Политика конфиденциальности. Рекомендации от Национального центра защиты персональных данных Беларуси

Правильное понимание, что такое политика конфиденциальности и для чего она нужна, будет полезно как субъектам персональных данных, так и операторам.

Со вступлением в силу Закона от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) не прекращается работа по реализации его норм на практике. Так, уже создан и активно действует Национальный центр защиты персональных данных Беларуси (НЦЗПД), и, хотя сайт органа еще в активной разработке, это не мешает ему освещать актуальную информацию через иные каналы связи. К примеру, был создан телеграм-канал НЦЗПД.

При этом Национальным центром уже подготовлены Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее – Рекомендации). Рассмотрим, как по мнению НЦЗПД необходимо готовить документ.

Как составить текст политики конфиденциальности

Форма политики законодательством не утверждалась, но преду­смотрена абз. 3 п. 3 ст. 17 Закона, и на основании п. 6 Рекомендаций должна включать в себя:

– общие положения;

– цели и правовые основания обработки персональных данных;

– категории субъектов персональных данных, чьи данные подвергаются обработке, а также перечень обрабатываемых персональных данных;

– порядок и условия обработки персональных данных, в т.ч. срок хранения персональных данных;

– права субъектов персональных данных;

– трансграничную передачу персональных данных.

Информацию необходимо изложить в свободной форме, при этом документ должен содержать все те сведения, которые требует закон.

Важно: политика конфиденциальности организации — это документ, где понятно и доступно рассказывается субъектам, чьи персональные данные обрабатываются, о том, что происходит с его персональными данными, зачем они нужны и как используются.

К обязанности оператора относится обеспечение неограниченного доступа к политике. Это может реализовываться через размещение документа на сайте (при его наличии у оператора) или в иных легко обозримых местах.

Важные моменты

В общем разделе необходимо указывать, к какой компании относится политика, на какие бизнес-процессы она распространяется (например, для пользователей сайта).

Приступая к описанию целей и оснований обработки, нужно учитывать, что информация должна формулироваться конкретно, нельзя указывать абстрактные или общие цели, по которым субъект не может понять, для чего обрабатываются его персональные данные.

Примером правильного формулирования целей может служить:

– обработка информации (резюме) кандидата на трудоустройство;

– обработка персональных данных в процессе трудовой деятельности;

– идентификация зарегистрированного пользователя (на конкретном ресурсе);

– рассмотрение обращений;

– реализация действующих систем единовременных и накопительных скидок и бонусов на оказываемые услуги, акций и программ лояльности.

Категории субъектов — это указание на лиц, чьи персональные данные обрабатываются. В частности, это могут быть работники, их родственники, кандидаты на трудоустройство, покупатели, пациенты и др.

Порядок обработки персональных данных включает описание действий оператора с персональными данными, а также источник их получения. Здесь также может указываться, какие технические меры по защите персональных данных предпринимает оператор. Отдельно указываются сроки хранения персональных данных.

Раздел права субъектов персональных данных включает механизмы подачи заявлений субъектами персональных данных и порядок их рассмотрений оператором. Права субъектов закреплены в главе 3 Закона.

При намерении осуществлять трансграничную передачу персональных данных оператором отражаются в политике отдельно для каждой цели:

– субъекты в иностранных государствах, которым персональные данные могут передаваться, и способ связи;

– страны, на территории которых находятся такие субъекты;

– основания для трансграничной передачи.

Стоит отметить, что составление политики конфиденциальнос­ти очень важно. Она защищает субъектов персональных данных и помогает компаниям работать без нареканий со стороны законодательства.

С рекомендациями НЦЗПД можно ознакомиться в банке данных «Правоприменительная практика» ИПС «ЭТАЛОН-ONLINE».


Подробнее на сайте Экономической газеты:
https://neg.by/novosti/otkrytj/politika-konfidencialnosti-rekomendacii-ot-nacionalnogo-centra--zaschity-personalnyh-dannyh-belarusi