Политика обработки персональных данных: новые рекомендации для организаций
Фото: freepik.com
Национальный центр защиты персональных данных (НЦЗПД) обновил рекомендации по составлению политики обработки персональных данных (ОПД) и продолжает мониторинг организаций в Беларуси.
Детализировать информацию для каждой цели ОПД
Когда цели, объем сведений и правовые основания ОПД находятся в разных разделах политики, гражданам бывает сложно определить, какой объем данных от них потребуется для конкретной цели. Чтобы они легче ориентировались, для каждой из целей ОПД в политике предлагается сразу же указывать категории лиц, данные которых обрабатываются, перечни таких данных, правовые основания их обработки и сроки хранения.
Разрабатывать отдельные политики по направлениям и категориям
При наличии в организации большого количества бизнес-процессов документ может оказаться слишком объемным для восприятия. В этих случаях организации целесообразно разрабатывать несколько политик – для разных направлений деятельности или категорий граждан.
Обеспечивать неограниченный доступ к политике
Доступ граждан к политике ОПД должен быть обеспечен даже при наличии у организации нескольких сайтов, мобильного приложения или страниц в соцсетях – документ должен быть доступен на каждом из информационных ресурсов. При ОПД посредством видеонаблюдения соответствующая политика может быть также размещена в общедоступных местах (например, при входе в здание, в фойе и т.п.) на бумажном носителе или в виде ссылки (QR-кода) на ее текст на сайте.
Доступ к политике ОПД в процессе трудовой деятельности может быть обеспечен без ее публикации на сайте, а, например, путем размещения ее текста в общедоступной папке на локальном сетевом хранилище, на информационном стенде организации, на странице корпоративного информационного ресурса.
Отражение информации при трансграничной передаче данных
При осуществлении трансграничной передачи персональных данных в политике для каждой цели передачи персональных данных отражаются субъекты (категории субъектов) в иностранных государствах, которым персональные данные передаются; иностранные государства, на территории которых находятся эти субъекты; правовые основания трансграничной передачи; передаваемые персональные данные. Если трансграничная передача персональных данных не осуществляется, информация об этом также отражается в политике.
Примерные формы политик
В обновленных рекомендациях НЦЗПД приводятся примерные формы:
-
политики в отношении обработки персональных данных, предусматривающей общие процессы обработки персональных данных;
-
политики обработки персональных данных в процессе трудовой деятельности;
-
политики обработки файлов cookie, издание которой необходимо для операторов (уполномоченных лиц), осуществляющих обработку не только технических cookie-файлов;
-
политики видеонаблюдения;
-
информации о правах субъектов персональных данных.
В примерных политиках за основу брались наиболее типичные процессы ОПД (безотносительно к конкретным сферам). Организация самостоятельно должна адаптировать их с учетом специфики деятельности.
Приводить ранее принятые политики в обязательное соответствие с примерными формами не требуется. Дальнейшие корректировки могут осуществляться по мере необходимости.
Мониторинг правоприменения
НЦЗПД продолжает мониторинг правоприменения законодательства об обработке и защите персональных данных. В этом году, например, изучению подверглись сайты автодилеров, туроператоров, риэлтеров. Среди нарушений, по которым проверенным организациям направлены требования об устранении: отсутствие документов, определяющих политику ОПД, обработка cookie-файлов без надлежащих правовых оснований. Пользователям важно разъяснять, как сайт использует и хранит файлы cookie и как пользователь может настроить этот процесс. Также на сайте должен быть доступен функционал по отзыву согласия на обработку этих файлов. Политику ОПД следует размещать на сайте не ниже второго уровня, т.е. либо на главной странице, либо на странице, доступной с главной.
