Документ, определяющий политику оператора в отношении обработки персональных данных, так и называется политикой оператора в отношении обработки персональных данных. Этот документ также может называться политикой конфиденциальности.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Итак, если сайт использует cookie файлы, или посредством сайта осуществляется сбор персональных данных, например посредством записи на прием, оператор обязан разместить на сайте политику обработки в отношении персональных данных. Этот документ может называться политикой конфиденциальности.
При этом политика обработки в отношении персональных данных должна быть размещена на всех страницах сайта, на которых осуществляется сбор персональных данных, например, на всех страницах с формой записи на прием.
Если обработка персональных данных осуществляется не в Интернете, то доступ к политике в отношении обработки персональных данных может быть обеспечен любым доступным способом (например, посредством размещения на информационном стенде).
В политике ли для каждой цели обработки ПД должны быть определены:
✓ категории и перечень обрабатываемых ПД,
✓ категории субъектов, персональные данные которых обрабатываются,
✓ способы, сроки их обработки и хранения,
✓ порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Роскомнадзор также рекомендует включить в политику:
✓правовые основания обработки ПД в отношении каждой цели обработки;
✓перечень мер, принимаемых оператором и направленных на выполнение оператором обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
✓информацию о передаче оператором ПД третьим лицам с указанием правового основания, цели, состава передаваемых данных;
✓сведения об осуществлении трансграничной передаче данных с указанием стран, на территорию которых передаются ПД;
✓способы связи с оператором для реализации прав субъектом персональных данных (электронная почта, почтовый адрес и т.д.).
Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.
Многие медицинские организации в политике полностью дублируют положения Федерального закона № 152-ФЗ, что является нарушением, считает Роскомнадзор. Политика обработки персональных данных на сайте должна предусматривать положения, касающиеся исключительно пользователей и посетителей сайта клиники. Несоответствие политики фактически осуществляемой деятельности клиники является нарушением.
Также типичным нарушением является отсутствие в политике положений о факте сбора персональных данных с использованием Google Analytics, «Яндекс.Метрика» и др., включая цели сбора персональных данных, перечень обрабатываемых персональных данных собираемых с использованием интернет-сервиса, а также цели обработки и перечень персональных данных собираемых посредством интернет- сервисов Google Analytics, «Яндекс.Метрика», осуществление трансграничной передачи персональных данных, обрабатываемых с использованием Google Analytics.
Нужно разработать политику обработки персональных данных для вашей организации или провести аудит имеющейся политики? Оставьте заявку на сайте и специалист свяжется с вами.
Любовь Кривова
Подписывайтесь на Телеграм-канал: Медицинский юрист Любовь Кривова
Вступайте в группу ВКОНТАКТЕ Медицинский юрист Любовь Кривова