Вопрос: Законом о персональных данных определено, что их оператор - юридическое лицо должен иметь документы, определяющие политику организации в отношении обработки таких данных. Достаточно ли для выполнения этой обязанности Положения об обработке, защите и хранении персональных данных? (журнал "Отдел кадров коммерческой организации", N 11, ноябрь 2017 г.)

Законом о персональных данных определено, что их оператор - юридическое лицо должен иметь документы, определяющие политику организации в отношении обработки таких данных. Достаточно ли для выполнения этой обязанности Положения об обработке, защите и хранении персональных данных?

В.П. Кузнецова,

эксперт журнала "Отдел кадров

коммерческой организации"

Журнал "Отдел кадров коммерческой организации", N 11, ноябрь 2017 г., с. 72-73.

Нет, недостаточно. В организации должен быть отдельный документ, определяющий ее политику в области обработки персональных данных.

Обоснование. В соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) к обязанностям оператора персональных данных относится в том числе издание документа, определяющего политику оператора в отношении обработки таких данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации.

Контроль исполнения этой обязанности осуществляют органы Роскомнадзора. И по их требованию оператор обязан представить перечисленные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных ст. 18.1 Закона N 152-ФЗ.

Согласно ст. 3 Закона N 152-ФЗ оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка таких данных работников или клиентов компании. То есть, по сути, операторами персональных данных являются все организации. Значит, документ, устанавливающий политику в отношении обработки таких данных, должен быть в каждой организации.

Что же это за документ? Не стоит путать его с положением о персональных данных. У оператора персональных данных в силу той же ст. 18.1 должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений.

Многие организации этот документ так и называют - "Политика в отношении обработки персональных данных". До недавнего времени он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом N 152-ФЗ (далее - Рекомендации).

1 ноября 2017 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.