13 Февраля, 2012

Политика в отношении обработки персональных данных

Andrey Prozorov
Как мы знаем, Оператор ПДн "обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных" (ст.18.1 п2 152-ФЗ). Для простоты назовем данный документ "Политика обработки ПДн" (далее -Политика). Что должно содержаться в Политике конкретно не определено, и на данный момент существует множество мнений. Кто-то пишет короткие документы (1-2 страницы), содержащие заявления руководства о том, что вся обработка и обеспечение безопасности ПДн соответствует закону и другим нормативно-правовым актам, кто-то пишет большие документы, вставляя много копи-паста из закона и, например, Положения о ПДн, которое уже обычно бывает разработана в компании.
name='more'>
Я полагаю, что документы надо писать исходя из аудитории пользователей/читателей, на которую данный документ будет рассчитан и целей, которых мы хотим добиться этим документом.
В первую очередь Политика рассчитана на субъектов ПДн, во-вторых на регулирующие органы. Почему я считаю, что приоритет у субъектов выше? Все просто: субъект имеет право получать лишь небольшой объем информации об обработке своих ПДн, определенной в законе (152-ФЗ), и предоставляемой ему по запросу. Поэтому при получении запроса от субъекта ПДн мы можем формально на него отвечать и давать ссылку на Политику, в которой и будет дополнительная общедоступная информация об обработке и защите ПДн.  А регулирующие органы, в принципе, могут получить более широкий доступ к информации, касающейся обработки и защиты, поэтому с ними формальными ответами и предоставлением Политики скорее всего обойтись не удастся...

Я рекомендую Политику писать как декларацию того, что уже сделано и обеспечивается в области обработки и защиты ПДн. Также рекомендую включить следующую информацию (главы документа):

  1. Общие понятия обработки ПДн. По сути основные термины из закона.
  2. Принципы обработки ПДн. Копи-паст или вольный пересказ принципов из ст.5 152-ФЗ, плюс я бы добавил принцип "Конфиденциальности" (ст.7 152-ФЗ).
  3. Условия и цели обработки.Здесь мы должны перечислить условия обработки/правовое основание обработки из ст. 6 152-ФЗ, и в общих понятиях описать цели обработки ПДн. Писать перечень субъектов ПДн, чьи ПДн обрабатываются в компании, считаю излишним, их лучше писать в Перечне ПДн и/или Положении о ПДн - внутренних документах компании.
  4. Общее описание обработки ПДн.Общими словами описываем, что ПДн могут обрабатываться с использованием средств автоматизации и без их использования, также пишем те действия (из термина "обработка ПДн"), которые используются в компании (обычно все). Сюда же можем написать про трансграничную обработку ПДн (ст.12 152-ФЗ), специальные категории (ст.10 152-ФЗ) и биометрические ПДн (ст.11 152-ФЗ), а также про "принятие решения на основании исключительно автоматизированной обработки" (ст.16 152-ФЗ). При этом лучше написать, что такая обработка допускается в случае выполнения требований из соответствующих статьей закона (можем сделать пересказ/копи-паст из закона).
  5. Сроки обработки ПДн. Описываем общими словами сроки обработки ПДн и порядок прекращения обработки.
  6. Меры в области обработки и защиты ПДн. Здесь общими словами описываем меры, определенные в статьях 18.1 и 19 152-ФЗ. Например, если закон требует "назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных", то так и пишем: "в компании назначен  ответственный за организацию обработки персональных данных", и так по каждому пункту...
  7. Права субъекта ПДн. Тут стоит в общих словах описать права субъекта ПДн на доступ к информации и правила подачи запросов, определенные в 152-ФЗ (особенно про состав запроса, сроки реагирования и повторного запроса).
При таком подходе документ получается на 5-10 страниц, а субъект ПДн получает необходимый минимум информации. Это мое видение, вполне возможны и другие варианты.