Появились рекомендации для интернет-провайдеров по изменениям в обработке персональных данных

Издание «Цифровой дом» опубликовало рекомендации по составлению политики обработки персональных данных. Известно, что данный документ определяет изменения в политике обработки персональных данных компаниями и государственными структурами. Стоит отметить, что эти рекомендации были разработаны экспертами из Роскомнадзора совместно с Молодежной палатой Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных.

Напомним, что с 1 июля 2017 вступил в силу закон «О внесении изменений в Кодекс РФ об административных правонарушениях». Согласно нововведениям, появилось семь новых составов административных правонарушений при обработке персональных данных. 

Рекомендации по составлению документа, который определяет политику оператора в отношении обработки данных, установлены  Федеральным Законом. Примечательно, что документ создан в целях выработки унифицированных подходов к структуре и форме документа, который определяет политику при обработке персональной информации.

Данные Рекомендации содержат основные понятия:

Персональные данные – любая информация, которая затрагивает физическое лицо (субъект персональных данных).

Оператор персональных данных – государственный или муниципальный орган, а также физическое или юридическое лицо, которое осуществляет обработку персональных данных. 

Обработка персональных данных – любые операции и действия с данными, которые совершаются с использованием средств автоматизации или без них. Кроме того, сюда включается: запись, сбор, хранение, накопление, систематизация, уточнение, извлечение, передача, удаление и уничтожение. 

Распространение персональных данных – действия, при которых раскрываются персональные данные для одного лица или круга лиц. 

Блокирование персональных данных – временное прекращение обработки данных. 

Уничтожение персональных данных – это действия, при которых невозможно восстановить содержание информации. 

Трансграничная передача данных – передача информации на территорию иностранного государства.

Роскомнадзор советовал включить в Политику следующие рекомендации:

1.  Общие положения. 
В данном разделе необходимо описать назначение документа, а также раскрыть все основные понятия, которые в нем используются.  Кроме того, нужно выделить права и обязанности сторон. 

2. Цели сбора персональных данных. 
В этом пункте нужно раскрыть, что обработка персональных данных должна ограничиваться достижением определенных целей. Кроме того, не допускается обработка информации, которая несовместима с целями сбора. Цель обработки определяется правовыми актами, которые регламентируют деятельность оператора.

3. Правовые основания обработки персональных данных. 
Правовым основанием является совокупность актов, которые регламентируют работу оператора. В качестве данных документов может быть указаны: федеральные законы, нормативно-правовые акты, уставные документы, договоры и согласие на обработку данных. 

Примечательно, что сам Федеральный закон «О персональных данных» не может служить правовым основанием для обработки, так как Закон регулирует исключительно отношения, связанные с обработкой персональных данных. Кроме того, ФЗ закрепляет требования, которые должны быть предъявлены операторам. 

4. Объем и категории обрабатываемых персональных данных.
Согласно этому пункту, содержание и объем информации должны соответствовать целям обработки. Кроме того, персональные данные не должны быть избыточными. В данном разделе также рекомендуется разместить категории субъектов персональных данных, среди которых: работники оператора, замещающие их лица, клиенты и контрагенты оператора, а также представители клиентов и контрагентов. 

5. Порядок и условия обработки персональных данных.

Согласно Рекомендация, тут необходимо указывать перечень действий, которые будут совершаться оператором с информацией. Кроме того, необходимо установить сроки и способы обработки данных. 

Примечательно, что в данном разделе рекомендуется раскрыть случаи, когда информацию можно передавать в руки третьих лиц, чтобы достичь целей обработки. Отметим, что необходимо указать наименование и местонахождения лица, которому будет передаваться информация. 

Стоит отметить, что оператор лично вправе передать персональные данные органам следствия и дознания, а также другим органам, которые действуют согласно законодательству РФ. 

Необходимо также раскрыть сведения о конфиденциальности персональных данных. 

В данном пункте также указываются условия прекращения обработки. Согласно Рекомендациям, к ним относятся: достижение целей, истечение срока действия обработки или отзыв данных, а также выявление нарушений. 

Хранение персональных данных осуществляется в форме, которая позволяет определить субъект обработки. Примечательно, что данный пункт должен позволять определить субъекта в сроки, которые не изменят целей обработки и не нарушат федеральный закон. 

Подчеркнем, что при хранении информации оператор должен использовать только те базы данных, которые находятся в Российской Федерации. А также необходимо указывать иные условия хранения. 

6. Актуализация, исправление, удаление и уничтожение персональных данных. 

Примечательно, что при обнаружении факта неточности информации или при нахождении неправомерности обработки персональных данных они подлежат актуализации. При этом обработка должна прекратиться. 

После достижения целей обработки персональных данных, а также при отзыве информации данные подлежат уничтожению в тех случаях, если: в договоре не предусмотрено другое, иное не прописано дополнительным соглашением. 

Стоит отметить, что оператор обязуется сообщить субъекту об обработке при запросе.