01 Июля 2025, 06:41
119

Издание политики обработки персональных данных

В соответствии с пп. 2, 6 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПД) оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о ПД и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о ПД и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о ПД или другими федеральными законами. К таким мерам, в частности, относятся:

  • издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных (далее – Политика обработки ПД). Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;
  • ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с Политикой обработки ПД.

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к Политике обработки ПД. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, Политику обработки ПД (ч. 2 ст. 18.1Закона о ПД).

Таким образом, образовательная организация как оператор персональных данных обязана принимать меры, необходимые и достаточные для выполнения требований законодательства в области персональных данных, в том числе издать Политику обработки ПД, ознакомить с ней работников, непосредственно осуществляющих обработку персональных данных, а также опубликовать или иным образом обеспечить неограниченный доступ к Политике обработки ПД.

Законодательством в области персональных данных требования к содержанию Политики обработки ПД отсутствуют, однако Роскомнадзором на официальном сайте в информационно-телекоммуникационной сети «Интернет» размещены Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Рекомендации).

На основании п. 3 Рекомендаций в Политику обработки ПДрекомендуется включить следующие структурные компоненты:

  1. Раздел «Общие положения», в котором рекомендовано описать назначение Политикиобработки ПД, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта(ов) персональных данных.
  2. Раздел «Цели сбора персональных данных», которые должны быть конкретными, заранее определенными и законными. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

  1. Раздел «Правовые основания обработки персональных данных» под которыми подразумевается совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

В качестве правового основания обработки персональных данных могут быть указаны:

  • федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
  • уставные документы оператора;
  • договоры, заключаемые между оператором и субъектом персональных данных;
  • согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

Закон о ПД не может служить правовым основанием обработки персональных данных оператором, поскольку указанный Закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.

  1. Раздел «Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных», который должен указывать на необходимость соответствия заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных данных могут быть отнесены, в том числе:

  • работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
  • клиенты и контрагенты оператора (физические лица);
  • представители/работники клиентов и контрагентов оператора (юридических лиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

  1. Раздел «Порядок и условия обработки персональных данных», в котором рекомендовано указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы и сроки обработки персональных данных. 
  2. Раздел «Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным», в который в дополнение к раскрытию названных сведений следует включить регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

Таким образом, по нашему мнению, образовательной организации при издании Политики обработки ПД следует руководствоваться Рекомендациями Роскомнадзора и включить в нее следующие разделы: общие положения, цели сбора персональных данных, правовые основания, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, порядок и условия обработки персональных данных, актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.