"Политика оператора персональных данных"

АЛЕКСЕЙ ВОЛКОВ, 

ОАО «Северсталь»

Задав поиск в тексте 152-ФЗ по слову «политика», можно обнаружить шесть совпадений, пять из которых будут находиться в одном месте – в ст. 18.1. Опустим одно совпадение про «государственную политику» в ст. 19 и займемся пятью оставшимися. Итак, в соответствии с п. 2 ч. 1 ст. 18.1 оператору – юридическому лицу необходимо разработать или, как там сказано, издать следующие документы:

• те, что определяют политику оператора в отношении обработки персональных данных;

• локальные акты по вопросам обработки персональных данных;

• локальные акты, устанавливающие процедуры, которые направлены на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Локальные акты, указанные в пп. 2 и 3 п. 2 ч. 1 ст. 18.1, предназначены исключительно для оператора и регламентируют его внутренние процессы, технологии обработки и способы защиты данных; пп. 1 имеет отношение к субъектам, чьи данные обрабатывает оператор.

Требование об «издании документов, определяющих политику», обращено только к юридическим лицам, а операторов – физических лиц и индивидуальных предпринимателей оно не касается. Политика в п. 2 ч. 1 ст. 18.1 представляется набором документов (следовательно, их минимум два), однако далее, в ч. 2 той же статьи, речь идет уже о неограниченном доступе «к документу, определяющему политику в отношении обработки персональных данных» – получается, это может быть и один документ.

Некоторая доля здравого смысла в этом, несомненно, есть, и потому сведения о защите ПДн необходимо публиковать в обобщенном виде. Закон не предъявляет конкретных требований к содержанию раскрываемых в политике сведений, поэтому, чтобы не разрабатывать и не публиковать второй документ, целесообразно включить информацию о реализуемых мерах по защите ПДн в состав политики, распространив при этом правило раскрытия «минимально необходимых и достаточных сведений» на весь документ.

Ответ на вопрос, какой объем раскрываемых сведений следует считать минимальным, дает ч. 7 ст. 14 152-ФЗ, которая определяет право субъекта на получение информации, касающейся обработки его персональных данных, и устанавливает минимальный (но открытый) перечень таких данных:

• подтверждение факта обработки персональных данных оператором;

• правовые основания и цели обработки персональных данных;

• цели и применяемые оператором способы обработки персональных данных;

• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или в соответствии с федеральным законом;

• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

•  сроки обработки персональных данных, в том числе временной период их хранения;

•  порядок осуществления субъектом персональных данных прав, предусмотренных настоящим федеральным законом;

•  сведения об осуществленной или предполагаемой трансграничной передаче данных;

•  наименование оператора или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если она поручена или будет поручена такому лицу;

•  иные данные, предусмотренные настоящим федеральным законом или другими федеральными законами.

В соответствии с ч. 3 ст. 14 оператор обязан предоставить указанные сведения, получив запрос от субъекта, а последний, располагая этими данными, вовсе не должен обеспечивать их конфиденциальность. Поэтому сведения, указанные в пп. 2–9, имеет смысл включить в политику – все равно рано или поздно их придется раскрыть, зато не надо будет ломать голову, что отвечать на запросы субъектов.

Второй блок информации, раскрываемой оператором, обозначен в ч. 3 ст. 22 152-ФЗ, определяющей закрытый перечень сведений, указываемых в уведомлении об обработке ПДн:

•  наименование (фамилия, имя, отчество), адрес оператора;

•  цель обработки персональных данных;

•  категории персональных данных;

•  категории субъектов, персональные данные которых обрабатываются;

•  правовое основание обработки персональных данных;

•  перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

•  описание мер, предусмотренных ст.ст. 18.1 и 19 настоящего федерального закона, указание информации о наличии шифровальных (криптографических) средств и их наименования;

•  фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты;

•  дата начала обработки персональных данных;

•  срок или условие прекращения обработки персональных данных;

•  сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

•  информация об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Казалось бы, уведомление – это внутренний, непубличный документ, отправляемый в Роскомнадзор, однако на сайте регулятора существует специальный сервис , который позволяет каждому зарегистрированному оператору получить эти сведения в полном объеме. Обратите внимание на пп. 7 и 12 – за исключением наличия и наименования шифровальных средств (на сайте Роскомнадзора не указываются), это и есть те самые сведения о реализуемых требованиях по защите ПДн (потому в уведомлении они также должны быть представлены в минимально необходимом и достаточном объеме).

Статья 2 ч. 14 152-ФЗ определяет, что сведения, указанные выше, должны предоставляться субъекту в доступной форме. Ранее мы с вами выяснили, что политика – документ публичный и предназначенный для субъектов. Поэтому и писать его нужно соответствующим образом – максимально просто и понятно, кратко, но с достаточной степенью подробности для того, чтобы каждый прочитавший ее субъект не только понял «букву», но и прочувствовал, что называется, «дух» документа. Последнее немаловажно для имиджа, ведь субъект, доверяющий оператору, охотнее станет сотрудничать с ним. Изобретать велосипед не придется: как это сделать – давно придумано.

Стандарты и политика

Термин «политика» должен быть хорошо известен читателям, знакомым с международными стандартами в области информационной безопасности (далее – ИБ) и их аутентичными версиями, принятым в РФ в качестве ГОСТов. Заглянем в один из таких документов – ГОСТ Р ИСО/МЭК 17799-2005  «Информационная технология. Практические правила управления информационной безопасностью», раздел 3 которого целиком посвящен политике безопасности. В соответствии со стандартом целью политики является обеспечение решения вопросов ИБ и вовлечение высшего руководства организации в данный процесс. Можно заглянуть в другой стандарт – ГОСТ Р ИСО/МЭК 27001:2005  «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования», в таблицу А.1 приложения А. Там цель сформулирована еще более четко: «Обеспечить направление и поддержку со стороны руководства для защиты информации в соответствии с деловыми требованиями, а также законами и нормами, имеющими отношение к ИБ». Что ж, неплохо – стоит только «сузить» область применения до ПДн, и цель создания политики оператора получается вполне конкретная (особенно если рассматривать защиту ПДн как подпроцесс, входящий в состав системы управления ИБ в организации). Посмотрим, насколько можно адаптировать остальные требования ГОСТов в области ИБ под ПДн.

ГОСТ Р ИСО/МЭК 17799-2005 определяет, что политика должна «устанавливать ответственность руководства, а также излагать подход организации к управлению ИБ», а ее разработка и реализация должны осуществляться «высшим руководством путем выработки четкой позиции в решении вопросов ИБ». Кроме того, политика ИБ должна быть оформлена документально, «утверждена, издана и надлежащим образом», «в доступной и понятной форме», «доведена до сведения всех сотрудников организации». Таким образом, политика ИБ – это локальный нормативный акт, в декларативной форме излагающий то, что в организации делается для обеспечения ИБ, и устанавливающий ответственность за его соблюдение. Очевидно, после некоторой адаптации политика оператора в области ПДн прекрасно впишется в этот формат. 

Раз уж мы решили соединить стандарты по ИБ и нормы 152-ФЗ, давайте посмотрим, какие требования к содержанию политики ИБ предъявляет ГОСТ Р ИСО/МЭК 17799-2005:

•  Определение ИБ, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации.

•  Изложение целей и принципов информационной безопасности, сформулированных руководством.

•  Краткое формулирование наиболее существенных для организации принципов, правил, например таких:

- следование законодательным нормам и договорным обязательствам;

- выполнение требований, связанных с инструктированием работников по вопросам обеспечения безопасности;

- предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

- управление непрерывностью бизнеса;

- установление ответственности за нарушения политики безопасности.

•  Определение общих и конкретных обязанностей сотрудников в рамках управления ИБ, включая информирование об инцидентах в сфере ИБ.

•  Создание перечня ссылок на документы, дополняющие политику информационной безопасности, например более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

ГОСТ также указывает на необходимость назначения в организации должностного лица, ответственного за реализацию политики ИБ и ее пересмотр в соответствии с установленной процедурой.

Таким образом, политика ИБ – документ небольшой, но очень важный: он является своего рода квинтэссенцией ИБ в организации и «коннектором» между документами высшего (концепции и стандарты) и низшего (регламенты, положения, инструкции) уровней. Кроме того, он должен быть «живым» и в каждый момент времени достоверно отражать актуальные требования и подходы к обеспечению ИБ в организации.

Что ж, попробуем перенести эту парадигму на ПДн и, объединив написанное в предыдущих главах, посмотрим, что у нас получится.

Разработка – шаг за шагом

Всем известная народная мудрость гласит: как корабль назовете – так он и поплывет. В принципе, название законодатель уже придумал за нас, но, коль скоро мы решили в политику в области обработки включить сведения о защите, очевидно, это следует как-то отметить. Поэтому документ наш будет называться «Политика ООО «АБВ» в области обработки и защиты персональных данных».

В соответствии с традицией сделаем первый раздел вводным и, помня другую народную мудрость – «по одежке встречают…», а также то, что политика создается для субъекта и преследует цель улучшения имиджа оператора и повышения уровня доверия к нему, напишем что-нибудь пафосное.

ПОЛИТИКА ООО «АБВ» В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. В целях поддержания деловой репутации и гарантирования выполнения норм федерального законодательства в полном объеме ООО «АБВ» (далее – Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

1.2. Настоящая политика в области обработки и защиты персональных данных в ООО «АБВ» (далее – Политика) характеризуется следующими признаками:

1.2.1. Разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных.

1.2.2. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.

1.2.3. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

Что ж, начало весьма эффектное. Далее, очевидно, следует представить сведения об операторе, что мы, собственно, и сделаем.

2. ИНФОРМАЦИЯ ОБ ОПЕРАТОРЕ

Наименование: Общество с ограниченной ответственностью «АБВ».

ИНН: 12345678901.

Фактический адрес: 123456, Россия…

Тел., факс: (123) 456-78-90.

Реестр операторов персональных данных: http://rsoc.ru/personal-data/register/, 00-1234567, Приказ № 1235 от 01.01.2011 г.

Поскольку политика, как было сказано выше, является высокоуровневым документом, «коннектором» между документами верхнего и нижнего уровней, то следующий раздел, согласно логике, должен содержать правовые основания обработки ПДн оператором. В нем мы и перечислим названия всех этих документов.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

3.1.1. Конституцией Российской Федерации.

3.1.2. Трудовым кодексом Российской Федерации.

3.1.3. Гражданским кодексом Российской Федерации.

3.1.4. Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

3.1.5. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

3.1.6. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

3.1.7. Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».

3.2. Во исполнение настоящей Политики руководящим органом Оператора утверждены следующие локальные нормативные правовые акты:

3.2.1. Положение о порядке обработки и защиты персональных данных.

3.2.2 Перечень обрабатываемых персональных данных

3.2.3. Перечень информационных систем персональных данных.

3.2.4. Перечень подразделений и работников, допущенных к работе с персональными данными.

3.2.5. Модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

3.2.6. Акты классификации информационных систем персональных данных.

Далее следует указать цели, для достижения которых оператору необходимо обрабатывать ПДн.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:

4.1.1. Исполнения положений нормативных актов, указанных в п. 2.2.1.

4.1.2. Принятия решения о трудоустройстве кандидата в ООО «АБВ».

4.1.3. Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.

4.1.4. Осуществления пропускного и внутриобъектового режима.

А теперь необходимо обратиться к самим категориям обрабатываемых ПДн.

5. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСТОЧНИКИ ИХ ПОЛУЧЕНИЯ, СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ

5.1. В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:

5.1.1. Персональные данные сотрудников. Источники получения: субъекты персональных данных ООО «АБВ», налоговые органы.

5.1.2. Персональные данные учредителей, аудитора/ревизора, генерального директора, аффилированных лиц Общества. Источники получения: субъекты персональных данных ООО «АБВ».

5.1.3. Персональные данные контрагентов (и их представителей). Источники получения: субъекты персональных данных ООО «АБВ», налоговые органы.

5.1.4. Персональные данные посетителей. Источники получения: субъекты персональных данных ООО «АБВ».

5.1.5. Персональные данные кандидатов. Источники получения: субъекты персональных данных ООО «АБВ».

5.2. Сроки обработки и хранения ПДн определены в «Перечне обрабатываемых персональных данных ООО «АБВ» (см. п. 3.2.2).

Идем далее – описываем основные принципы и некоторые нюансы.

6. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ, ПЕРЕДАЧИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ «О персональных данных».

6.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

6.3. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

6.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

6.5. Оператором созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.

Далее описываем, кому оператор передает данные и поручает их обработку.

7. СВЕДЕНИЯ О ТРЕТЬИХ ЛИЦАХ, УЧАСТВУЮЩИХ В ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:

7.1.1. Федеральной налоговой службе.

7.1.2. Пенсионному фонду России.

7.1.3. Негосударственным пенсионным фондам.

7.1.4. Предприятиям группы компаний «АБВ».

7.1.5. Страховым компаниям.

7.1.6. Кредитным организациям.

7.1.7. Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления.

7.1.8. Саморегулируемым организациям.

7.2. Оператор не поручает обработку персональных данных другим лицам на основании договора.

Дальше включим раздел со сведениями о реализуемых мерах по защите ПДн.

8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

8.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

8.1.1. Назначением ответственных за организацию обработки персональных данных.

8.1.2. Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.

8.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.

8.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

8.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

8.1.6. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

8.1.7. Учетом машинных носителей персональных данных.

8.1.8. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.

8.1.9. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

8.1.10. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

8.1.11. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

8.2. Обязанности должностных лиц, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются в «Положении о порядке обработки и защиты персональных данных в ООО «АБВ» (см. п. 3.2.1).

Остались последние, но очень важные штрихи – сведения о правах субъекта.

9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

9.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:

9.3.1. Если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка.

9.3.2. При условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными.

9.3.3. Если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

9.3.4. Когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

9.3.5. Если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

9.4. Для реализации своих прав (см. пп. 7.1–7.3) и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

9.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных (см. п. 8.2).

9.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

Теперь сведения о том, куда и к кому может обратиться субъект для реализации своих прав.

10. КОНТАКТНАЯ ИНФОРМАЦИЯ

10.1. Ответственным за организацию обработки и обеспечения безопасности персональных данных в ООО «АБВ» назначен начальник отдела кадров Иванов Сергей Петрович, тел.: (123)45-67-89, e-mail: ivanovspabv.ru.

10.2. Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов персональных данных.

Территориальный орган Роскомнадзора по Москве и Московской области:

Адрес: 117997, Москва, Старокаширское шоссе, д. 2, корп. 10, ГСП-7. 

Тел.: (495) 957-08-20. 

Факс: (495) 957-08-48. 

E-mail: rsockanc77@rsoc.ru

Сайт: 77.rsoc.ru

Территориальный орган Роскомнадзора по Республике Карелия:

Адрес: 185910, Республика Карелия, г. Петрозаводск, ул. Балтийская, 41. 

Тел.: (8142) 55-70-70. 

Факс: (8142) 55-70-89. 

E-mail: rsockanc10@rsoc.ru

Сайт: 10.rsoc.ru

Наконец, информация об ответственности за соблюдение политики и сроке ее действия.

11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Настоящая Политика разрабатывается отделом кадров и утверждается генеральным директором ООО «АБВ».

11.2. Срок действия настоящей Политики – один год с момента утверждения. По истечении срока действия (при необходимости – ранее) Политика подлежит пересмотру. Внесение изменений в Политику производит отдел кадров. Пересмотренная Политика утверждается генеральным директором ООО «АБВ».

11.3. Настоящая Политика обязательна для соблюдения и подлежит доведению до всех сотрудников Общества. Контроль за соблюдением Политики осуществляет генеральный директор ООО «АБВ».

Как обеспечить неограниченный доступ

Как уже говорилось ранее, законодательство РФ не устанавливает конкретных требований к содержанию политики, и потому при осуществлении контрольных мероприятий Роскомнадзор проверяет соблюдение других условий. В первую очередь его интересует наличие документа, а он, собственно говоря, у нас уже имеется, поэтому обратимся к иным требованиям. Для этого снова заглянем в закон, а именно в ч. 2 ст. 18.1. Там сказано, что обычный оператор «обязан опубликовать или иным образом обеспечить неограниченный доступ» к своей политике, а оператор, осуществляющий сбор ПДн с использованием информационно-телекоммуникационных сетей, должен разместить ее в соответствующей информационно-телекоммуникационной сети, «а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационнотелекоммуникационной сети».

С информационно-коммуникационными сетями все в целом понятно: речь в 99,9 % случаев идет об Интернете. И оператор, осуществляющий сбор ПДн через эту сеть, должен опубликовать свою политику на собственном сайте, сделать на нее ссылку на странице, с использованием которой такой сбор производится, либо демонстрировать политику непосредственно перед началом процедуры сбора (идеальный вариант: субъект после ознакомления ставит «галочку», и информация об этом где-то хранится). Но как быть тем, кто данные через Интернет не собирает?

Практика проверок показывает, что проще всего приходится операторам, имеющим в Интернете собственный веб-сайт: размещение на нем политики оценивается Роскомнадзором как «неограниченный доступ». Позиция несколько спорная, поскольку такое опубликование ограничивает число субъектов, способных ознакомиться с документом, теми, у кого имеется доступ к сети Интернет. Альтернативой признается опубликование политики в СМИ, например в местной газете, но это мероприятие не бесплатное, да и перечень изданий, в которых публикация будет «засчитываться», законом не установлен. Остается воспользоваться третьим вариантом – «иным образом обеспечить неограниченный доступ»: разместить политику на информационном стенде оператора, расположенном в зоне открытого доступа, т. е. до турникетов и пунктов пропускного контроля.

Следуя этим нехитрым советам, любой оператор может разработать качественный документ, тогда регулятор, проверяющий его, отметит соответствие требованиям законодательства, а субъект, при случае прочитавший политику, будет удовлетворен хорошим отношением к себе и заботой о безопасности его личных данных со стороны оператора.