Что отразить в политике в области персональных данных?

Как известно, политика в отношении обработки персональных данных как документ должна быть у каждого оператора (а в их число входят и государственные, муниципальные учреждения). Данная обязанность установлена п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Чтобы облегчить операторам работу по созданию и актуализации своих политик, Роскомнадзор выпустил соответствующие Рекомендации^[1].

Издание и раскрытие неограниченному кругу лиц политики в области персональных данных (ПД) указано в ст. 18.1 Закона № 152-ФЗ в качестве одной из мер, необходимых для правомерной обработки и защиты личной информации граждан. Политика – это самый общий документ, определяющий концептуальные основы работы оператора с ПД. Как считает Роскомнадзор, сюда нужно включить несколько разделов, в которых отражены цели сбора ПД, правовые основы, порядок и условия их обработки, объем и категории обрабатываемых данных, категории субъектов ПД, а также действия оператора в отношении этой информации. В политику могут войти и иные разделы помимо тех, что перечислены в Рекомендациях.

Общие положения.

Согласно п. 3.1 Рекомендаций в этом разделе нужно описать назначение политики, расшифровать основные понятия, используемые в документе, перечислить права и обязанности оператора и субъектов ПД. В частности, целесообразно дать определения понятиям «обработка персональных данных», «оператор», «субъект персональных данных», «конфиденциальность персональных данных» и др.

Например, вступительная часть может быть такой:

Настоящая политика в области обработки и защиты персональных данных оператора (далее – Политика) разработана в целях выполнения требований законодательства РФ в области обработки персональных данных, раскрывает основные категории персональных данных, обрабатываемых оператором, цели, способы и принципы обработки, права и обязанности оператора при обработке, права субъектов персональных данных. Политика является общедоступным документом, декларирующим концептуальные основы деятельности оператора при обработке персональных данных.

Цели сбора ПД.

Здесь важно указать, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей и не допускается обработка данных, несовместимая с целями их сбора. Сами же цели обработки проистекают в том числе из анализа правовых актов, регламентирующих деятельность того или иного оператора, целей фактически осуществляемой им деятельности и деятельности, предусмотренной учредительными документами, а также отдельных бизнес-процессов оператора в информационных системах персональных данных (п. 3.2 Рекомендаций).

В частности, цели обработки, общие для большинства учреждений (в том числе автономных), могут быть следующими:

1) заключение трудовых договоров, договоров с контрагентами, выполнение обязательств по этим договорам;

2) кадровое планирование, принятие решения о трудоустройстве кандидата на должность;

3) исполнение налогового законодательства, ведение бухгалтерского учета;

4) осуществление пропускного режима;

5) организация предоставления услуг на основании законодательства, действующего в профильной сфере.

Последний пункт – отсылка к отраслевому законодательству. Здесь речь идет об услугах, которые учреждение оказывает в рамках уставной деятельности: предоставление дошкольного, дополнительного или среднего специального образования, оказание государственных и муниципальных услуг на базе многофункционального центра и т. д.

Правовые основания обработки ПД.

По мнению Роскомнадзора, основанием для обработки личной информации становится совокупность правовых актов, во исполнение которых оператор ведет обработку ПД. Сюда могут быть отнесены:

• федеральные законы и принятые на их основе нормативные акты, регулирующие отношения, связанные с деятельностью оператора;
• уставные документы оператора;
• договоры, заключаемые между оператором и субъектом персональных данных;
• согласие на обработку ПД (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора).

А вот Закон № 152-ФЗ не может служить правовым основанием обработки ПД, поскольку он регулирует сами отношения, связанные с такой обработкой, и закрепляет требования, предъявляемые к операторам при обработке персональных данных (п. 3.3 Рекомендаций). Отметим, что в действующих политиках, утвержденных многими учреждениями, Закон № 152-ФЗ как раз назван в числе правовых оснований, что расходится с мнением регулятора.

Выборочный анализ политик автономных учреждений также показывает, что в дополнение к федеральному законодательству (Конституция РФ, ТК РФ, ГК РФ, отраслевое законодательство и др.) они ссылаются не только на свои уставы, но и на локальные нормативные акты, разработанные в области персональных данных. Внутренние документы, например, регулируют обработку ПД с использованием и без использования средств автоматизации, устанавливают уровень защищенности ПД.

Характеристика обрабатываемых данных и субъектов ПД.

Как сказано в п. 3.4 Рекомендаций, содержание и объем персональных данных должны соответствовать заявленным целям обработки (определены в ст. 5 Закона № 152-ФЗ). При этом обрабатываемые данные не должны быть избыточными.

На практике объем и категории информации, запрашиваемой у субъектов ПД, определяются по-разному. Одни учреждения указывают целый перечень обрабатываемых данных, в то время как другие действуют «от обратного»: перечисляют те категории, с которыми не работают. Например, указывают следующее: «Оператор не осуществляет обработку биометрических персональных данных (характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, и не производит трансграничную передачу персональных данных на территорию иностранного государства».

Что касается категорий субъектов ПД, по мнению Роскомнадзора, к ним относятся:

• работники оператора (в том числе бывшие), кандидаты на замещение вакантных должностей, а также родственники работников;
• клиенты и контрагенты оператора (физические лица);
• представители (работники) клиентов и контрагентов оператора (юридических лиц).

Эти же категории, но в иных формулировках, отражающих особенности профильной деятельности, как правило, указаны в политиках автономных учреждений.

По каждой категории субъектов ПД и применительно к конкретным целям обработки целесообразно перечислить все обрабатываемые оператором персональные данные, а также отдельно описать все случаи обработки специальных категорий ПД и биометрических ПД (п. 3.4 Рекомендаций).

Порядок и условия обработки ПД.

В этом разделе следует перечислить действия, совершаемые оператором с персональными данными субъектов, используемые способы обработки ПД и сроки их обработки. Важно также прописать возможность и формы участия третьих лиц в обработке персональных данных субъектов.

Если для достижения целей обработки ПД необходимо взаимодействие с третьими лицами, оператору нужно отразить в своей политике условия передачи ПД в их адрес (например, наличие поручения оператора на обработку ПД в силу ч. 3 ст. 6 Закона № 152-ФЗ). В том числе это касается третьих лиц, находящихся за пределами Российской Федерации, и трансграничной передачи данных.

Роскомнадзор советует указать конкретное наименование и местонахождение третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых данных (п. 3.5 Рекомендаций). Также следует вносить в политику пункты о соблюдении требований конфиденциальности ПД, установленных ст. 7 Закона № 152-ФЗ, и принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Закона № 152-ФЗ (обычно такие меры учреждения прописывают в отдельном разделе политики).

Хранить персональную информацию нужно в форме, позволяющей определить субъекта ПД, не дольше, чем требуют цели обработки ПД. Нелишне указывать в политике сроки хранения – конкретную дату (число, месяц, год) и обстоятельство, наступление которого повлечет прекращение обработки персональных данных. Ведомство рекомендует указывать и иные условия хранения ПД, в том числе при их обработке без использования средств автоматизации.

При хранении личной информации работников и граждан (в том числе с помощью ресурсов Интернета) оператор в силу ч. 5 ст. 18 Закона № 152-ФЗ обязан использовать базы данных, находящиеся на территории Российской Федерации.

Условием прекращения обработки ПД становится достижение целей их обработки, истечение срока действия согласия или отзыв согласия субъекта ПД на обработку его данных, а также выявление неправомерной обработки.

Действия оператора с ПД.

По мнению Роскомнадзора, в политике нужно определить конкретные действия оператора по актуализации, исправлению, удалению, уничтожению персональных данных и определить алгоритм ответов на запросы субъектов ПД. Так, согласно ст. 21 Закона № 152-ФЗ при подтверждении факта неточности данных оператор должен их актуализировать, а при подтверждении факта неправомерности обработки она должна быть прекращена.

Роскомнадзор рекомендует включить в политику регламент реагирования на запросы и обращения субъектов ПД по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и др.

Кроме того, в п. 3.6 Рекомендаций указано: если цели обработки ПД достигнуты либо субъект отозвал свое согласие на обработку ПД, соответствующая информация должна быть уничтожена. Хотя возможны исключения, когда иные условия предусматриваются договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, либо другим соглашением между оператором и субъектом ПД.

Важно отразить в политике и еще одну обязанность оператора – реагировать на запросы субъекта ПД. В силу ст. 20 Закона 152-ФЗ оператор обязан сообщить субъекту ПД или его представителю информацию об осуществляемой обработке личных данных такого субъекта по его запросу. В связи с этим Роскомнадзор рекомендует включить в политику регламент реагирования на запросы и обращения субъектов ПД и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия, доступа субъекта ПД к своим данным и соответствующие формы запросов и обращений.

Отметим, что регламент реагирования на запросы граждан автономные учреждения включают в политику нечасто. Обычно возможность получения сведений от оператора прописывается в разделе «Права субъектов персональных данных». В одних случаях упоминается лишь само право субъекта получать информацию об обработке его ПД, в других приводятся положения ч. 7 ст. 14 Закона № 152-ФЗ (состав информации, которую вправе получить гражданин). Но иногда учреждения помимо этого прописывают порядок взаимодействия с субъектом ПД, сроки реагирования на его запросы и даже устанавливают типовые формы заявлений субъекта ПД.

* * *

Как видим, из того, что рекомендует сделать Роскомнадзор, государственные и муниципальные учреждения применяют многое. В своих политиках они в той или иной форме указывают правовые основания для обработки ПД, дают характеристики запрашиваемым данным и их субъектам, прописывают права последних, обязанности и действия оператора.

Но некоторые детали учреждения все же упускают из виду. Так, в политике не всегда можно встретить определения используемых понятий (бывает, что расшифровываются только одно или два), Закон № 152-ФЗ иногда указывают среди правовых оснований обработки (хотя Роскомнадзор не считает его таким основанием), не всегда достаточно подробно регулируются отдельные этапы взаимодействия оператора и гражданина (например, реагирование на запросы субъектов ПД).

В связи с этим автономным учреждениям полезно проанализировать действующие у них политики в области персональных данных на предмет соответствия Рекомендациям, выпущенным регулятором, и при необходимости доработать.

Впрочем, в Законе № 152-ФЗ нет прямых требований к содержанию политики в области ПД, да и Роскомнадзор проинформировал о своем видении в формате рекомендаций. Иными словами, для проверяющих важен прежде всего факт наличия соответствующего документа и его раскрытия неограниченному кругу лиц. Административным правонарушением считается именно неопубликование политики в отношении обработки ПД: согласно п. 3 ст. 13.11 КоАП РФ это влечет штрафы в размере от 3 000 до 6 000 руб. для должностных лиц и в размере от 15 000 до 30 000 руб. для юридических лиц. Какие конкретно вопросы урегулированы в политике в области ПД – определяет оператор. И в этой части он не может быть привлечен к ответственности.