Оператор персональных данных-юрлицо по Закону № 152-ФЗ обязан разработать Политику в отношении обработки персональных данных. Это документ, к которому должны иметь неограниченный доступ субъекты персональных данных и другие заинтересованные лица. Разбираемся, как составить Политику оператора с учетом изменений в 152-ФЗ с 1 сентября 2022 года.
Какие цели обработки персональных данных отразить в Политике
Оператор может собирать личную информацию граждан только на законных основаниях. Один из принципов — обрабатывать только те персональные данные (ПД), которые отвечают целям их обработки (ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О защите персональных данных»).
Для применения 152-ФЗ под целью понимается определенный результат деятельности оператора, для достижения которого ему нужна информация о гражданине. И вот здесь начинается путаница. Конечная цель любого предпринимателя — получение прибыли, но для обработки персональных данных такую формулировку применять нельзя.
Цели должны быть конкретные, заранее определенные и законные (ч. 2 ст. 5 152-ФЗ). Роскомнадзор рекомендует при их формулировке анализировать правовые акты по деятельности оператора, уставную деятельность и бизнес-процессы. Также практически у всех операторов есть бухгалтерский учет, социальное и пенсионное страхование, кадровое делопроизводство.
Отчитывайтесь легко и без ошибок
Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!
Например, компания оказывает услуги по организации корпоративов. У нее в штате и по договорам ГПХ работает шесть человек. Компания может собирать персональные данные в целях:
- исполнения договора с заказчиками по организации праздничного мероприятия и взаимодействия с представителями заказчика;
- проведения рекламных кампаний;
- ведения кадрового делопроизводства;
- обязательного пенсионного, социального и медицинского страхования работников и т.д.
Все цели обработки персональных данных условно можно разделить на две группы. Первая — выполнять требования законов и нормативных правовых актов. Это, например, сдача отчетности в ФНС, внебюджетные фонды. Вторая — исполнять обязательства перед субъектом персональных данных, в том числе по трудовым и гражданским договорам.
Оператор не может собирать избыточную личную информацию, которая не относится к целям обработки (ч. 5 ст. 5 152-ФЗ). Например, при приеме на работу кадровик не может запрашивать у гражданина его отношение к политическим партиям или адрес страницы в социальной сети, если это напрямую не связано с трудовой деятельностью. Или ИНН пациента будет избыточным при сдаче клинических анализов.
С 1 сентября 2022 года в Политике оператора указывают по каждой цели обработки перечень ПД, категории ПД и субъектов ПД, способы, сроки обработки и хранения, порядок уничтожения (ч. 10 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ). Это одна из норм Закона, которая защищает гражданина от вмешательства в его частную жизнь. В то же время и оператору будет проще показать субъекту персональных данных, для чего он собирает и использует его личную информацию.
Категории персональных данных
В 152-ФЗ нет точного перечня информации, которая относится к персональным данным. Это любые сведения, которые позволяют прямо или косвенно определить конкретное физическое лицо — субъекта персональных данных (ст. 3 152-ФЗ). Законом определены только категории ПД:
- Общедоступные — информация, которая с согласия физического лица включается в общедоступные справочники и базы данных (ст. 8 152-ФЗ). Это, например, Ф.И.О., номер телефона, адрес, год рождения, должность.
- Специальные — сведения о расовой и национальной принадлежности, состоянии здоровья, интимной жизни, политических взглядах, философских убеждениях, религии (ст. 10 152-ФЗ).
- Биометрические — сведения, которые характеризуют физиологические и биологические особенности человека (ст. 11 152-ФЗ). Это, в первую очередь, данные из Единой биометрической системы. Подробнее об этой категории ПД смотрите разъяснения Роскомнадзора.
- Иные — те сведения, которые не отнесены к первым трем категориям персональных данных.
Совет. Соберите все внутренние регламенты, инструкции, договоры и выпишите из них сведения о физических лицах, которые вам нужны для выполнения обязательств компании перед ними или государственными органами. Это будет Реестр ПД. Затем разбейте его по категориям. Так вы не упустите виды отдельных ПД.
Категории субъектов персональных данных
Категорий субъектов персональных данных, по большому счету, всего две: состоящие в трудовых отношениях с оператором и не состоящие с ним в трудовых отношениях. Роскомнадзор в своих рекомендациях 2017 года в качестве варианта предлагает:
- работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- клиенты и контрагенты оператора (физические лица);
- представители/работники клиентов и контрагентов оператора (юридических лиц).
Оператор может выбрать свою классификацию. Например: работники и бывшие работники; клиенты; посетители; пациенты; представители контрагентов — юридических лиц. Степень детализации по категориям субъектов ПД оператор определяет самостоятельно.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Что еще нужно указать в Политике
Правовые основания обработки персональных данных. Не надо ссылаться на 152-ФЗ — он определяет требования к работе с ПД, а не причину. Правовые основания прямо связаны с целями обработки информации о физическом лице. Это те нормативные документы, которые регулируют конкретный вид деятельности оператора. Например, ст. 65 Трудового кодекса устанавливает перечень документов для трудоустройства.
Способы обработки персональных данных. В Законе 152-ФЗ таких способов всего два: с использованием средств автоматизации и исключительно без средств автоматизации (ст. 3 152-ФЗ). На практике бывает смешанная форма, когда часть информации о физлице обрабатывается вручную, а часть — на компьютере.
Перечень действий с персональными данными составляют исходя из определения обработки персональных данных (ст. 3 152-ФЗ). Оператор указывает в Политике сроки для каждого из них.
По общему правилу персональные данные хранятся не дольше, чем это требуют цели их обработки, если иное не установлено законом или условиями договора с субъектом ПД (ч. 7 ст. 5 152-ФЗ).
Роскомнадзор рекомендует также указывать в Политике порядок актуализации, исправления, уничтожения сведений граждан, регламент ответов на их запросы.
Как разработать и утвердить Политику
В Законе 152-ФЗ нет требования оформлять документ как локальный нормативный акт, то есть с учетом мнения профсоюза, либо согласовывать ее с Роскомнадзором. Порядок действий будет типовой для разработки и утверждения локального акта:
- Назначить разработчика. Как правило, это ответственный за организацию обработки персональных данных.
- Оформить, согласовать и утвердить Политику. Примерная структура приведена в рекомендациях Роскомнадзора, но их нужно адаптировать под требования 2022 года по срокам ответов на запросы субъекта ПД, содержания сведений по каждой цели обработки ПД (ст. 1 266-ФЗ).
- Ознакомить всех работников с Политикой обработки персональных данных под личную подпись. Этого требования нет в 152-ФЗ, но сотрудники относятся к субъектам ПД.
Оператор должен обеспечить неограниченный доступ к Политике. Если у него есть свой сайт, то он публикует ее в сети Интернет (ч. 2 ст. 18.1 152-ФЗ). За нарушение этого требования оператора привлекут к административной ответственности со штрафом до 60 000 рублей (п. 3 ст. 13.11 КоАП РФ).
В заключение отметим, что Политику разрабатывают только юридические лица. Однако это не значит, что ИП и самозанятым из категории операторов ничего делать в этой сфере не нужно. По запросу физического лица они обязаны представить ему сведения по ч. 7 ст. 14 152-ФЗ, которые по структуре почти совпадают с Политикой. За невыполнение этого требования ИП и граждан тоже привлекут к ответственности (п. 3 ст. 13.11 КоАП РФ).
Photo by Majid Gheidarlou on Unsplash
