении обработки персональных данных в правительстве Воронежской области» и утверждать их в виде приложений к единому нормативному правовому акту (приказу, постановлению) об утверждении документов, определяющих политику в отношении обработки персональных данных. Иные документы, не предусмотренные постановлением Правительства Российской Федерации от 21.03.2012 № 211 и не относящиеся к определению политики в отношении обработки персональных данных, включать в состав такого нормативного правового акта не рекомендуется.

Содержание документов, определяющих политику в отношении обработки персональных данных, должно соответствовать содержанию уведомления Роскомнадзора об обработке персональных данных.

В соответствии с частью 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей (в том числе сети «Интернет»), обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. При этом в соответствии с пунктом 2 перечня мер, утвержденного постановлением Правительства Российской Федерации от 21.03.2012 № 211 нормативный правовой акт об утверждении документов, определяющих политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.

Таким образом, рекомендуется всем операторам свой нормативный правовой акт об утверждении документов, определяющих политику в отношении обработки персональных данных, размещать на своем официальном сайте в сети «Интернет».

После принятия нормативного правового акта об утверждении документов, определяющих политику в отношении обработки персональных данных, оператор должен обеспечивать его актуальность и соответствие реальному положению дел.

Рекомендуется обязанности по подготовке требуемых документов, определяющих политику оператора в отношении обработки персональных данных, а также по обеспечению актуальности и соответствия сведений, содержащихся в данных документах, возложить на лицо, ответственное за организацию обработки персональных данных и закрепить их в должностном регламенте (должностных обязанностях) или должностной инструкции ответственного за организацию обработки персональных данных.

За невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных предусмотрена административная ответственность.