В МБОУ «СОШ №4 с.Алхан-Юрт» - Официальный сайт

Политика обработки персональных данных

Чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, каждая компания должна разработать документ, объясняющий, как она использует персональные данные работников, клиентов и других физических лиц.

Политика в отношении обработки персональных данных должна содержать шесть разделов. Обычно этот документ размещают в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора данных.

Как правильно составить Политику, какие разделы в нее включить, в своих рекомендациях прописал Роскомнадзор.

Структура Политики в отношении обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных блоков.

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика в отношении обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных) требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных формулируются с учетом:

анализа правовых актов, регламентирующих деятельность компании;
целей фактически осуществляемой деятельности;
деятельности, которая предусмотрена учредительными документами;
конкретных бизнес-процессов в конкретных информационных системах персональных данных (по структурным подразделениям и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Закон о персональных данных не является правовым основанием обработки данных. Эту роль выполняют правовые акты, в соответствии с которыми компания, как оператор, обрабатывает данные.

Таким образом, в Политике в качестве правовых оснований можно указать:

федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
уставные документы компании;
договоры, заключаемые между оператором и субъектом персональных данных;
согласие на обработку персональных данных.

4. Объем и категории обрабатываемых данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

К категориям субъектов персональных данных могут относиться:

сотрудники — как настоящие, так и бывшие;
кандидаты на вакансии;
родственники работников;
клиенты и контрагенты (физлица);
представители или работники клиентов и контрагентов.

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

В этом разделе нужно указать перечень действий с персональными данными, способы и сроки обработки данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

пояснить условия передачи персональных данных в адрес третьих лиц (речь идет в том числе о трансграничной передаче данных);
указать наименование и местонахождение третьих лиц;
обозначить цели передачи данных и их объем;
перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Закона о персональных данных) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).