Политика обработки персональных данных: кто утверждает документ, какие есть нюансы в отношении использования организацией сведений и защиты их конфиденциальности?

  • Назначение и область действия документа
  • «Политика ООО «Сателлит» (далее по тексту также — Общество) в отношении обработки персональных данных» (далее – Политика) определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
  • Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений ООО «Сателлит».
  • Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.
  • К настоящей Политике имеет доступ любой субъект персональных данных.
  • Определения

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину). Т.е. к такой информации, в частности, можно отнести: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, сведения о состоянии здоровья и т.п.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств.

К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Субъекты персональных данных ООО «Сателлит» обрабатывает персональные данные следующих лиц:

  • субъектов, с которыми заключены договоры гражданско-правового характера;
  • клиентов ООО «Сателлит»;
  • зарегистрированных пользователей сайта ООО «Сателлит»
  • представителей юридических лиц;
  • поставщиков (индивидуальных предпринимателей).
  1. Принципы и условия обработки персональных данных
  2. Под безопасностью персональных данных ООО «Сателлит» понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.
  3. Обработка и обеспечение безопасности персональных данных в ООО «Сателлит» осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.
  4. При обработке персональных данных ООО «Сателлит» придерживается следующих принципов:
  • законности и справедливой основы;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки персональных данных, которые отвечают целям их обработки;
  • соответствия содержания.

Общество обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

ООО «Сателлит» вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора.

Лица, осуществляющие обработку персональных данных по поручению ООО «Сателлит», обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных».

Для каждого лица определены перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.

  • В случаях, установленных законодательством Российской Федерации, ООО «Сателлит» вправе осуществлять передачу персональных данных граждан.
  • Общество уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.
  • Права субъекта персональных данных
  • Субъект, персональные данные которого обрабатываются ООО «Сателлит», имеет право:
  • получать от ООО «Сателлит» подтверждение факта обработки персональных данных ООО «Сателлит»;
  • правовые основания и цели обработки персональных данных;
  • сведения о применяемых ООО «Сателлит» способах обработки персональных данных;
  • сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
  • сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;
  • информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами;
  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отозвать свое согласие на обработку персональных данных;
  • обжаловать действия или бездействие ООО «Сателлит» в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что ООО «Сателлит» осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
  1. Обеспечение безопасности персональных данных
  2. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
  3. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
  4. Обеспечение безопасности персональных данных достигается, в частности:
  1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  5. учетом машинных носителей персональных данных;
  6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Читайте также:  Произвести оплату согласно штатному расписанию: как отразить сдельный расчет и где в табеле указать надбавки из фонда к заработанной сумме, а также образец документа

На сайте macroscop.com публикуется актуальная версия «Политики «ООО «Сателлит» в отношении обработки персональных данных».

Источник: https://macroscop.com/politika-konfidencialnosti-i-obrabotki-personalnyh-dannyh

Важные правила составления политики в отношении обработки и защиты персональных данных

Политика персональных данных (ППД) организации в отношении обработки и сохранения конфиденциальности сведений – это документ, в который структурно входит несколько разделов.

В этих разделах прописывается информация о субъекте, проводящем обработку собранной информации, также о третьих лицах, принимающих участие в текущем процессе, процедура защиты информации, ссылки на правовую составляющую, права носителей личных сведений.

ППД дает возможность реализовать принципы законности, конфиденциальности и безопасности информации.

СПРАВКА! Существует ряд обязательных к пониманию и изучению понятий, связанных с действием политики.

К таким понятиям относят:

  1. Персональные данные – любые сведения, относящиеся прямо или косвенно к физическому лицу.
  2. Оператор – государственный, муниципальный орган, юр. или физ. лицо, организующее обработку и сбор ПД, формирующее цели и состав обрабатываемых данных, а также совершающее действия в отношении персональных сведений.
  3. Обработка персональных данных – любые манипуляции, производящиеся при помощи автоматизированных систем или без них, с личными сведениями пользователей.

Кто утверждает?

Политика в отношении обработки персональных сведений утверждается лицом, находящимся в статусе руководителя той или иной организации: директор, председатель и т.п.

Для обработки

  1. Общие положения.
  2. Цели обработки ПД.
  3. Правовое основание обработки персональных данных (ОПД).
  4. Перечень действий с личной информацией.

    При обработке ПД Оператор будет осуществлять следующие действия с ними:

    • сбор;
    • запись;
    • систематизация;
    • накопление;
    • хранение;
    • уточнение (обновление, изменение);
    • извлечение;
    • использование;
    • передачу (распространение, предоставление, доступ);
    • обезличивание;
    • блокирование;
    • удаление;
    • уничтожение персональных данных.
  5. Состав обрабатываемых ПД.
  6. Обработка персональных данных:

    • не автоматизированная ОПД;
    • автоматизированная ОПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
    • смешанная ОПД.
  7. Обеспечение защиты ПД при их обработке Оператором.
  8. Право субъекта персональных данных на доступ к его персональным данным.
Читайте также:  Счет-фактура на аванс: что писать вместо наименования товара при платеже, если нет данных или образовался остаток средств, как оформить документ при возврате от покупателя?

Для защиты

  1. Контролирующие и обрабатывающие лица.
  2. Сбор.
  3. Использование.
  4. Предоставление личной информации пользователей компанией.
  5. Куки-файлы (касается веб-сайтов).

  6. Защита учетных записей.
  7. Доступ и изменение ПД пользователей.
  8. Безопасность.
  9. Третьи лица.
  10. Изменения ППД относительно защиты.
  11. Контакты.

Пора ставить галочки. Чем грозят нарушения закона о “О персональных данных” № 152-ФЗ

После 1 июля 2017 года вопрос обработки и хранения персональных данных стал особенно актуальным. Виной всему – новая таблица штрафов за нарушения в этой области.

Получить 75-300 тысяч рублей штрафа теперь стало не просто, а очень просто – достаточно, например, не взять согласие пользователя на обработку его персональных данных при отправке заявки с лендинга.

Так еще вчера вы должны были описать на своем сайте политику обработки персональных данных и просить пользователей соглашаться с ней при отправке любой формы с сайта.

Как правильно написать Политику обработки персональных данных

Если подходить к делу основательно, желательно прочитать упомянутый выше закон, ознакомиться с рекомендациями Роскомнадзора (тыц) и составить объемный документ, регламентирующий все нюансы работы с персональными данными пользователей именно на вашем сайте.

Некоторые не заморачиваются и берут чужие правила обработки персональных данных, вставляют туда имя своей организации и выкладывают на своем сайте. Это не совсем красиво и к тому же может привести к конфликту с тем, кто эту Политику писал. Как ни крути, но это, интеллектуальная собственность (причем, не ваша).

Мы решили подарить вам еще один, самый простой способ – ниже есть образец Политики обработки персональных данных.

  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/politika-obrabotki
  • https://advegital.com/solutions/politika-obrabotki-personalnykh-dannykh-obrazets.html

Источник: https://yazdorov.win/psihologiya-i-psihiatriya/vazhnye-pravila-sostavleniya-politiki-v-otnoshenii-obrabotki-i-zashhity-personalnyh-dannyh.html

FAQ. Вопросы и ответы по персональным данным в 2019 году. ·

Персональные данные. Алиса не разобралась, а мы разобрались. Тема защиты персональных данных существует далеко не первый год, но количество вопросов растет, а мы продолжаем работать и оказывать услуги, в том числе, предоставляя пакеты документов и консультируя наших клиентов.

Вопросов  посетителей сайта  и клиентов не становится меньше. Внесем немного ясности.

Мы уже готовили FAQ по персональным данным, загляните и в него, там вы сможете также получить ответы.

Все новые вопросы, поступившие к нам, мы разделили на несколько блоков, для вашего и нашего удобства. Старались отвечать на все без исключений. Приступим.

1. Политика конфиденциальности, пользовательское соглашение.

а) Нужно ли утверждать политику конфиденциальности?

Любые документы, которые издаются в организации должны быть надлежащим образом оформлены и утверждены. Политика конфиденциальности – не исключение. О порядке утверждения и ведения организационной документации смотрите соответствующий ГОСТ.

б) Нужна ли, должна ли быть политика конфиденциальности на сайте, а если на сайте нет политики конфиденциальности?

Да, политика конфиденциальности должна быть на сайте, но только в том случае если оператор осуществляет сбор персональных данных с использованием сайта. Это прямо предусмотрено частью 2 статьи 18.1 ФЗ-152 «О персональных данных», а в части 3 статьи 11 КоАП РФ предусмотрен штраф за нарушение, который составляет от 15 000 до 30 000 рублей для юридических лиц.

в) Как сделать ссылки на политику организации в отношении обработки персональных данных?

В соответствии с частью 2 статьи 18.1 ФЗ-152 оператор обязан обеспечить возможность доступа к политике конфиденциальности с использованием средств соответствующей информационно-телекоммуникационной сети.

Поэтому достаточно просто разместить гиперссылку на документ с политикой в отношении обработки персональных данных в футере (подвале) сайта, либо создать одноименный раздел на отдельно выделенной странице сайта.

  • г) Если на сайте есть форма «заказать звонок», нужна ли политика конфиденциальности?
  • Если через такую форму собираются персональные данные, то конечно же нужна. Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
  • д) Кому нужна, нужна ли политика конфиденциальности?

Политика конфиденциальности нужна всем, кто в силу закона является Оператором персональных данных.

Под оператором закон подразумевает государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; это требование закона.

Читайте также:  Что спрашивают на собеседовании бухгалтера, как оно проходит: какие вопросы задают при приеме на работу, ответы и тесты, как пройти их успешно, что должен знать соискатель?

е) Нужна ли СМИ политика конфиденциальности?

Да, СМИ, являясь оператором персональных данных, также обязаны выполнять требования ФЗ-152, соответственно и политика конфиденциальности им также нужна.

2. Пользовательское соглашение.

  1. а) Достаточно ли политики конфиденциальности или надо писать пользовательское соглашение?
  2. Политика конфиденциальности — это документ, обязательный для размещения если организация или физическое лицо являются оператором, осуществляющим обработку персональных данных.
  3. Пользовательское соглашение создается в случае, если необходимо юридически закрепить факт правоотношений между пользователями сайта и самим сайтом.

Пользовательское соглашение, на наш взгляд, обязательно для сайтов, которые осуществляют продажу товаров через интернет (интернет-магазинов). Однако не все интернет-магазины пользуются этим документом.

  • б) Пользовательское соглашение включает политику конфиденциальности?
  • Пользовательское соглашение может включать отдельные положения политики конфиденциальности, однако, с точки зрения закона и практики его применения, необходимо создавать два отдельных документа.
  • в) Пользовательское соглашение об обработке персональных данных, что это?

Это слияние двух разных названий, совершенно разных документов. Правильно – «Политика в отношении обработки персональных данных» или «политика конфиденциальности». «Пользовательское соглашение» или «публичная оферта».

г) Пользовательское соглашение для интернет-магазина образец 2017.

Образец такого документа мы уже выкладывали в статье «Интернет-магазины — типичные ошибки владельцев».

3. Место хранения персональных данных.

а) Роскомнадзор, место хранения персональных данных, где найти разъяснения?

Есть официальный раздел интернет-сайта Минсвязи (http://minsvyaz.ru/ru/personaldata/), посвященный вопросам локализации персональных данных. Там находятся ответы на все распространенные вопросы относительно локализации персональных данных – рекомендуем.

б) Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ, где указать?

Данные сведения указываются при подаче уведомления в Роскомнадзор онлайн. Одним из пунктов, которые необходимо указывать, как раз и являются сведения о месте нахождения баз данных.

4. Персональные данные и интернет-сайты.

а) Перечень персональных данных необходимых для обработки интернет-заказа?

Обычно в интернет-магазине собирают следующие персональные данные: фамилия, имя, отчество, дата рождения (день, месяц, год), адрес доставки, пол, контактный номер мобильного телефона, адрес электронной почты.

б) Какие документы общества, обязательно должны быть выставлены на сайте компании? Информация о персональных данных на сайте, какая должна быть? Соблюдение закона о персональных данных при создании сайта.

  1. Если говорить о соблюдении ФЗ-152, и если на сайте осуществляется сбор персональных данных, то к таким документам относятся:
  2. Политика в отношении обработки персональных данных (политика конфиденциальности);
  3. Согласие на обработку персональных данных;
  4. В некоторых случаях мы также рекомендуем размещать пользовательское соглашение (публичную оферту).

5. Уведомление об обработке ПДн.

а) Уведомление о намерении осуществлять обработку персональных данных штраф 2017?

Штраф за непредоставление уведомления предусмотрен статьей 19.7 КоАП РФ и составляет от 3000 до 5000 рублей для юридических лиц.

б) Уведомление Роскомнадзора об обработке персональных данных клиентов, как подать?

Для этого необходимо заполнить онлайн форму на сайте Роскомнадзора либо направить заполненную форму уведомления об обработке персональных данных по почте. Мы рекомендуем сочетать оба метода.

в) Должна ли база отдыха подавать уведомление об обработке персональных данных?

База отдыха собирает персональные данные? Думается, что да. Соответственно база отдыха является оператором персональных данных и обязана в силу закона подавать уведомление об обработке персональных данных в Роскомнадзор.

г) Какие документы требуются иметь в обществе, чтобы успешно пройти проверку Роскомнадзора?

Законодательство не устанавливает конкретный перечень документов, поэтому состав таких документов может отличаться в зависимости от подхода юристов к их разработке, а также особенностей бизнес-процессов конкретной организации. Поэтому чтобы не вводить Вас в заблуждение не будем публиковать разработанный нами перечень документов. Рекомендуем ознакомиться с положениями закона.

6. Прочие вопросы.

а) Кто может быть членом комиссии по приведению в соответствие с требованиями законодательства в области персональных данных?

Как правило это лица ответственные за обработку персональных данных и обеспечение безопасности персональных данных, руководитель организации. Также в комиссию могут быть включены рядовые сотрудники.

  • б) Где найти ответы Роскомнадзора на вопросы о персональных данных?
  • Действительно, на сайте Роскомнадзора довольно сложно что-то найти, но мы нашли, ответы вот по этой ссылке.
  • в) Для какой цели мэрии нужны персональные данные?

Чтобы это понять нужно ознакомиться с согласием на обработку персональных данных. Такой документ всегда предоставляется на подпись сотрудниками любой организации куда вы обращаетесь и оставляете свои персональные данные. В согласии должны быть указаны цели для которых обрабатываются Ваши персональные данные.

г) Может ли данные ООО обрабатывать физическое лицо?

Вопрос довольно поверхностный, поэтому точно ответить на него проблематично. Есть общедоступный источник, в котором содержатся данные любого юридического лица – это ЕГРЮЛ. Соответственно любое физическое лицо может получить необходимые данные из ЕГРЮЛ в режиме онлайн. Если говорить о каких-либо других данных, то нужно уже исходить из конкретной ситуации.

  1. Остались вопросы или хотите поручить разработку документов нам?
  2. Заказать услугу

Источник: https://efimovlaw.ru/faq-personalnye-dannye/

Ссылка на основную публикацию
Adblock
detector