Политика обработки персональных данных

24 декабря

14721

#CNT# data-template-html-inactive=В избранное #CNT#>

Действующие законы в области трудового права и охраны конфиденциальной информации требуют регламентации работы с ПнД на предприятии — создание политики обработки персональных данных. Ст. 86 ТК и 18.1 No152-ФЗ обязывают работодателя разработать и утвердить документацию — Положение о защите персональных данных, регламенты и другие.

Что нового появилось в трудовом законодательстве на этой неделе расскажет Валентина Митрофанова. Смотрите новый выпуск  «Кадрового обзора».

Локальных актов может быть несколько, принимая во внимание разделение механизмов и целей обработки конфиденциальных сведений на предприятии.

Пример

  • Регламент, утверждающий общие тезисы защиты ПнД;
  • Положение об обработке ПД на бумаге и в инфосистеме;
  • Инструкции, регламентирующие хранение, предоставление ПД, назначение и функции ответственных, работу с личными сведениями при нахождении в зоне ответственности оператора посторонних.

Документацию по конфиденциальности и средствам обеспечения безопасности персональных данных разрабатывают, отталкиваясь от конкретных условий предприятия. Ее составление подчиняется закону:

  1. Подписывает ЛНА уполномоченное лицо. В Уставе сказано, кто утверждает внутреннюю нормативную документацию. Обычно это Директор, Совет директоров и т.д.
  2. Локальные акты по конфиденциальности не требуют коллективного рассмотрения и учета мнения профсоюзов. Согласовывать их содержание с представителями работников не надо.

Сотрудники должны знать политику предприятия в отношении обработки персональных данных. Регламент доводится до всех работающих под роспись, независимо, ведут они обработку ПнД или нет.

Разъясняется терминология, используемая в тексте, цели обработки персданных, описывается общее значение корпоративного документа.

В локальном акте допустимо расписать права и обязанности:

  • работодателя — оператора ПнД;
  • работника — субъекта ПД.

По закону обработка ПД заканчивается выполнением целей. Они определяются заранее, регламентируются федеральными актами. В Положение об обработке ПД конкретной компании прописывают цели, характерные для ее деятельности.

Пример

  • обработка ПнД в ИСПДн;
  • использование ПД при оформлении бланков документов;
  • передача ПД в госструктуры (ФСС, ПФР, ФНС), в третьи организации (банки, страховщики, отели);
  • принятие решения в отношении соискателя и т.д.

Не указывайте цели, не характерные для вашей вашей компании. Чтобы правильно их определить:

  • проанализируйте фактическую деятельность предприятия;
  • изучите устав — там указаны основные направления работы;
  • отследите бизнес-процессы в ИС подразделений и процедуры в отношении определенных категорий субъектов ПД.

Вы указали в локальном акте все используемые термины, определили цели. Теперь в Положении о защите персональных данных работников закрепите перечень должностей с допуском к ПнД. Это требует ст. 86 ТК РФ и 152-ФЗ.

Это допуск должностных лиц внутри компании-оператора. Доступ к конфиденциальным данным разделяется на полный и ограниченный. При описании полного допуска указывают список должностей, допущенных к ПД без ограничений.

  • При определении ограничений, кроме перечисления должностей, описывают свойства конфиденциальных данных, к которым допущены сотрудники, перечисляют операции, производимые с ними и указывают конечные цели.
  • Пример перечня должностей и перечня документов с персональными данными
  • Политика обработки персональных данных

Здесь же фиксируется процесс назначения уполномоченного по обработке персданных на предприятии. Такое требование к защите персональных данных озвучено в п.1, ч.1, ст. 18.1 No152-ФЗ. Эта функция может быть закреплена как в Положении о ПД, так и в приказе.

Совет
Мы рекомендуем назначать человека, работающего с ПнД при выполнении повседневных должностных обязанностей — IT-, HR-менеджер, прочие.

Человек, ответственный за организацию обработки персональных данных, подчиняется исполнительному органу оператора, действует по его указаниям.

В Регламенте перечисляются учреждения, которым передаются личные данные — это внешний доступ к конфиденциальной информации. К числу допущенных к личным сведениям работников относят контрольные и надзорные ведомства, иные, установленные федеральными нормами:

  • Инспекции труда;
  • Прокуратура РФ;
  • Правоохранительные органы;
  • Налоговики;
  • Военные комиссариаты;
  • Отделы миграционного учета иностранных граждан;
  • другие.

Включенные в положение об обработке персональных данных работников юрлица получают доступ, обусловленный спецификой деятельности, в порядке, установленном нормами РФ.

Укажите в локальном акте следующую информацию о юрлице с внешним допуском к ПД:

  • название, месторасположение;
  • цели передачи и объем переданных сведений;
  • операции с ПнД;
  • механизмы и правила обработки;
  • требования к защите.
Совет
Мы рекомендуем в Регламенте о ПД указывать обстоятельства, при которых возможно предоставление конфиденциальных сведений контрагенту.
Пример
Условия передачи персональных данных третьим лицам (в том числе, находящимся не в России — трансграничной) для достижения целей обработки ПД — наличие в соглашении пунктов, регулирующих обработку ПД. 

Пример реестра персональных данных и действий по их обработке

Политика обработки персональных данных

Ст. 5, п.5 No152-ФЗ посвящена:

  • соразмерности объема и характера полученных данных объявленным целям;
  • запрещению избыточности ПДн.

Об этом будет следующий раздел локального акта.

Пример
Если объявленная цель обработки ПД — подписание договора с физлицом Ивановым И.И. на поставку товара, то персональные сведения, соответствующие этой цели — ФИО, банковские реквизиты паспорт, ИНН, телефоны, адрес. Избыточной будет информация о семье и имущественном положении. 
Важно!
Именно цель определяет объем ПД. Если ваша организация предложит Иванову И.И. дополнительную социальную поддержку (полис ДМС) — это другая цель, она потребует иное количество ПД.

В Положении о защите персональных данных работников перечисляются все категории лиц, чья личная информация необходима в деятельности предприятия. Это действующие и бывшие сотрудники, родственники, претенденты на вакансию, контрагенты оператора (физлица, юрлица) или их представители.

Совет
Параллельно с перечислением целей рекомендуем дать перечень обрабатываемых перс данных применительно к указанным категориям субъектов.

Отдельно разъясняется обработка спецсведений (раса, национальность, политические взгляды, религия, здоровье) и биометрии, если она производится.

Здесь описываются применяемые меры сохранности и конфиденциальности ПнД. Эти мероприятия описаны в ст. 18.1 No152-ФЗ. Из перечисленных оператор сам выбирает важные и достаточные для исполнения обязанностей. Ст. 19 ФЗ регламентирует конкретный перечень шагов, обеспечивающий безопасность ПД во время обработки. Среди прочих:

Установлены уровни защищенности перс данных — постановление No1119. Одна из мер по защите персональных данных в организации для сохранности личных данных при их обработке в ИСПДн, — организационные и технические процедуры. Их наличие поддерживает уровни в состоянии, обозначенном правительством — п.3/1 ст.19 ФЗ и п. 8 -16 Постановления No 1119. Основные меры защиты:

  • установление аутентичности субъектов и объектов доступа;
  • наблюдение за допусками;
  • защита носителей, хранящих / обрабатывающих ПД;
  • наблюдение за событиями;
  • обследование защищенности ПД;
  • обеспечение невредимости ИС и информации;
  • доступность ПД;
  • защита технических ресурсов и др.

Полностью состав этих мер приводит Приказ ФСТЭК No 21.

Если режим хранения ПнД позволяет раскрыть их субъекта, то хранение такой информации оканчивается:

  • с достигнутой целью обработки;
  • вместе с действием согласия на обработку ПД/его отзыва;
  • согласно нормам об архивном деле.
Совет
Рекомендуем продолжительность и порядок хранения ПД в ИСПДн или на бумаге указывать, учитывая установленный к ним доступ должностных лиц. Место хранения используемых баз конфиденциальных сведений также следует указать в Регламенте.
Важно!
Напоминаем — базы данных личных сведений работников локализуются в России

В локальном документе о политике защиты и обработки персональных данных отображаются виды используемых информационных систем, угрозах конфиденциальности и порядке ее защиты. Все это есть в постановлении No 1119. Закон выделяет следующие инфосистемы:

  • для обработки спецкатегорий ПД;
  • работа с биометрией;
  • содержащие общедоступные данные;
  • все остальные (исключая специальные, биометрические, общедоступные);
  • только перс данные работников оператора.

В прочих случаях ИСПДн — это система, обрабатывающая личные данные субъектов — не служащих работодателя.

Вы определили тип ИС, которую используете, и указали эти факты в ЛНА. Следующий шаг — типы угроз для ПнД, которые обрабатываются в этой инфосистеме.

Политика обработки персональных данных

Есть три типа угроз, которые различаются друг от друга возможностями программного обеспечения, не отраженными в технической документации. Могут обнаруживаться в:

  • системном ПО — 1 тип;
  • прикладном ПО — 2 тип;
  • в системном и прикладном ПО — 3 тип.

Угрозы безопасности фиксируются, учитывая их актуальность для конкретной ИС. Устанавливаются с учетом прогноза потенциального вреда субъектам ПнД, если будет нарушен порядок обработки персданных.

Дополнительно учитывается соотношение причиненного ущерба с мерами оператора, указанными в ст. 18.1 Закона о ПД. Обработка конфиденциальных сведений в информационных системах предполагает несколько уровней защищенности персональных данных. Условия определения уровня даны в 9 -12 пунктах ПП No 1119, требования к защищенности —  пунктах 13 -16.

Помимо регламентации порядка передачи ПД третьим лицам, политика обработки и защиты персональных данных определяет действия ответственных лиц при нахождении посторонних на территории.

Сотрудники, уполномоченные на работу с ПД, обеспечивают такое поведение третьих лиц (соискателей, деловых партнеров, курьеров и т.д.), чтобы полностью исключить несанкционированный доступ к ПД.

Этот порядок закрепите в Регламенте о ПД пошагово.

Опишите в локальном акте правила доступа к тем личным данным, которые обрабатываются в инфосистемах. Укажите способы регистрации и учета всех операций с конфиденциальной информацией.

В соответствии с законом зафиксируйте в ЛНА действия оператора на требование работника (других субъектов ПД) о корректировке, удалении, уничтожении (и т.д.) обрабатываемых персональных данных.

Читайте также:  Вправе ли банк увеличить процентную ставку?

Здесь же опишите порядок действий при отзыве согласия на обработку ПД.

Совет
Рекомендуем включить во внутренний нормативный документ способы реагирования на обращения как субъектов персданных (их представителей), так и органов, контролирующих обработку ПД на предприятиях.

Отдельно распишите действия на запросы по поводу неточности, неправомерности обработки, отзыва согласия, доступа субъекта к данным. Разработайте и включите в Регламент соответствующие формы для подобных обращений.

К утвержденному локальному акту по политике обработки персональных данных предоставьте неограниченный доступ. Это достигается публикацией документа на сайте компании, внутренних интернет-ресурсах, размещением бумажной копии на стендах, другими способами.

Скачайте Положение об обработке и защите персональных данных работников образец

Политика обработки персональных данных

 

Политика в области обработки и обеспечения безопасности персональных данных

ООО «Хэдхантер» (ИНН 7718620740, адрес: 129085, г.Москва, ул.Годовикова, д.9, стр.

10) (далее — «Компания») в рамках выполнения своей основной деятельности осуществляет обработку персональных данных различных категорий субъектов персональных данных с использованием информационных систем персональных данных, включающих в том числе следующие интернет-сайты Компании: https://hh.ru, https://headhunter.ru, https://career.ru, а также иные сайты Компании, которые ссылаются на данную Политику.

В соответствии с действующим законодательством Российской Федерации Компания является оператором персональных данных. При организации и осуществлении обработки персональных данных Компания руководствуется требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним иными нормативными правовыми актами.

Для целей настоящей Политики под персональными данными понимаются любая информация, предоставленная через интернет-сайты Компании и (или) собранная с использованием таких интернет-сайтов, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2. Сбор персональных данных

  • Компания осуществляет сбор информации через интернет-сайты и мобильные приложения следующими способами:
  • • Персональные данные, предоставляемые пользователями:
    Компания осуществляет сбор персональных данных, которые вводят в поля данных на интернет-сайтах Компании сами пользователи или иные лица по их поручению.
  • • Сбор данных о местонахождении устройств пользователей мобильного приложения Компании при использовании пользователями мобильного приложения.
  • • Сбор IP адресов пользователей и файлов cookies.
  • • Пассивный сбор персональных данных о текущем подключении в части статистических сведений: — идентификатор пользователя, присваиваемый Сайтом;
    — посещенные страницы;
    — количество посещений страниц;
    — информация о перемещении по страницам сайта;
    — длительность пользовательской сессии;
    — точки входа (сторонние сайты, с которых пользователь по ссылке переходит на Сайт);
    — точки выхода (ссылки на Сайте, по которым пользователь переходит на сторонние сайты);
    — страна пользователя;
    — регион пользователя;
    — часовой пояс, установленный на устройстве пользователя;
    — провайдер пользователя;
    — браузер пользователя;
    — цифровой отпечаток браузера (canvas fingerprint);
    — доступные шрифты браузера;
    — установленные плагины браузера;
    — параметры WebGL браузера;
    — тип доступных медиа-устройств в браузере;
    — наличие ActiveX;
    — перечень поддерживаемых языков на устройстве пользователя;
    — архитектура процессора устройства пользователя;
    — ОС пользователя;
    — параметры экрана (разрешение, глубина цветности, параметры размещения страницы на экране);
  • — информация об использовании средств автоматизации при доступе на Сайт.

В отношении зарегистрированных пользователей Сайта могут собираться сведения об использовании портов на устройствах пользователей с целью выявления подозрительной активности и защиты личных кабинетов пользователей. Данные могут быть получены с помощью различных методов, например, файлов cookies и файловых веб-маяков и др.

Компания может использовать сторонние интернет-сервисы (технологии третьих лиц) для организации сбора статистических персональных данных, сторонние интернет-сервисы обеспечивают хранение полученных данных на собственных серверах. Компания не несет ответственности за локализацию серверов сторонних интернет-сервисов.

При этом такие сторонние интернет-сервисы (технологии третьих лиц), установленные на Сайте и используемые Компанией, могут устанавливать и считывать cookie-файлы браузеров конечных пользователей Сайта, или использовать сетевые маячки (web beacons) для сбора информации в процессе рекламной деятельности на Сайте.

Порядок сбора и использования данных, собираемыми такими сторонними интернет-сервисами (технологиями третьих лиц), определяется самостоятельно этими сторонними интернет-сервисами и непосредственно они несут ответственность за соблюдение этого порядка и использование собираемых ими данных, в том числе эти сторонние интернет-сервисы отвечают и обеспечивают выполнение требований применимого законодательства, в том числе законодательства о персональных данных РФ.

Компания не проводит сопоставление информации, предоставляемой пользователем самостоятельно и позволяющей идентифицировать субъекта персональных данных, со статистическими персональными данными, полученными в ходе применения подобных пассивных методов сбора информации.

3. Принципы и условия обработки персональных данных

Обработка персональных данных в Компании осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей, в том числе, в соответствии с Условиями использования Сайтов, Условиями оказания услуг, Соглашением об оказании услуг по содействию в трудоустройстве.

Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых в Компании персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых персональных данных не допускается.

При обработке персональных данных в Компании обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Компания принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных, или неточных персональных данных.

Компания в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ о персональных данных.

При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Сроки обработки персональных данных определяются в соответствии с целями, для которых они были собраны.

4. Права субъекта персональных данных

  1. Субъект персональных данных имеет право (если иное не предусмотрено законом):
  2. • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  3. • требовать перечень своих персональных данных, обрабатываемых Компанией, и источник их получения;
  4. • получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
  5. • требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;
  6. • обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
  7. • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Если у Вас есть вопросы о характере применения, использовании, изменении или удалении Ваших персональных данных, которые были Вами предоставлены, или если Вы хотите отказаться от дальнейшей их обработки Компанией, пожалуйста, свяжитесь с нами по почте по адресу Компании или по электронной почте: feedback@hh.ru.

Обращаем Ваше внимание, что оператор персональных данных не несет ответственности за недостоверную информацию, предоставленную субъектом персональных данных.

5. Реализация требований к защите персональных данных

  • С целью поддержания деловой репутации и обеспечения выполнения требований федерального законодательства Компания считает важнейшими задачами обеспечение легитимности обработки персональных данных в бизнес-процессах Компании и обеспечение надлежащего уровня безопасности обрабатываемых в Компании персональных данных.
  • Компания требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
  • С целью обеспечения безопасности персональных данных при их обработке Компания принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.
  • Компания добивается того, чтобы все реализуемые ею мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.
  • В целях обеспечения адекватной защиты персональных данных Компания проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
  • В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учет действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.
  • Руководство Компании осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.
  • В Компании назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.
  • Каждый новый работник Компании, непосредственно осуществляющий обработку персональных данных, ознакамливается с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, настоящей Политикой и другими локальными актами Компании по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

Политика в отношении обработки персональных данных | Мел

Политика обработки персональных данных (далее — «Политика» или «настоящая Политика») разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее — ФЗ-152).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Обществе с ограниченной ответственностью «Мел» ОГРН 1157746946686 (далее — «Оператор», адрес интернет-сайта https://mel.fm) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

  • В Политике используются следующие основные понятия:
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  • трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
  • уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;
  • Cookies — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере субъекта персональных данных (пользователя), который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу сайта;
  • IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
Читайте также:  Задолженность в ПФР: я зарегистрировал ИП на конец 2012 года, точнее 9 октября

2. Принципы и условия обработки персональных данных

2.1. Состав персональных данных

  1. Персональные данные, разрешенные к обработке в рамках настоящей Политики, предоставляются субъектом персональных данных путем заполнения регистрационной формы на сайте Оператора и включают в себя следующую информацию о субъекте персональных данных:
  2. — фамилию, имя, отчество;
  3. — контактный телефон;
  4. — адрес электронной почты;
  5. — а также иную персональную информацию, которую субъект предоставляет о себе самостоятельно в процессе пользования сайтом Оператора.

Оператор защищает данные, которые автоматически передаются в процессе просмотра субъектом персональных данных рекламных блоков, в том числе информацию Cookies. Оператор осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью выявления технических проблем.

Оператор не проверяет достоверность персональных данных, предоставленных субъектом, и не имеет возможности оценить его дееспособность. Однако Оператор исходит из того, что субъект персональных данных предоставляет достоверные и достаточные данные и поддерживает эту информацию в актуальном состоянии.

2.2. Принципы обработки персональных данных

  • Обработка персональных данных у Оператора осуществляется на основе следующих принципов:
  • — законности и справедливой основы;
  • — ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • — недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • — недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • — обработки только тех персональных данных, которые отвечают целям их обработки;
  • — соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • — недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
  • — обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
  • — уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

2.3. Условия обработки персональных данных

  1. Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
  2. — обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  3. — обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
  4. — обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  5. — обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  6. — обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  7. — осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные);
  8. — осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2.4. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.5. Поручение обработки персональных данных другому лицу

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.

2.6. Трансграничная передача персональных данных

  • Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.
  • Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
  • — наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
  • — исполнения договора, стороной которого является субъект персональных данных.

2.7. Сookies

Мы используем файлы cookie, чтобы улучшить работу и повысить эффективность сайта.

Продолжая пользование данным сайтом, вы соглашаетесь с обработкой файлов cookie, пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров.

Если вы не хотите, чтобы ваши данные обрабатывались,вы можете покинуть сайт или можете отключить их в настройках безопасности вашего браузера.

Важно понимать, что настройки нужно применить во всех браузерах, которыми вы пользуетесь на устройстве.

В случае если вырешите отключить cookiе, имейте в виду, что часть функций сайта могут перестать быть вам доступны или могут работать непредсказуемо.

3. Цели обработки персональных данных

  1. Оператор осуществляется обработку персональных данных в следующих целях:
  2. — идентификация субъекта персональных данных при регистрации на сайте Оператора;
  3. — предоставление субъекту персональных данных доступа к персонализированным ресурсам сайта Оператора;
  4. — создание уникальной учетной записи субъекта персональных данных на сайте Оператора;
  5. — предоставление субъекту персональных данных права публикации к материалам (контенту) сайта;
  6. — установление Оператором с субъектом персональных данных обратной связи, включая, но не ограничиваясь осуществлением рассылки материалов и контента Сайта на основании подписки субъекта персональных данных, осуществлением информационной и/или рекламной рассылки на основании согласия субъекта персональных данных;
  7. — предоставление доступа субъекту персональных данных на сайты или сервисы партнеров Оператора с целью получения субъектом персональных данных сведений, продуктов, обновлений и услуг;
  8. — систематизация персональных данных (формирование базы данных);
  9. — обработка персональных данных в иных целях, согласованных субъектом персональных данных.

4. Права субъекта персональных данных

4.1. Согласие субъекта персональных данных на обработку его персональных данных

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в ФЗ-152, возлагается на Оператора.

4.2. Права субъекта персональных данных

Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения, а также принимать предусмотренные законом меры по защите своих прав.

Читайте также:  Как получить вторую половину материнского капитала

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.

  • Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.
  • Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
  • Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
  • Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Обеспечение безопасности персональных данных

  1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

  2. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
  3. — назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  4. — ограничение состава лиц, имеющих доступ к персональным данным;
  5. — ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
  6. — организация учета, хранения и обращения носителей информации;
  7. — определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  8. — разработка на основе модели угроз системы защиты персональных данных;
  9. — проверка готовности и эффективности использования средств защиты информации;
  10. — разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
  11. — регистрация и учет действий пользователей информационных систем персональных данных;
  12. — использование антивирусных средств и средств восстановления системы защиты персональных данных;
  13. — применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
  14. — организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

6. Заключительные положения

  • Иные права и обязанности Оператора как Оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.
  • Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
  • Оператор вправе вносить изменения в настоящую Политику обработки персональных данных без согласия субъекта персональных данных.
  • Новая редакция Политики обработки персональных данных вступает в силу с момента ее размещения на сайте Оператора, если иная, более поздняя дата не предусмотрена новой редакцией Политики обработки персональных данных.

Действующая редакция Политики всегда находится на странице по адресу https://mel.fm/page/personal-data-policy.

Политика конфиденциальности

Большинство сайтов содержит раздел «Политика конфиденциальности». Это незаметная ссылка, которую обычно располагают в подвале страницы. Владельцы сайтов размещают её неслучайно: они защищают себя от штрафа и блокировки Роскомнадзором. Позаботьтесь о ней тоже, если на вашем сайте есть корзина или форма обратной связи.  

Почему важно правильно работать с персональными данными

Персональные данные — любая информация о посетителе страницы, которая позволяет его опознать. Например, имя, возраст, телефон, электронная почта, домашний адрес, фотография. Закон 152-ФЗ запрещает собирать, хранить и обрабатывать эти данные без согласия человека.  За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.

Штрафы для ИП и ООО:

  • — Нет политики конфиденциальности: для ИП — от 5000 до 10 000 рублей, для ООО — от 15 000 до 30 000 рублей.
  • — Владелец сайта отказался сообщить пользователю, какие данные о нём собраны и с какой целью: для ИП — от 10 000 до 15 000 рублей, для ООО — от 20 000 до 40 000 рублей;
  • — Владелец сайта не удалил персональные данные по требованию пользователя: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 45 000 рублей
  • — Персональные данные оказались у третьих лиц: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 50 000 рублей.
  • — Обработка персональных данных противоречит целям сбора: для ИП — от 5 000 до 10 000, для ООО — от 30 000 до 50 000 рублей.
  • — Персональные данные обрабатывают без согласия посетителя сайта: для ИП — от 10 000 до 20 000 рублей, для ООО — от 15 000 до 75 000 рублей.

Кто находит нарушения и как

Сайты проверяет Роскомнадзор. Самая популярная причина проверки — жалоба клиента. Плановые проверки тоже бывают, но к малому бизнесу с ними приходят редко.

Пример:

Владимир планирует семейное путешествие в Грецию. Он оставил свои контакты на сайте компании «Горящие туры». Ему перезвонили и предложили слишком дорогую путёвку, поэтому он отказался. На следующий день Владимир получил СМС: «Турция, Стамбул, 22-28 марта, 30 000 руб.

/чел, отель 5 звёзд, подробности на сайте». Подобные СМС доставали его до самого отпуска. Когда он вернулся из поездки, рассылка продолжилась. Он позвонил в ООО «Горящие туры» и попросил больше не писать ему.

На следующий день получил очередное СМС — и не выдержал, написал жалобу в Роскомнадзор.

Роскомнадзор заблокировал сайт на время проверки. Политики конфиденциальности на сайте не обнаружилось. Владелец «Горящих туров» получил два штрафа: за отсутствие политики конфиденциальности и отказ удалить данные пользователя. Он заплатил 75 000 рублей. 

  1. Какие термины используют в законе
  2. Знание терминов пригодится, если будете читать нормативно-правовые акты или другие статьи по теме.
  3. Операторы персональных данных — владельцы сайтов.

Операторы собирают, обрабатывают и хранят персональные данные. Все три действия важно прописать в политике конфиденциальности.

  1. Сбор информации — получение сведений о человеке. Например, при заполнении формы.
  2. Обработка информации — передача сведений. Например, курьеру сообщают номер телефона покупателя, чтобы доставить товар.
  3. Хранение информации — это когда её не удаляют сразу после получения.

Что такое политика конфиденциальности

Владелец сайта берёт у каждого посетителя согласие на сбор, обработку и хранение персональных данных. Подписывать документ на бумаге — затруднительно, из-за этого сайт растеряет всех посетителей. Поэтому есть способ проще — выложить на сайт специальный документ.

В политике конфиденциальности прописывают, какую информацию и с какой целью собирают. Сообщают также, какое действие считается согласием на обработку персональных данных. Например, оформление заказа или заполнение формы — ч. 2 ст. 18.1 152-ФЗ.

Как принять политику конфиденциальности

1. Составьте документ

Подготовьте политику конфиденциальности в виде отдельного документа. Также можно включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если работаете по ним.

  • Проще всего подготовить политику конфиденциальности при помощи специальных сервисов — например, конструктора Тильды.
  • Пример политики конфиденциальности
  • В документе отразите:

— Перечень персональных данных. Например, имя, адрес, телефон. Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.

— Цели сбора и обработки. Например, исполнение договора, создание рекламных акций, продвижение товаров, улучшение сайта.

— Срок хранения. Он должен соответствовать целям.

— Меры защиты персональных данных. Например, резервное копирование.

— Какое действие считать согласием пользователя. Например, проставление галочки, создание личного кабинета, заполнение формы.

2. Опубликуйте политику конфиденциальности на сайте

Пользователю должно быть понятно, на что он соглашается. Когда он заполняет форму или регистрируется, покажите ему ссылку на политику конфиденциальности. При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок».

Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал, чтобы ссылка не отвлекала от содержания сайта.

3. Уведомите Роскомнадзор

Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.

Роскомандзор необязательно уведомлять, только если:

  1. Пользователи сами выкладывают свои данные в открытый доступ. Например, пишут ФИО и телефон на площадке для объявлений.
  2. Пользователи отправляют только ФИО.
  3. Вы получаете персональные данные только для исполнения конкретного договора с клиентом. Например, на сайте киносалона открыта онлайн-запись на платную встречу с режиссером. Посетитель оставляет имя, телефон и электронную почту. После мероприятия эти данные удаляются.

Лучше всё равно подстраховаться: уведомление бесплатное. 

Форма уведомления

4. Назначьте ответственного за хранение персональных данных

Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.

5. Храните данные на серверах в России

Хранить персональные данные за пределами России запрещено по ст. 18 152-ФЗ. Если арендуете хранилище, узнайте, в какой стране расположены серверы.

Почему важно защищать персональные данные

Брать согласие с посетителей сайта — недостаточно. Важно не передавать сведения третьим лицам и физически защитить их от утечки. Установите пароли к компьютерам и серверам, где храните информацию. Ограничьте к ним доступ своих сотрудников без необходимости. Бумажные документы храните в сейфе.

Если персональные данные стали известны кому-то ещё — это плохо. Пострадавший имеет право пойти в суд и потребовать компенсацию за моральный вред по ст. 24 152-ФЗ.

Пример из судебной практики:

Мама Евгения взяла кредит. Рассчитаться по нему она не успела: умерла. На сына обрушились звонки от коллекторов. Он пошёл в суд и заявил, что не принимал наследство, поэтому не отвечает по долгам.

Что важно для нашей темы, Евгений добавил: банк передал коллекторам номер его телефона, а он не подписывал на это согласия. Суд встал на сторону Евгения. Банк выплатил ему компенсацию за моральный вред.

Апелляционное определение Хабаровского краевого суда № 33-2412/2013

Статья актуальна на 02.02.2021

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *