Не надо пренебрегать Политикой

Не надо пренебрегать Политикой

Политика обработки персональных данных должна быть на сайте ВУЗа

Что такое Политика в отношении обработки персональных данных... , и есть ли требования к её содержанию

Закон "О персональных данных" ответа не даёт. В т.ч. по количеству "документов", в которых должна быть "определена" Политика, есть очевидная неоднозначность:

- в п.2 и п.6 ч.1 ст.18.1 Закон говорит о нескольких "документах", в которых должна быть определена Политика (использовано множественное число для слова "документ").

- в части 2 той же статьи - уже об одном документе.

По содержанию Политики в ФЗ "О персональных данных" требований тоже нет.

Но РКН распространяет на Политику те требования, которые в п.2 ч.1 ст.18.1 Закона относятся к локальным актам оператора.

В этом п.2 ч.1 ст.18.1 Закона - юридическая техника выдала несколько причастных оборотов.

Тот причастный оборот, который относится к словосочетанию "локальных актов", - содержит требования к содержанию этих локальных актов.

Роскомнадзор и Минцифры не курируют сферу причастных оборотов и грамматических признаков частей речи русского языка. Поэтому в своих письмах и семинарном праве - распространяют требования к содержанию "локальных актов" - и на "документы", определяющие Политику.

Юридические консультанты по персональным данным в этом месте не рекомендуют умничать: суды по административным делам о привлечении - даже вникать в причастные обороты не будут: таких кейсов, как дело Аэрофлота, - это штучно на всю судебную систему... Даже Минпросвещению при утечке никак не помог его федеральный статус - пропустили в общем порядке...

По ходу заметим, что формулировки п.2 ч.1 ст.18.1 Закона - не относят "документы", определяющие политику оператора в отношении обработки персональных данных, к "локальным актам". Они просто "документы" (смотрим формулировку п.2 ч.1 ст.18.1 Закона).

Как этот креатив реализовать ВУЗу, - вопрос.

Ставим пока себе галочку "риска" из-за неопределённости требований по количеству документов, определяющих Политику, и по содержанию Политики.

Никто и не обещал, что будет понятно...

Что должно быть в Политике

Если учесть риски и реакцию РКН на причастные обороты, то в Политику надо напихать всё, что перечислено в п.2 ч.1 ст.18.1:

- цели обработки персональных данных

- категории обрабатываемых персональных данных (для каждой цели)

- перечень обрабатываемых персональных данных (для каждой цели)

- категории субъектов, персональные данные которых обрабатываются (для каждой цели)

- способы обработки персональных данных (для каждой цели)

- сроки обработки и хранения персональных данных (для каждой цели)

- порядок уничтожения персональных данных (для каждой цели)

- процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений

- что-то про внутренний контроль и аудит соответствия обработки персональных данных

- требования к защите персональных данных (сведения о реализуемых требованиях к защите персональных данных)

- Минцифры рекомендует "включить в Политику регламент(ы) реагирования на запросы(или) обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов и (или) обращений" (Письмо Минцифры РФ от 28 августа 2020 г. N ЛБ-С-074-24059 "О методических рекомендациях").

Т.е. Политику можно позиционировать как пересказ всего того, что содержится в локальных актах ВУЗа по поводу обработки персональных данных.

Но без персональных данных - никаких фамилий (кроме утвердившего документ начальника), личных мейлов и телефонов.

Как быть с неопределённостью по количеству документов, определяющих Политику?

Документ с названием Политика - утвердить приказом: вот и два "документа"...

Плюс - локальный акт - "Положение о персональных данных ВУЗа" (название примерное) - заявить (в тексте) как "документ, определяющий политику ВУЗа в отношении обработки персональных данных".⬇️