Политика в отношении обработки персональных данных: что учесть при составлении

О чем статья:

• какая информация должна быть отражена в документе, определяющем политику оператора (уполномоченного лица) в отношении обработки персональных данных.

Издание оператором (уполномоченным лицом) документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, является одной из обязательных мер по обеспечению защиты персональных данных (п. 3 ст. 17 Закона № 99-З).

В связи с этим Национальный центр защиты персональных данных (далее – Центр) разработал Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее – Рекомендации).

Справочно:

Рекомендации размещены в банке данных «Правоприменительная практика» ИПС «ЭТАЛОН-ONLINE».

Рекомендации подготовлены для формирования единообразных подходов к структуре и форме документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее – Политика).

Общие требования к Политике

Политика может быть разработана в виде одного или нескольких документов, которые будут определять порядок обработки персональных данных в определенных сферах с учетом специфики деятельности оператора.

Написана она должна быть доступным языком и отражать особенности обработки персональных данных у конкретного оператора (уполномоченного лица). Поэтому при составлении Политики следует избегать излишнего цитирования актов законодательства, использовать большое число специальных терминов, подробно описывать технические аспекты обработки персональных данных.

Для большей наглядности и доступности информации Политика может содержать таблицы, инфографику, схемы и т.п.

Обратите внимание!

Не стоит использовать неоднозначные формулировки, которые не позволят субъекту персональных данных понять суть обработки персональных данных (например, такие слова, как «может», «вероятно», «некоторый», «часто», «возможно», «в зависимости от ситуации»).

Политику необходимо размещать на сайте оператора (уполномоченного лица), как правило, на странице не ниже второго уровня. Дополнительно можно размещать на иных интернет-ресурсах или распространять другими способами. Если у оператора (уполномоченного лица) нет своего сайта, то Политику необходимо размещать на информационных стендах или иными способами обеспечить неограниченный доступ к ней.

Если в Политику вносятся существенные изменения (например, изменился оператор, сроки хранения персональных данных, цели их обработки и т.д.), то они должны доводиться до сведения субъектов персональных данных до вступления в силу таких изменений.

Содержание Политики

Центр рекомендует включать в Политику следующую информацию:

1. Общие положения. К такой информации относятся наименование оператора (уполномоченного лица), основные понятия, отражающие специфику обработки у него персональных данных (при их наличии), сферы (бизнес-процессы), на которые распространяется действие Политики (например, обработка персональных данных пользователей сайта, приложения, обработка персональных данных лиц, претендующих на трудоустройство).

2. Цели и правовые основания обработки персональных данных. Они должны быть конкретными. Примерами конкретных целей обработки являются:

• обработка информации (резюме) кандидата на трудоустройство;
• обработка персональных данных в процессе трудовой деятельности;
• обеспечение пропускного режима;
• заключение, исполнение, изменение и расторжение определенного договора;
• идентификация зарегистрированного пользователя (на конкретном ресурсе);
• направление субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с продукцией (работами, услугами);
• осуществление административных процедур;
• рассмотрение обращений;
• ведение бухгалтерского и налогового учета;
• реализация действующих систем единовременных и накопительных скидок и бонусов на оказываемые услуги, акций, программ лояльности и т.п.

Неконкретными целями могут быть признаны следующие формулировки:

• для совершенствования деятельности организации;
• для разработки новых услуг;
• в исследовательских целях (за исключением случаев, когда речь идет об обработке обезличенных персональных данных);
• для обеспечения реализации устава;
• для обеспечения соблюдения законодательства (в отношении обработки персональных данных, связанных с реализацией задач и функций оператора);
• для формирования справочных материалов для внутреннего информационного обеспечения деятельности;
• для достижения общественно значимых целей.

Каждая цель обработки персональных данных должна быть подкреплена правовым основанием (указаны в п. 3 ст. 4, ст. 6, 8 Закона № 99-З). Если обработка персональных данных осуществляется в рамках обязанностей, предусмотренных законодательными актами, то в качестве правового основания необходимо указывать:

• абз. 12 ст. 6 либо абз. 16 п. 2 ст. 8 Закона № 99-З;
• конкретный акт законодательства (его структурный элемент), предусматривающий соответствующую обязанность.

3. Категории субъектов персональных данных, чьи данные подвергаются обработке (например, работники, в т.ч. уволенные, а также их родственники; посетители; кандидаты на трудоустройство; покупатели (заказчики); пациенты; абитуриенты; студенты; граждане, подавшие (подающие) обращения; граждане, обратившиеся (обращающиеся) за осуществлением административной процедуры; пользователи интернет-сайта (мобильного приложения) оператора и иные конкретные категории субъектов персональных данных).

4. Перечень обрабатываемых персональных данных. Их можно перечислить в Политике или сделать отсылку к акту законодательства, перечисляющему персональные данные.

Справочно:

категории субъектов и перечень обрабатываемых персональных данных указываются применительно к каждой цели обработки персональных данных.

5. Порядок обработки персональных данных. Необходимо указать перечень осуществляемых оператором (уполномоченным лицом) действий с персональными данными, а также источник их получения. Отдельно указываются сроки хранения персональных данных (дата или период времени) либо критерии, используемые для определения таких сроков.

Если обработка персональных данных поручена уполномоченному лицу, то в данном разделе дополнительно указываются:

• наименование и местонахождение уполномоченного лица;
• основания обработки персональных данных (договор, акт законодательства либо решения государственного органа);
• перечень персональных данных, обработка которых поручена уполномоченному лицу;
• перечень действий с персональными данными, осуществляемых уполномоченным лицом.

6. Права субъектов персональных данных. Помимо перечисления прав в Политике необходимо:

• описать конкретный механизм подачи соответствующих заявлений и порядок их рассмотрения;
• указать также данные лица (структурного подразделения) оператора, ответственного за осуществление внутреннего контроля за обработкой персональных данных, к которому можно обратиться за содействием в реализации прав субъекта персональных данных.

7. Трансграничная передача персональных данных. Применительно к каждой цели передачи персональных данных указываются:

• субъекты (категории субъектов) в иностранных государствах, которым персональные данные могут быть переданы, с указанием возможного способа связи с ними;
• страны, на территории которых находятся такие субъекты (категории субъектов). Необходимо указать, отнесены ли страны, куда планируется осуществлять трансграничную передачу персональных данных, к государствам, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных;
• основания для трансграничной передачи. В качестве оснований могут быть указаны при передаче персональных данных в иностранные государства:
• на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, – основания, предусмотренные п. 3 ст. 4, ст. 6, п. 2 ст. 8 Закона № 99-З;
• на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, – основания, предусмотренные п. 1 ст. 9 Закона № 99-З.

Справочно:

перечень стран, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определен приказом Центра № 14.

Документы:

Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон № 99-З).

Приказ директора Национального центра защиты персональных данных Республики Беларусь от 15.11.2021  № 14 «О трансграничной передаче персональных данных» (приказ Центра № 14).