Актуальные требования к политике обработки персональных данных и образец заполнения документа

Цели сбора ПД.

Здесь важно указать, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей и не допускается обработка данных, несовместимая с целями их сбора. Сами же цели обработки проистекают в том числе из анализа правовых актов, регламентирующих деятельность того или иного оператора, целей фактически осуществляемой им деятельности и деятельности, предусмотренной учредительными документами, а также отдельных бизнес-процессов оператора в информационных системах персональных данных (п

3.2 Рекомендаций).

В частности, цели обработки, общие для большинства учреждений (в том числе автономных), могут быть следующими:

1) заключение трудовых договоров, договоров с контрагентами, выполнение обязательств по этим договорам;

2) кадровое планирование, принятие решения о трудоустройстве кандидата на должность;

3) исполнение налогового законодательства, ведение бухгалтерского учета;

4) осуществление пропускного режима;

5) организация предоставления услуг на основании законодательства, действующего в профильной сфере.

Последний пункт – отсылка к отраслевому законодательству. Здесь речь идет об услугах, которые учреждение оказывает в рамках уставной деятельности: предоставление дошкольного, дополнительного или среднего специального образования, оказание государственных и муниципальных услуг на базе многофункционального центра и т. д.

Законы и нормативы о политике обработки персональных данных

С точки зрения российского законодательства, вопросы, напрямую связанные с политикой обработки персональных данных, рассматриваются рядом юридически значимых документов федерального уровня. В частности, основными из них можно назвать следующие нормативно-правовые акты:

• Статья 81 Трудового кодекса, в которой рассматривается возможность увольнения работника за нарушение политики обработки персональных данных клиентов и других сотрудников и их незаконную передачу либо разглашение.
• Статья 86 Трудового кодекса регламентирует в целом порядок и принципы обеспечения безопасности личной информации сотрудников компании.
• Статья 87 Трудового кодекса посвящена вопросам, связанным с хранением личных данных работников во время осуществления трудовых взаимоотношений.
• Статья 88 Трудового кодекса регулирует вопросы, связанные с передачей сведений личного характера, которые относятся к личным данным трудящихся.
• Статья 89 Трудового кодекса устанавливает общие права трудящихся в отношении их персональных сведений.
• Статья 90 Трудового кодекса рассматривает вопросы несения ответственности за нарушение законодательства в вопросах обработки персональных данных.

ФЗ №152 от 27.07.2006 — это главенствующий документ федерального уровня, в котором закрепляются основные принципы государственного регулирования большинства вопросов, прямо или косвенно связанных с персональными данными и их фактической обработкой в рамках различных видов взаимоотношений.

Помимо тех нормативно-правовых документов и актов, которые приведены выше, в отношении отдельных видов деятельности, например — государственной службы, вопросы регулирования принципов работы с персональными данными могут также регламентироваться и иными законами, касающимися работы соответствующих ведомств.

Принципы обеспечения безопасности персональных данных

3.1. Основной задачей обеспечения безопасности ПДн при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. Для обеспечения безопасности ПДн Организация руководствуется следующими принципами:

• законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;
• системность: обработка ПДн в Организации осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;
• комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Организации и других имеющихся в Организации систем и средств защиты;
• непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;
• своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;
• преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Организации с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;
• персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;
• минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
• гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Организации, а также объема и состава обрабатываемых ПДн;
• специализация и профессионализм: реализация мер по обеспечению безопасности ПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
• эффективность процедур отбора кадров: кадровая политика Организации предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн;
• наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
• непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.

3.3. В Организации не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Организацией ПНд уничтожатся или обезличиваются.

3.4. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки. Организация принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

Права и обязанности сторон

6.1. Пользователь вправе:

6.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта Максимальный доход в мире финансов, и давать согласие на их обработку.

6.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.

6.2. Администрация обязана:

6.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 4 настоящей Политики конфиденциальности.

6.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя, за исключением п.п. 5.2. настоящей Политики Конфиденциальности.

6.2.3

Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте

6.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

• наименование компании-работодателя;
• место и дата составления документа;
• фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Иваново

03.08.2018 г.

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Ковтун И.О. (подпись)

Подготовка документа для сайта

Документ «Политика в отношении обработки персональных данных» интернет-сайта необходимо публиковать в открытом доступе. В тексте документа в обязательном порядке стоит упомянуть следующее:

• как и для чего производится создание базы данных персональной информации;
• способы применения этой информации;
• процессы, связанные с наличием файлов cookies;
• пути передачи данных другим компаниям и предприятиям;

Следует помнить о том, что важно подписать документ на согласие для обработки личных сведений на сайте с компаниями, которые сотрудничают с вашей организацией (доставщик, банк, хостер, поставщик услуг и т.д.), а также позаботиться о безопасности данных с помощью специального пункта в соглашении

период хранения информации и меры, предпринимаемые для обеспечения ее безопасности;
меры предосторожности в обращении с персональной информацией;
сведения о контактных лицах администрации сайта, возможные корректурные опции, вносимые в ППД.

• Скачать бланк политики по защите персональных данных для сайта
• Скачать образец политики по защите персональных данных для сайта

Администраторам сайт важно периодически проверять почтовый ящик, во избежание пропуска клиентского отклика. Стоит сказать, что для политики для сайта, важно помнить о ссылке на документ ППД, которая должна быть размещена на главной странице ресурса

Данный факт необходим, для того чтобы каждый посетитель сайта или ревизирующий орган мог видеть, что информация находится в открытом доступе, и поиск ее не занимает много времени. Зачастую достаточно оформить общую ссылку в нижней части страницы. Неотъемлемой составляющей интернет-сайта является дисклеймер. Дисклеймер представляет собой всплывающее предупреждение о сборе статистики на портале.

Речь идет о cookie-файлах и геолокационных данных. Конкретных указаний и рекомендаций на присутствие дисклеймера нигде не прописано, но большинство специалистов советуют его устанавливать. Для зрительной безопасности пользователей сайта дисклеймер не должен резко бросаться в глаза, наилучший выход – его незаметность.

Важный пункт данного закона, который обязателен для исполнения: физическое расположение хостинга ресурса. Эта информация доступна в отделе технической поддержки портала. По последним параметрам, хостинг обязан находиться в пределах территории Российской Федерации, для хранения данных в компетенции российских служб. В ситуации, когда хостинг расположен за границей, нужно осуществить переход на другой хостинг.

ВАЖНО! Владельцу ресурса необходима регистрация в качестве оператора в структурном подразделении Роскомнадзора.

Данная процедура доступна на официальном портале организации, в специальной форме уведомления. Процедура требует составления определенного пакета документов.

Важно помнить о биометрических параметрах особых категорий пользователей. При условии, что деятельность сайта предполагает работу с информацией такого типа

Согласие пользователя ресурса фиксируется только в письменной форме.

Подробнее о том, что представляет собой и как составляется политика обработки персональных данных для сайта, читайте в этом материале.

7. Сбор персональных данных с использованием сайта ГБУЗ «ДКЦ №1 ДЗМ»

7.1. Сайт ГБУЗ «ДКЦ №1 ДЗМ» использует «cookie» и собирает следующие сведения о посетителях в целях улучшения работы сайта: IP-адрес посетителя, дата и время посещения сайта, типы браузера и операционной системы, тип и модель мобильного устройства.

7.2. При использовании электронных сервисов и предоставлении персональных данных через сайт ГБУЗ «ДКЦ №1 ДЗМ» информация пользователя не будет использована ГБУЗ «ДКЦ №1 ДЗМ» для каких-либо иных целей, кроме как для удовлетворения его конкретной потребности.

7.3. Используя этот сайт и/или предоставляя ГБУЗ «ДКЦ №1 ДЗМ» свои персональные данные, пользователь сайта выражает согласие на обработку своих персональных данных на условиях, предусмотренных настоящей Политикой.

7.4. В случае несогласия с настоящей Политикой пользователь не должен использовать данный сайт и предоставлять ГБУЗ «ДКЦ №1 ДЗМ» свои персональные данные. 

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

3) Сведения об операторе персональных данных

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.

4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

5) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

• общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
• специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
• биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.

Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.

Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников

9) Срок действия согласия

Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

Перечень действий с персональными данными и способы их обработки

9.1. ПАО «Газпром» осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

9.2. Обработка персональных данных в ПАО «Газпром» осуществляется следующими способами:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

Принципы и цели обработки персональных данных

4.1. ПАО «Газпром», являясь оператором персональных данных, осуществляет обработку персональных данных работников ПАО «Газпром» и других субъектов персональных данных, не состоящих с ПАО «Газпром» в трудовых отношениях.

4.2. Обработка персональных данных в ПАО «Газпром» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ПАО «Газпром» и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

• обработка персональных данных осуществляется в ПАО «Газпром» на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. ПАО «Газпром» принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.3. Персональные данные обрабатываются в ПАО «Газпром» в целях:

• обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов ПАО «Газпром»;
• осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ПАО «Газпром», в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
• регулирования трудовых отношений с работниками ПАО «Газпром» (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
• предоставления работникам ПАО «Газпром» и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
• защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
• подготовки, заключения, исполнения и прекращения договоров с контрагентами;
• обеспечения пропускного и внутриобъектового режимов на объектах ПАО «Газпром»;
• формирования справочных материалов для внутреннего информационного обеспечения деятельности ПАО «Газпром», его филиалов и представительств, а также дочерних обществ и организаций ПАО «Газпром»;
• исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• осуществления прав и законных интересов ПАО «Газпром» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ПАО «Газпром», или третьих лиц либо достижения общественно значимых целей;
• в иных законных целях.