Политика обработки персональных данных: что важно учесть?

Политика в области обработки персональных данных (ПОД) – один из основных документов, необходимых оператору как мера обеспечения защиты личных данных людей. ПОД должна давать людям прозрачность в отношении обработки их личных данных и четко отвечать на вопросы: Кем собираются? Как используются? Для каких целей используются? Сколько хранятся? Какие есть права у человека, чьи данные собираются? Передаются ли персональные данные заграницу и куда?

Компания может разработать ПОД как в виде одного цельного документа, который будет учитывать всю специфику обработки данных, так и в виде несколько документов в зависимости от бизнес-процессов, существующих в компании.

Каким рекомендуемым критериям должна соответствовать ПОД (с точки зрения читаемости)?

• простота и ясность языка – при составлении политики избегайте сложных конструкций, громоздких предложений, непонятных научных и технических терминов (если в них нет необходимости), неоднозначных логических цепочек и формулировок и т.п.
• отсутствие объемного цитирования законодательства – следует подсветить отдельные важные моменты, исключая описание всего не относящегося к предмету описания.
• понятная и удобная структура текста – текст должен быть логично структурирован и интуитивно понятен, при технической возможности можно использовать выпадающие списки, переходы в разделы при нажатии на гиперссылку. При составлении ПОД также необходимо учитывать категорию субъекта, который работает с организацией. К примеру, если преимущественно клиенты пожилого возраста, то можно какую-то информацию формировать таблицами, графиками для большей наглядности, сам текст ПОД делать крупнее и т.д.

Что следует включить в ПОД:

Общие положения.

• информация об организации: название, УНП, местонахождение, почтовый адрес, адрес в сети Интернет (при наличии);
• на что распространяется ПОД, какие бизнес-сферы охватывает (при наличии их разделения). К примеру, могут быть отдельные политика обработки куки, политика видеонаблюдения или политика записи разговоров, соответственно общая ПОД не будет включать в себя сферу куки, видеонаблюдения и записи разговоров.

Перечень субъектов и их личных данные, которые обрабатываются.

• субъектами могут быть клиенты, контрагенты, пользователи сайта и иные лица, с которыми взаимодействует организация в процессе деятельности;
• указанный перечень данных должен совпадать с фактическим сбором данных.

Цели и правовые основания обработки.

• цели не должны быть абстрактными;
• к каждой цели отдельно указывается правовое основание обработки данных (согласие, договор, норма законодательства и т.д.). Цели обязательно нужно разделять, сколько целей, столько и оснований под них.

Сроки обработки данных.

• указывается срок, в течение которого обрабатываются данные субъектов (равносильно сроку действия согласия физлица на обработку).

Уполномоченные лица.

• информация об уполномоченных лицах, которым передаются данные: название, местонахождение, информационный ресурс, цель обработки данных. К примеру, таким лицом может быть подрядчик, обслуживающий сайт компании; организация, которая оказывает услуги по рекламным рассылкам и др.

Трансграничная передача.

• указывается информация о лицах, которым передаются данные за пределы Беларуси: название, местонахождение, цель обработки, правовые основания, название иностранного государства. Если иностранное государство не относится к государствам, которые должным образом обеспечивают защиту персданных, то в ПОД необходимо это указать и прописать риски для персданных, в случае их передачи в это государство.

Права физлиц, чьи данные обрабатываются.

• права, предусмотренные Законом о защите ПД, в частности порядок подачи заявлений в компанию, почтовый адрес, адрес электронной почты, контакты лица, которое осуществляет функции контроля за обработкой персданных внутри компании.

ПОД должна быть доступна всем клиентам и пользователям сайта организации, контрагентам и иным лицам, чьи данные собираются и обрабатываются. Если у компании есть сайт, то ПОД размещается на сайте. Также, в случае приема клиентов в офисе, ПОД должна быть размещена в офисе на обозримом месте, чтобы человек мог в любой момент с ней беспрепятственно ознакомиться. ПОД изменяется компанией в одностороннем порядке и доводится до физлиц в новой редакции.

Рекомендуется разрабатывать общую ПОД, политику видеонаблюдения (если оно ведется в компании), политику в отношении работников (внутренний ЛПА) и иные документы, в зависимости от вида деятельности компании.

Юристы ООО «Грин Лигал» готовы оказать Вам квалифицированную помощь в подготовке необходимого пакета документов и полное юридическое сопровождение в соответствии со спецификой Вашего бизнеса.

Подробнее об услуге: защита персональных данных