Недавно Роскомнадзор подготовил и опубликовал на сайте Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
У меня в целом положительное отношение к данным рекомендациям. Объясню почему: зачастую Операторы ПДн относятся к публичной политике ПДн как к типовой декларации на одну страницу – туда попадают какие-то типовые вещи, а все подробности остаются во внутренних документах Оператора. Но пользователю/клиенту этой типовой декларации может быть недостаточно для принятия решения о том, стоит ли пользоваться услугой и насколько она безопасна.
Роскомнадзор порекомендовал указывать в политике некоторые сведения, которые операторы уже обязаны указывать в уведомлении Роскомнадзору. Всё равно эти сведения доступны через реестр операторов ПДн, так зачем заставлять клиента ходить за сведениями на внешние ресурсы, если можно указать это в политики. Роскомнадзор порекомендовал указывать дополнительную информацию о передаче ПДн третьим лицам, которая свидетельствует о том, что оператор соблюдает основные принципы обработки ПДн. Рекомендовали описать регламент взаимодействия с субъектом ПДн и привести в примере формы – это будет полезно клиентам, решившим обратится к Оператору ПДн.
В общем то приведенные рекомендации соответствуют и подходам к политике обработки ПДн, принятым в евросоюзе: пример 1 , пример 2 .
Но есть у меня и несколько замечаний к Рекомендациям:
· В уведомлении Роскомнадзора категории ПДн и категории субъектов разбиваются по информационным системам, а в Политике в соответствии с Рекомендациями надо разделять по целям обработки. Для оператора ПДн это двойная работа и сложная кросс аналитика. Можно было бы использовать какой-то единый подход.
· В описании передачи ПДн третьим лицам Рекомендуется указывать перечень действий которые разрешено совершать с ПДн третьему лицу, требования по защите ПДн, которые Оператор предъявил третьему лицу. Тут Роскомнадзор не учел случаи, когда оператор передает данные не по своему желанию, а потому что обязан передать эти данные в соответствии с каким-то ФЗ (ПФР, ФНС и т.п.). И в таком случае он не знает, какие действия будет совершать с ними третье лицо, не может ограничить эти действия или установить требования по защите.
То, что приведено в Рекомендациях применимо только для таких случаев передачи ПДн третьим лицам, в которых Оператор самостоятельно поручает обработку ПДн третьему лицу (обработчику).
· Авторам Рекомендаций надо было привести примеры, больше примеров !!!, того что можно писать в каждом разделе. Эти примеры есть у Ромкомнадзора в Реестре операторов ПДн. Они были бы полезны
· Не мешало бы привести пример полноценной политики, составленной в соответствии с Рекомендациями. Пока что политики Минкомсвязи и управлений РКН не соответствуют данным рекомендациям.
Чтобы немного сгладить последнюю оплошность привожу ниже пример политики обработки ПДн блога (в соответствии с частью 2 статьи 1 152-ФЗ на обработку ПДн физическими лицами для личных нужд не распространяются требования, но мы предположим, что на месте sborisov.blogspot.ru был бы какой-то корпоративный блог) имеющего форму обратной связи (недавняя шумиха с наказанием РКН сайтов , имеющих форму обратной связи, но не имеющих политики ПДн)
