Роскомнадзор опублікував рекомендації по обробці персональних даних - новини політики, новини

Дана норма актуальна для великої кількості онлайн-ресурсів та сервісів, які збирають персональні дані користувачів в мережі Інтернет.

1. Ця Рекомендації розроблені з метою вироблення уніфікованих підходів до структури і формі документа, що визначає політику оператора щодо обробки персональних даних (далі - Політика).

2. Основні поняття, що використовуються в Рекомендаціях:

3. У Політику рекомендується включити такі структурні компоненти:

3.1. загальні положення

У зазначеному розділі рекомендується описати призначення Політики, а також включити основні поняття, використовувані в ній (обробка персональних даних, оператор, суб'єкт персональних даних, конфіденційність персональних даних і т. Д.), Перерахувати основні права і обов'язки оператора і суб'єкта (ів) персональних даних.

3.2. Цілі збору персональних даних

Обробка персональних даних повинна обмежуватися досягненням конкретних, заздалегідь визначених і законних цілей. Не допускається обробка персональних даних, несумісна з цілями збору персональних даних.

3.3. Правові підстави обробки персональних даних

Правовою підставою обробки персональних даних є сукупність правових актів, на виконання яких і відповідно до яких оператор здійснює обробку персональних даних.

В як правову підставу обробки персональних даних можуть бути вказані:

3.5. Порядок і умови обробки персональних даних

В даному розділі рекомендується вказувати перелік дій, що здійснюються оператором з персональними даними суб'єктів, а також використовувані оператором способи обробки персональних даних і терміни обробки персональних даних.

Крім того, оператор має право передавати персональні дані органам дізнання і слідства, іншим уповноваженим органам з підстав, передбачених чинним законодавством Укаїни.

Також рекомендується вказувати відомості про дотримання вимог конфіденційності персональних даних, встановлених ст. 7 Федерального закону «Про персональні дані», а також інформацію про прийняття оператором заходів, передбачених ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закону «Про персональні дані».

Умовою припинення обробки персональних даних може бути досягнення цілей обробки персональних даних, закінчення терміну дії згоди або відкликання згоди суб'єкта персональних даних на обробку його персональних даних, а також виявлення неправомірної обробки персональних даних.

Зберігання персональних даних рекомендується здійснювати у формі, що дозволяє визначити суб'єкта персональних даних не довше, ніж цього вимагають цілі обробки персональних даних, крім випадків, коли термін зберігання персональних даних не встановлено федеральним законом, договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт персональних даних.

Рекомендується вказувати терміни [3] зберігання персональних даних.

При здійсненні зберігання персональних даних оператор персональних даних зобов'язаний використовувати бази даних, що знаходяться на території Укаїни, відповідно до ч. 5 ст. 18 Федерального закону «Про персональні дані».

Рекомендується вказувати інші умови зберігання персональних даних, в тому числі, при обробці персональних даних без використання засобів автоматизації.

3.6. Актуалізація, виправлення, видалення і знищення персональних даних, відповіді на запити суб'єктів на доступ до персональних даних

У разі підтвердження факту неточності персональних даних або неправомірності їх обробки, персональні дані підлягають їх актуалізації оператором, а обробка повинна бути припинена, відповідно [4].

При досягненні цілей обробки персональних даних, а також в разі відкликання суб'єктом персональних даних згоди на їх обробку персональних даних підлягають знищенню, якщо:

інше не передбачено договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт персональних даних;
оператор не має права здійснювати обробку без згоди суб'єкта персональних даних на підставах, передбачених Федеральним законом «Про персональні дані» або іншими федеральними законами;
інше не передбачено іншою угодою між оператором та суб'єктом персональних даних.
Оператор зобов'язаний повідомити суб'єкта персональних даних або його представнику інформацію про здійснювану ним обробці персональних даних такого суб'єкта на її вимогу [5].

Рекомендується включити в Політику регламент (и) реагування на запити / звернення суб'єктів персональних даних і їх представників, уповноважених органів з приводу неточності персональних даних, неправомірність їх обробки, відкликання згоди і доступу суб'єкта персональних даних до своїх даних, а також відповідні форми запитів / звернень .

[1] У розділі ст. 6 № 152-ФЗ «Про персональних даних»

[2] Ч. 3 ст. 6 № 152-ФЗ «Про персональних даних»

[3] Конкретна дата (число, місяць, рік) і підстава (умова), наступ якого спричинить припинення обробки персональних даних.

[4] У розділі ст. 21 № 152-ФЗ «Про персональних даних»

[5] У розділі ст. 20 № 152-ФЗ «Про персональних даних»