Что это такое?
Политика обработки персональных данных — это документ, который объясняет, как компания или индивидуальный предприниматель (ИП) работает с личной информацией людей: сотрудников, клиентов, партнёров.
Кто обязан её иметь?
По закону (ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных») Политику обязательно утверждают организации.
ИП тоже должны её разработать, если:
- у них есть наёмные работники;
- они обрабатывают личные данные партнёров или клиентов.
Это следует из ст. 87 Трудового кодекса РФ и ч. 4 ст. 18.1 Федерального закона № 152‑ФЗ.
Где разместить?
Компания‑оператор персональных данных должна сделать Политику доступной для всех. Закон не диктует конкретный способ — можно выбрать любой удобный:
- напечатать и разместить в офисе (на стенде, у кассы);
- издать в виде брошюры или таблички;
- опубликовать на сайте — если данные обрабатываются онлайн (ч. 2 ст. 18.1 ФЗ № 152‑ФЗ).
Что будет, если Политики нет?
Если компания не подготовила документ или не предоставила его по запросу Роскомнадзора, ей грозит штраф (ч. 3 ст. 13.11 КоАП РФ):
Нужно ли делать отдельный документ?
Закон не требует оформлять Политику как единый документ. Можно разбить правила на несколько локальных актов (письмо Роскомнадзора от 29.05.2023 № 08‑44457). Но проще и понятнее для всех — составить один чёткий документ.
Как составить Политику?
Нет строго установленной формы. Компания вправе написать документ в свободном стиле, но лучше ориентироваться на рекомендации Роскомнадзора. На его сайте есть примерный шаблон.
Из чего состоит Политика?
Роскомнадзор советует включать в документ такие разделы:
1. Общие положения. Здесь объясняют:
- зачем нужна Политика (защита прав людей на неприкосновенность частной жизни, личную и семейную тайну);
- что означают термины (можно взять из ст. 3 ФЗ № 152‑ФЗ);
- какие у компании обязанности (хранить данные в тайне, не распространять без согласия человека);
- какие права есть у людей (получить информацию о своих данных, исправить их, заблокировать или уничтожить, если они неверны или получены незаконно).
2. Цели обработки данных. Нужно перечислить, для чего компания собирает личные сведения. Например:
- вести кадровый и бухгалтерский учёт;
- заключать и исполнять договоры;
- выполнять требования налогового и пенсионного законодательства;
- сдавать отчётность в госорганы.
Компания указывает только те цели, которые реально использует.
3. Правовые основания. Здесь пишут, на чём базируется обработка данных:
- согласие человека;
- нормы Трудового кодекса (ст. 86–90 ТК РФ);
- устав компании;
- договоры с партнёрами.
4. Какие данные обрабатываются. Перечисляют сведения, которые компания получает от сотрудников и партнёров. Например, от работников могут собирать:
- ФИО, паспортные данные, адрес;
- должность и трудовую историю;
- ИНН, СНИЛС;
- данные о воинском учёте и образовании;
- телефоны и email.
От партнёров — например:
- ФИО, ИНН, паспортные данные;
- контакты (телефоны, email);
- реквизиты счетов;
- должность и сведения об управлении бизнесом.
Также стоит указать, какие данные компания не собирает (например, медицинские сведения, информацию о национальности, вероисповедании, биометрию).
5. Как обрабатываются данные.
Описывают принципы и действия:
- сбор и обработка только с согласия человека и строго для заявленных целей;
- хранение — не дольше, чем нужно для цели (если закон не устанавливает иной срок).
Действия с данными: сбор, запись, систематизация, хранение, уточнение, использование, передача, блокирование, удаление, уничтожение.
Отдельно прописывают, когда данные могут передаваться третьим лицам и как человек может запретить их распространение.
6. Обновление и удаление данных.
Указывают, как исправляют ошибки и уничтожают неверные или незаконно полученные сведения. Например:
- в течение 7 рабочих дней — исправлять неточные данные по запросу человека;
- уничтожать данные, собранные с нарушением закона.
Также перечисляют случаи, когда обработка данных прекращается (например, если человек отозвал согласие или цель обработки достигнута).