Роскомнадзор опубликовал рекомендации по составлению политики обработки персональных данных.

Роскомнадзор на своем сайте опубликовал рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных.
Расскажем подробнее.
Согласно рекомендациям, такой документ оператор обязан опубликовать на своем сайте и обеспечить неограниченный доступ к нему через Интернет.
Роскомнадзор рекомендовал включить в документ, который определяет политику оператора в отношении обработки персональных данных, шесть компонентов:
1. Общие положения
В этом разделе укажите:
– назначение документа;
– основные понятия, которые используют в документе (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных);
– основные права и обязанности оператора и субъектов персональных данных.
2. Цели сбора персональных данных
Оператор обязан соблюдать конкретные, заранее определенные и законные цели обработки. Нельзя обрабатывать данные, если это несовместимо с целями сбора данных.
Так, Роскомнадзор привел примеры, что цели обработки персональных данных могут происходить:
– из анализа правовых актов, регламентирующих деятельность оператора;
– целей фактической деятельности оператора;
– деятельности, которая предусмотрена учредительными документами оператора.
3. Правовые основания обработки персональных данных
В качестве правового основания обработки персональных данных оператору стоит указать:
– федеральные законы и принятые на их основе документы, которые регулируют отношения, связанные с деятельностью оператора;
– уставные документы оператора;
– договоры, которые заключает оператор и субъект персональных данных;
– согласие на обработку персональных данных.
4. Объем и категории персональных данных, категории субъектов персональных данных
Нужно указать, что содержание и объем данных должны отвечать заявленным целям обработки. Нельзя требовать избыточные данные по отношению к заявленным целям их обработки.
Роскомнадзор указал, кого можно отнести к категориям субъектов персональных данных:
– работников оператора, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников;
– клиентов и контрагентов оператора (физических лиц);
– представителей/работников клиентов и контрагентов оператора (организаций).
5. Порядок и условия обработки персональных данных
Роскомнадзор рекомендует указывать:
– перечень действий, которые оператор совершает с персональными данными субъектов;
– способы и сроки обработки персональных данных;
– сведения о соблюдении требований конфиденциальности, которые установила статья 7 Закона о персональных данных;
– информацию о соблюдении мер безопасности при обработке персональных данных, которые установила часть 1 статьи 19 Закона о персональных данных;
– условия прекращения обработки персональных данных;
– условия хранения персональных данных, в том числе при обработке персональных данных без использования средств автоматизации.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В документе укажите, что оператор обязан:
– обеспечить точность и правомерность данных;
– удалить или уточнить неполные и неточные данные;
– прекратить их обработку;
– уведомить о том, что лицо вправе отозвать согласие на обработку данных.
Источник: рекомендации Роскомнадзора от 27 июля 2017 г.