Подскажите, пожалуйста, верно ли я поняла, что в политике мы прописываем нашу работу со всеми персональными данными, включая те, работа с которыми необходима в силу закона, а при взятии согласия, скажем, при приемке на работу, включаем то, что обрабатывается, но не в силу закона.
Я являюсь лектором курса «Защита персональных данных: правовые аспекты и практические навыки» и поэтому решил ввести новую рубрику — вопросы от слушателей действующего курса. Думаю, вам тоже будет полезен этот материал :)
Так вот, отвечая на вопрос, следует отметить, что общих правил касающихся наименования политики оператора в отношении обработки персональных данных, так и содержания этого документа нет.
Законодательством, в частности, статьей 18.1 Федерального закона "О персональных данных" предусмотрена обязанность оператора опубликовать его политику в отношении обработки персональных данных.
Отметим, что данный документ может называться абсолютно по-разному. В интернете можно встретить десяток разных наименований. Это может быть и "политика конфиденциальности", и "политика обработки персональных данных", "privacy policy" и тому подобное.
В отношении содержания этого документа также нет единообразного подхода, но есть определенные рекомендации.
По идее, в политике конфиденциальности вы можете разместить все сведения, касающиеся осуществляемых вами бизнес-процессов, связанных с обработкой персональных данных, в том числе внутри организации (например, при выполнении требований законодательства в отношении работников) и во вне организации - во взаимодействии с клиентами и контрагентами.
Есть подход, согласно которому компания может иметь две политики (тогда их лучше "развести" по названиям).
Одну она размещает на сайте для взаимодействия исключительно через этот канал коммуникации, например, для таких целей, как сбор обратной связи через форму на сайте, получение заявок от кандидатов на вакантные должности, предоставление тестового доступа к каким-то внутренним ресурсам сайта, заказ покупка товара на сайте и прочее.
Соответственно, во второй политике, которая будет уже всеобъемлющей и хранится в качестве отдельного документа внутри компании, вы будете указывать и другие бизнес-процессы.
Однако, с моей точки зрения, такая практика порочна, потому что стыковка этих двух документов будет всегда представлять собой большую сложность.
Для сайта политику конфиденциальности нередко совмещают с пользовательским соглашением и политикой в отношении обработки файлов cookies.
Подытоживая:
- В политике оператора в отношении обработки персональных данных лучше отразить все бизнес-процессы, связанные с обработкой персональных данных.
- Наименование документа может отличаться. Если есть время и ресурсы можно отдельно разработать документ, который будет изложен "человеческим" языком, и отдельно - "юридическим".
- Нужно понимать, что политика в отношении обработки персональных данных, публикуемая на сайте, представляет собой документ, доступный неограниченному кругу лиц, и поэтому использование там ссылок на локальные нормативные правовые акты будет неправильным.
Еще больше вопросов и ответов вы найдете в моем телеграм-канале. А по личному вопросу можно написать здесь.
