Кому оператор вправе поручить обработку персональных данных ответ на тест сдо ржд

С 1 сентября работодатели обязаны сообщать Роскомнадзору об обработке персональных данных сотрудников.

В последние несколько лет утечки личной информации участились, и государство хочет пристальнее следить за её обработкой и защитой. Так, вступают в силу новые правила, утверждённые Законом от 14. 2022 г. № 266-ФЗ.

До 1 сентября организации и предприниматели должны сообщить Роскомнадзору об обработке персональных данных сотрудников.

С июля 2017 года была изменена ответственность за нарушение законодательства о персональных данных. Один из новых составов правонарушений – невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки таких данных (далее – Политика). Причем названная обязанность существует еще с 2011 года, но специальная ответственность за ее невыполнение установлена только сейчас. Расскажем, что это за документ, как его составлять, все ли работодатели должны его иметь и где он должен быть опубликован.

К вопросу обеспечения защиты личной информации граждан российские власти относятся очень серьезно и для предупреждения несанкционированного их использования разработали специальную нормативно-правовую базу, основой которой является ФЗ-152. В нем не только четко указано, кто является оператором персональных данных, но и какие обязанности на него возлагаются на разных этапах обработки, а также прописана ответственность за нарушения. Досконально разобраться в юридических тонкостях неспециалисту проблематично, поэтому растет число ИП и юридических лиц, которые сотрудничают с компаниями-консультантами. Но даже при делегировании полномочий заказчику важно понимать, чего от него требует Федеральный закон, чтобы правильно организовать работу информационных систем, подобрать оптимальные меры защиты и разработать соответствующую локальную документацию.

Что это за документ?

В соответствии со ст. 1 Федерального закона от 27. 2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети.

Контроль исполнения этой обязанности осуществляют органы Роскомнадзора. И по их требованию оператор обязан представить перечисленные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных ст. 1 Закона № 152-ФЗ.

Что же это за документ? Не стоит путать его с положением о персональных данных. У оператора персональных данных в силу той же ст. 1 помимо Политики должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений.

К сведению: к обозначенным локальным актам относятся различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. ), перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др. ), инструкции и регламенты.

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». До недавнего времени он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ (далее – Рекомендации).

О том, какие положения рекомендовано включать в документ, определяющий эту политику, мы расскажем далее. Но прежде следует разобраться, все ли работодатели являются операторами персональных данных и соответственно все ли должны утверждать и опубликовывать его для неограниченного доступа.

Ответ экспертаОператор персональных данных (ОПД) должен уведомить Роскомнадзор о своем намерении обрабатывать персданные до начала их обработки (ст. 22 Федерального закона от 27. 2006 № 152-ФЗ). С 1 сентября 2022 года уведомлять не нужно только в трех случаях (Федеральный закон от 14. 2022 № 266-ФЗ):

• оператор обрабатывает ПД без автоматизации;
• ПД включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
• обработка ПД в случаях, предусмотренных законодательством РФ о транспортной безопасности.

До начала осени 2022 года из этого правила было девять исключений. Например, не нужно было уведомлять РКН об обработке ПД сотрудников в рамках трудовых правоотношений, ПД, состоящих только из фамилии, имени, отчества, либо личной информации, необходимой для оформления разового пропуска посетителю. Это означает, что подавляющее большинство ОПД, в том числе все работодатели, должны будут уведомить Роскомнадзор. До выполнения этой обязанности они не имеют права работать с личной информацией граждан. Форма уведомления приведена в приложении 1 к Методическим рекомендациям Роскомнадзора (Приказ Роскомнадзора от 30. 2017 № 94). Уведомление нужно направить одним из трех способов:

• Через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи.
• В личном кабинете на портале Госуслуг. Для этого нужна подтвержденная учетная запись.

31 августа 2022 года Роскомнадзор сообщил на своем сайте, что предельный срок для подачи уведомления не определён. 1 сентября не является крайним сроком. Рекомендуем не откладывать подачу надолго и сделать это в ближайшее время. Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если вы отправляли бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения территориальным отделением.

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверкиУведомление Роскомнадзора — разовая акция. Если ваша компания уже есть в реестре, подавать заявку повторно не нужно. Но вам следует проверить сведения, которые есть в Роскомнадзоре. В частности, категории ПД и категории субъектов ПД, которые вы указывали в ранее поданном уведомлении. Если какие-то виды личной информации отсутствуют, например, из трудовых правоотношений, то нужно уведомить Роскомнадзор об изменении сведений (п. 7 ст. 22 152-ФЗ). Информационное письмо можно направить теми же способами, что и уведомление. На это отведено 10 рабочих дней с даты возникновения изменений. В случае с 266-ФЗ сроки надо отсчитывать с 1 сентября 2022 года.

Уведомите Роскомнадзор об обработке персональных данных

Проверьте, есть ли организация или ИП в базе данных Роскомнадзора. Если организация уже есть в реестре, повторно отправлять уведомление не нужно.

Если записи нет, подготовьте уведомление по форме, которая утверждена Приказом от 30. 2017 г. № 94.

• в электронном виде через сайт Роскомнадзора — подписывают электронной подписью;
• в электронном виде через ЕСИА;
• заказным письмом через Почту России.

Документ подают один раз без указания сотрудников. Поэтому Роскомнадзор не требует уведомлений при найме нового персонала. Но, если меняется состав собираемой информации, ведомству сообщают о новых категориях обрабатываемых данных.

Если меняется сотрудник, который отвечает за обработку персональных данных, в Роскомнадзор отправляют уведомление с ФИО и должностью нового ответственного лица.

Коротко о главном

• С 1 сентября 2022 года работодатели уведомляют Роскомнадзор об обработке персональных данных сотрудников.
• До 1 сентября уведомление сдают организации и ИП, которые уже обрабатывают персданные работников.
• Форма уведомления утверждена Приказом Роскомнадзора от 30.05.2017 г. № 94.
• Работодатели подключаются к ГосСОПК для защиты информации от утечки.
• За нарушение правил ИП и должностных лиц штрафуют на , организации — от .

Статья актуальна на 

29. 2022

Права и обязанности оператора персональных данных

Занимаясь обработкой ПДн, предприниматель или фирма должны четко придерживаться законодательных нормативов. Например, есть возможность осуществлять с полученными сведениями такие операции, как:

• копирование;
• сбор, анализ и сохранение;
• изменение, дополнение, обновление;
• распространение;
• использование;
• систематизация и накопление;
• обезличивание;
• блокировка, уничтожение, удаление.

Но при этом установлены ограничения относительно продолжительности хранения и способа применения. Запрещено продолжать обрабатывать ПДн после достижения изначально поставленных целей и сроков.

Что касается требований к операторам персональных данных, то основными среди них являются:

• Отправка уведомления о начале проведения действий с ПДн сотрудников, клиентов с обязательным указанием адреса, Ф.И.О./названия организации, субъектов и типов обрабатываемых сведений, правового обоснования деятельности, списка операций, предпринятых мер обеспечения безопасности. Также нужно сообщить дату начала работ с ПДн, сроки и условия её завершения, наличие трансграничной передачи информации (передачи на территорию иностранного государства).
• Обеспечение защиты ПДн от несанкционированного доступа. На предприятии должен быть сотрудник, ответственный за внедрение и контроль операций, а также разработаны и интегрированы организационные и технические меры защиты. Для внедрения мер обеспечения безопасности требуется составить достаточной большой список локальных документов, начиная от должностных инструкций, заканчивая моделью актуальных угроз ПДн.
• Конфиденциальность информации. Операторы должны организовать свою деятельность таким образом, чтобы к ней имели доступ только уполномоченные лица, не происходило утечек, и не было случаев передачи ПДн третьей стороне без предварительного получения письменного согласия.
• Использование локальных ИСПДн — имеется ввиду необходимость хранения и обработки на российских серверах при сборе ПДн. При этом возможность дальнейшей трансграничной передачи не запрещена.
• Прекращение операций после истечения предусмотренного срока или достижения изначально установленных условий обработки. Кроме того, ФЗ-152 позволяет каждому субъекту написать заявление с просьбой отозвать согласие на использование его ПДн, после чего у фирмы или ИП есть 30 дней на исполнение данного требования, если конечно же нет законных оснований для продолжения обработки его ПДн.

Чем грозит разглашение личной информации граждан?

Закон предусматривает различные виды ответственности за несоблюдение оператором требований ФЗ-152 в отношении операций с ПДн, а именно:

• замечание, выговор и увольнение сотрудника, допустившего разглашение конфиденциальной информации;
• взыскание суммы ущерба с работника-нарушителя;
• возмещение морального вреда субъекту персональных данных в результате гражданских исков;
• наложение административного штрафа, размер которого может варьироваться в зависимости от обстоятельств дела (от 15 тысяч до 18 миллионов рублей);
• и другие виды ответственности, вплоть до уголовной для руководителя при значительных нарушениях, повлекших за собой серьезные последствия для субъекта.

Ответственность оператора персональных данных за невыполнение обязанностей

Несоблюдение требований относительно обработки ПДн предполагает привлечение к различным видам ответственности, причем наказать могут как уполномоченного за безопасность информации сотрудника, так и все предприятие. Мера ответственности и способ наказания определяются в зависимости от серьезности нарушения согласно ФЗ-152, а также отдельных статей Трудового, Гражданского, Административного и Уголовного Кодексов Российской Федерации. Это может быть:

• возмещение имущественного и морального вреда;
• увольнение, замечание либо выговор;
• лишение права занимать определенные должности сроком от 2 до 5 лет и более;
• принудительные или исправительные работы;
• арест и лишение свободы;
• штрафные санкции.

Своевременное инвестирование в оптимизацию деятельности согласно ФЗ-152 и подзаконных актов позволит не переживать во время проверок Роскомнадзора и стать в восприятии партнеров, клиентов и сотрудников представителем социально ответственного бизнеса.

Кто является оператором персональных данных?

Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

• обрабатываемых в соответствии с трудовым законодательством;
• полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
• сделанных субъектом персональных данных общедоступными;
• включающих в себя только фамилии, имена и отчества субъектов персональных данных;
• необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
• обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание: сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб. , а для юридических – от 15 000 до 30 000 руб.

К сведению: в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 5 Федерального закона от 27. 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Проверьте согласия на обработку персональных данных

Согласие на обработку персональных данных должны дать все сотрудники. В документе указывают цель сбора информации — без противоречивых и размытых формулировок.

Проверьте текущие согласия, чтобы в них не было пунктов, которые нарушают права сотрудников. Сверьте цель сбора данных со ст. 86 ТК РФ — произвольные формулировки запрещены. Если нашли ошибки, подготовьте и подпишите новые документы.

Если отправляете данные сторонней организации для обработки, хранения и защиты, получите согласие от сотрудников на передачу сведений третьим лицам. Здесь можно указать произвольную цель.

Делегирование обработки ПДн

Осуществлять обработку самостоятельно необязательно — можно поручить организацию обработки и защиту информации специалистам. Это может быть сервис-провайдер либо иное лицо (например, наш Центр безопасности данных), которое возьмет на себя обеспечение технической части согласно условиям подписанного договора и нормативам российского законодательства. Юридическое право выполнять действия с ПДн закрепляется в поручении, где отдельным пунктом прописана необходимость обеспечения безопасности и конфиденциальности обрабатываемых данных граждан.

Что нового для работодателей

Появляется новая обязанность — уведомлять о сборе и обработке данных, которые нужны для составления и исполнения трудового договора.

Правило распространяется не только на работников, но и на всех физических лиц. Например, когда персданные фиксируют для оформления разового пропуска на территорию предприятия.

Исключение — неавтоматизированная обработка данных. Если данные записывают в бумажный журнал, уведомлять Роскомнадзор не нужно.

Кроме этого работодатели в течение 10 дней должны:

• уведомлять об изменении состава сведений, которые собираете. Например, если начали спрашивать у сотрудников об их семейном положении;
• отвечать на запросы Роскомнадзора и сотрудников о том, собираете ли вы данные, и какие именно;
• сообщать Роскомнадзору о прекращении обработки персональных данных.

Чтобы повысить защиту персональных данных, компании и предприниматели должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы (ГосСОПК).

После подключения к системе вы считаетесь оператором персональных данных. Если произойдёт утечка данных, то в течение 24 часов нужно направить в ГосСОПК уведомление и назвать возможные причины утечки. В течение 72 часов операторы предоставляют отчёт о причинах и причастных лицах.

Новым ИП — год Эльбы в подарок

Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев

Как накажут за нарушение правил

За обработку данных без уведомления Роскомнадзора штрафуют по ст. 7 КоАП РФ:

• 300 – 500 ₽ — должностных лиц и ИП;
• 3 000 – 5 000  — организации.

Скорее всего, в будущем штрафы увеличат. Пока что их оставили минимальными, чтобы дать бизнесу время на адаптацию к новым правилам.

Что проверяет Роскомнадзор?

Регулярные проверки ведомства — мощный стимул для организаций не нарушать положения ФЗ-152. Главное, на что обращают внимание представители госструктуры:

• наличие письменного согласия субъектов в случае их необходимости;
• присутствие локальной документации, регулирующей взаимоотношения между оператором и владельцем ПДн, а также их соблюдение;
• своевременное уведомление о начале обработки;
• поставленные цели и длительность хранения информации;
• применяемые меры защиты, налаженная система ограничения доступа;
• сервера, на которые помещаются сведения для систематизации и хранения.

Рекомендации по составлению Политики

Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.

Обратите внимание: рекомендации изданы в целях выработки унифицированного подхода к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.

Итак, исходя из Рекомендаций, в Политику надо включить такие разделы:

Общие положения.

Здесь нужно описать назначение Политики, привести основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т. ), перечислить основные права и обязанности оператора и субъекта(ов) данных.

Цели сбора персональных данных.

Следует помнить, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных.

Цели обработки персональных данных, перечисляемые в этом разделе, могут происходить в том числе из:

• анализа правовых актов, регламентирующих деятельность оператора;
• целей фактически осуществляемой оператором деятельности;
• деятельности, которая предусмотрена учредительными документами оператора;
• конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

Правовое основание обработки персональных данных.

Таковым является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных. В качестве правового основания обработки этих данных могут быть указаны:

• федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
• уставные документы оператора;
• договоры, заключаемые между оператором и субъектом персональных данных;
• согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора).

Обратите внимание: Закон № 152-ФЗ не может служить правовым основанием обработки персональных данных оператором, поскольку регулирует отношения, связанные с обработкой этих данных, и закрепляет требования, предъявляемые к операторам при обработке этих данных.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

Содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки. Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных данных могут быть отнесены в том числе:

• работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников;
• клиенты и контрагенты оператора (физические лица);
• представители и работники клиентов и контрагентов оператора (юридических лиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

Порядок и условия обработки персональных данных.

В этом разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы и сроки обработки данных.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи данных в адрес третьих лиц – например, наличие договора поручения на обработку персональных данных, в том числе находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.

Рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Закона № 152-ФЗ, а также о принятии оператором мер, предусмотренных ч. 2 ст. 1, ч. 1 ст. 19 Закона № 152-ФЗ.

Условием прекращения обработки персональных данных может являться достижение целей обработки, истечение срока действия согласия или отзыв согласия субъекта данных на их обработку, выявление неправомерной обработки персональных данных.

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта данных, и не дольше, чем требуют цели обработки персональных данных, кроме случаев, когда срок хранения данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Рекомендуется указывать сроки хранения (конкретная дата (число, месяц, год)) персональных данных и основание, наступление которого повлечет прекращение обработки данных.

К сведению: при осуществлении хранения персональных данных оператор обязан использовать базы данных, находящиеся на территории РФ, в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ.

Также рекомендуется указывать иные условия хранения персональных данных, в том числе при их обработке без использования средств автоматизации.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

В случае подтверждения факта неточности данных или неправомерности их обработки персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена (ст. 21 Закона № 152-ФЗ).

При достижении целей обработки персональных данных, а также в случае отзыва субъектом данных согласия на их обработку они подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;
• иное не предусмотрено другим соглашением между оператором и субъектом персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего (ст. 20 Закона № 152-ФЗ).

Кроме этих разделов, в Политику рекомендуется включать регламент(ы) реагирования на запросы, обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов, обращений.

Политика утверждается приказом работодателя. Если принимается новая Политика, приказом следует отменить предыдущую и утвердить новую редакцию Политики.

С Политикой необходимо ознакомить всех работников организации под подпись.

В связи с постоянным развитием компьютерных технологий защите персональных данных уделяется все больше внимания. Сейчас практически каждая организация имеет свой сайт и не просто размещает на нем те или иные сведения, но и осуществляет через него обмен информацией, в том числе персональными данными. При этом на сегодняшний момент Политика мало кем из организаций опубликована.

Еще раз обращаем внимание, что Политика – это отдельный документ, который должен быть у каждого оператора персональных данных, не считая других обязательных локальных актов в сфере обработки и защиты персональных данных. Если у вас еще его нет, его следует разработать, а если есть – привести в соответствие с Рекомендациями. И не стоит относиться к этому формально, ограничиваясь общими нормами Закона № 152-ФЗ, поскольку при проверке будет учитываться не только сам факт наличия Политики, но и то, насколько она соответствует реальному положению дел в области обработки персональных данных в конкретной организации.