2. Цели, задачи и принципы осуществления политики защиты персональных данных
Политика обработки персональных данных: как составить документ
Разрабатывая Политику обработки персональных данных, обязательно пропишите в документе шесть компонентов.
1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.
Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.
Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.
Цели сбора информации о субъектах
Любой вид информации, которая прямо или косвенно относится к определенному гражданину, рассматривается как «персональные данные» (ПДн). Обрабатывать такие сведения – значит выполнять любые действия или операции с этой информацией. Операторам разрешается эти сведения:
- собирать;
- записывать;
- систематизировать;
- накапливать;
- хранить;
- уточнять;
- извлекать;
- применять;
- передавать;
- обезличивать;
- блокировать;
- удалять;
- уничтожать.
Выполнение таких действий должно осуществляться с определенными целями. В законе о персональных данных прописано, что обработка ПДн должна ограничиваться конкретно обозначенными целями, имеющими законные основания. Если на предприятии, к примеру, хранится две базы с персональными сведениями работников с различными целями, не допускается их объединение в одну базу.
Перечень целей обработки персональных данных должен указываться в соглашении, которое предприятие подписывает с работником, клиентом, деловым партнером. Политика компании, касающаяся обработки ПДн, должна размещаться в местах с открытым доступом.
Подписываемое соглашение должно содержать полный перечень целей, без сокращений «и т. п.; пр.; и т. д.». Они должны быть четко и полноценно обозначены, прописаны в учредительных, уставных бумагах, положениях, разработанных в компании, а также фактически выполняться оператором.
Согласие субъекта – тонкости и особенности
Важно понимать, что согласие субъекта дается свободно, своей волей и в своем интересе. Согласие должно быть конкретным, информированным, сознательным и полученным в любой доказанной форме, если иное не установлено федеральным законом.
Но и здесь не обходится без нюансов. Как показывает практика, наиболее частым способом выражения согласия являются конклюдетные действия [ 2 ] , когда, к примеру, посетитель предоставляет паспорт на ресепшен и с документом производят какие-либо действия: ксерокопируют, сканируют, выписывают данные, при этом человек молчит, подтверждая тем самым согласие на обработку ПДн. Помните, что такой способ выражения согласия не предусмотрен законом.
В некоторых случаях закон предусматривает не просто согласие в любой доказанной форме, а согласие в письменном виде. Закон «О персональных данных» описывает пять таких ситуаций:
- включение персональных данных в общедоступные источники;
- обработка специальных категорий персональных данных;
- обработка биометрических персональных данных;
- трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов;
- принятие решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.
При этом два случая в законе «О персональных данных» явным образом не прописаны. К ним относятся:
- распространение персональных данных членов (участников) общественного объединения или религиозной организации;
- передача ПДн третьим лицам, если условием лицензии на осуществление деятельности оператора является запрет на такую передачу.
Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату
Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.
В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.
Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.
Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.
Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.
ProCharity
На ProCharity в основном можно найти волонтеров, которые помогут с задачами по дизайну и верстке, маркетингу и коммуникациям, переводам, IT, обучению и тренингам, финансам и фандрайзингу, фото и видео, стратегическому консалтингу и юридическим услугам. Для работы над сложными проектами — такими, как создание сайта — в прошлом году появилась опция работы в группах, в которые для выполнения одного большого задания объединяются несколько волонтеров.
Мы стараемся отслеживать результаты работы наших волонтеров и рассказывать о них в СМИ и в наших социальных сетях. Например, DonorSearch создали два проекта к Национальному и Всемирному дню Донора совместно с волонтером ProCharity — дизайнером Ксенией Васиной. В первом случае это был квиз с 10 000 посетителями, а во втором — игра по типу «три в одном» для приложения ВКонтакте VK Mini Apps и на отдельном лендинге, где приняли участие свыше 20 000 человек.
6. Где почитать больше по теме
Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.
- С официальным текстом регламента по защите персональных данных можно ознакомиться здесь. На сайте Еврокомиссии также можно найти интересную информацию о том, почему так важно было разработать новый регламент: чем это хорошо для резидентов ЕС, какие выгоды получит бизнес, и как новые правила помогут компаниям сэкономить деньги, используя единый закон во всех странах ЕС.
- Коротко на русском языке основная информация по GDPR показана в презентации PwC «GDPR: что нужно знать российскому бизнесу». В ней также есть детальное сравнение GDPR и российского 152-ФЗ.
- Институт Исследований Интернета подготовил «Анализ возможных последствий и влияния GDPR на бизнес российских операторов персональных данных» и бонусом добавил перевод текста регламента на русский язык.