Роскомнадзор подготовил рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. Напомним, что в силу ст. 18.1 Закона о персональных данных оператор персональных данных обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных указанным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения данных обязанностей, если иное не предусмотрено законом. К таким мерам может, в частности, относиться издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных.
Роскомнадзор предлагает включать в такие документы следующие структурные компоненты:
- общие положения;
- цели сбора персональных данных;
- правовые основания обработки персональных данных;
- объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;
- порядок и условия обработки персональных данных;
- актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
Также рекомендовано прописать регламенты реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений