Политика приватности (она же политика конфиденциальности, или же “политика оператора в отношении обработки персональных данных”, или же “документ, определяющий политику оператора в отношении обработки персональных данных”) — одна из наиболее известных мер по защите персональных данных.
Долгое время любые вопросы приватности в рамках коммерческой деятельности компании начинались и, к сожалению, заканчивались созданием этого документа. Вместе с тем благодаря появлению новых аспектов регулирования приватности и защиты персональных данных как в Беларуси, так и в близлежащих странах, вопросы составления этого документа становятся вновь актуальными.
В рамках этого материала на примере трех различных юрисдикций (Беларусь, Россия и Европейский союз) мы рассмотрим, какие требования предъявляются к такому документу, а также составим оптимальную структуру самой Политики, которая будет являться достаточной для любой из вышеназванных юрисдикций.
1. Республика Беларусь
Разработка и издание “политики в отношении обработки персональных данных” является одной из основных мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона №99-З “О защите персональных данных” (далее — Закон №99-З). При этом такая мера применяется как к оператору, организующему обработку персональных данных, так и к уполномоченному лицу, обрабатывающему персональные данные по поручению оператора.
Вместе с тем ни Закон №99-З, ни Национальный центр по защите персональных данных (на момент написания этого материала) не предъявляют каких-то конкретных требований к структуре такого документа.
Тем не менее, представляется возможным выявить необходимую структуру этого документа исходя из двух обязательств оператора в части информирования субъекта персональных данных. Так, в соответствии со статьей 5 Закона №99-З перед взятием согласия оператор обязан сообщить субъекту персональных данных следующую информацию:
- наименование и место нахождения оператора;
- цели обработки персональных данных;
- перечень персональных данных;
- срок, на который дается согласие;
- информация об уполномоченных лицах;
- иная информация для обеспечения прозрачного характера обработки.
В то же время статья 11 Закона №99-З, устанавливающая право субъектов персональных данных на получение информации, касающейся обработки их персональных данных, устанавливает следующий объем информации обязательный к предоставлению в случае поступления соответствующего запроса:
- наименование и место нахождения оператора;
- подтверждение факта обработки персональных данных;
- персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который давалось согласие;
- наименования и местонахождения уполномоченных лиц.
Таким образом, в соответствии с белорусским законодательством структура политики приватности видится следующим образом:
- Наименование и место нахождения оператора;
- Обрабатываемые персональные данные и источник их получения;
- Цели обработки персональных данных;
- Правовые основания для обработки персональных данных;
- (только в случае использования согласия) Срок действия согласия;
- Наименования и местонахождения уполномоченных лиц;
- Иные положения по желанию оператора или в соответствии с секторальным регулированием.
Как мы можем помочь с разработкой политики конфиденциальности
2. Российская Федерация
В соответствии со статьей 18.1 Федерального закона №152 “О персональных данных” (далее — Закон №152) операторы также обязаны издавать документы, определяющие их политику в отношении обработки персональных данных. Несмотря на то, что Законом №152 содержание таких документов не определено напрямую, однако их структура становится очевидна исходя из соответствующих обязательств оператора по информированию субъекта персональных данных на основании статьи 14 (“Право субъекта персональных данных на доступ к его персональным данным”), статьи 18 (“Обязанности оператора при сборе персональных данных”), а также соответствующих рекомендаций Роскомнадзора (“Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных”).
Так, статья 14 устанавливает, что оператор обязан предоставить субъекту персональных данных следующий объем информации в случае поступления соответствующего запроса:
- подтверждение факта обработки;
- правовые основания и цели обработки;
- цели и способы обработки;
- наименование и место нахождения оператора;
- персональные данные, источник их получения;
- сроки обработки персональных данных;
- порядок осуществления субъектом персональных данных своих прав;
- информация о трансграничной передаче данных;
- сведения об уполномоченных лицах, которым поручена обработка.
Статья 18 Закона №152 предусматривает два механизма информирования субъектов персональных данных:
- в случае получения персональных данных напрямую от субъекта персональных данных → в таких ситуациях по просьбе субъекта персональных данных ему необходимо предоставить информацию, предусмотренную статьей 14 и указанную выше;
- в случае получения персональных данных не от субъекта персональных данных → в таких ситуациях до начала обработки оператор обязан предоставить субъекту персональных данных следующую информацию:
- наименование адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- применимые права субъекта персональных данных;
- источник получения персональных данных.
Таким образом, в соответствии с российским законодательством, а также в соответствии с рекомендациями Роскомнадзора структура политики приватности видится следующим образом:
- Общие положения, включая указание на оператора;
- Цели сбора персональных данных;
- Правовые основания сбора персональных данных;
- Объем и категории обрабатываемых персональных данных, источник получения персональных данных и категории субъектов персональных данных;
- Порядок и условия обработки персональных данных, включая перечень действий по обработке, сроки обработки и предполагаемых пользователей персональных данных;
- Указание на уполномоченных лиц и информация о трансграничной передаче данных;
- Порядок осуществления субъектом персональных данных своих прав;
- Иные положения по желанию оператора или в соответствии с секторальным регулированием.
Оставьте заявку на получение бесплатной консультации:
Презентация «Персональные данные»
3. Европейский союз
Несмотря на то, что GDPR не предусматривает создания политики приватности напрямую, публикация такого документа является одной из наиболее эффективных мер по реализации принципов прозрачности и подотчетности. Соответственно, статьи 13 и 14 GDPR устанавливают конкретный перечень информации, которую контроллер обязан предоставить субъекту данных перед началом обработки его/ее/их персональных данных.
Так, в случае сбора персональных данных напрямую от субъекта данных контроллер обязан предоставить следующую информацию:
- наименование и контактные данные контроллера и его представителя (если применимо);
- контактные данные инспектора по защите данных (если применимо);
- цели обработки и правовые основания;
- конкретный законный интерес (если применимо);
- получатели или категории получателей персональных данных;
- информация о трансграничной передаче данных и дополнительных юридических гарантиях;
- сроки обработки;
- информация о применимых правах субъекта данных;
- информация о права на отзыв согласия;
- информация о праве подать жалобу в контролирующий орган;
- возможные последствия непредоставления персональных данных (если применимо);
- наличие автоматизированного принятия решений (включая профайлинг).
В случае сбора персональных данных не напрямую от субъекта персональных данных статья 14 GDPR добавляет несколько пунктов к вышеуказанному списку:
- категории полученных персональных данных;
- источник получения персональных данных.
Статья 15 GDPR, касающаяся права субъектов данных на доступ к данным, в целом повторяет тот объем информации, который указан в статья 13 и 14 GDPR.
Таким образом, в соответствии с законодательством Европейского союза структура политики приватности видится следующим образом:
- Наименование и контактные данные контроллера;
- (если у контроллера есть представитель на территории ЕС) Наименование и контактные данные представителя контроллера;
- Контактные данные инспектора по защите данных (если был назначен);
- Обрабатываемые персональные данные и источник их получения;
- Цели обработки и правовые основания;
- (если используется согласие) Срок действия согласия;
- (если используется законный интерес) Указание на конкретный законный интерес;
- (если используется договор) Возможные последствия непредоставления персональных данных;
- Сроки обработки;
- Наименования и местонахождения или категории получателей персональных данных, а также информация о трансграничной передаче данных;
- Права субъектов данных, включая (если применяется согласие) право на отзыв согласия и право на подачу жалобы в контролирующий орган;
- Наличие автоматизированного принятия решений (включая профайлинг);
- Иные положения по желанию контроллера.
Оставьте заявку на получение бесплатной консультации:
4. Консолидированная версия
В случаях, когда компании необходимо обеспечить соответствие законодательству всех трех указанных юрисдикций, на наш взгляд, оптимальной будет являться следующая структура политики приватности:
- Общие положения;
- Наименование и контактные данные контроллера;
- (если у контроллера есть представитель на территории ЕС) Наименование и контактные данные представителя контроллера;
- Контактные данные инспектора по защите данных (если был назначен);
- Обрабатываемые персональные данные, источник их получения и категории субъектов данных;
- Цели обработки и правовые основания;
- (если используется законный интерес) Указание на конкретный законный интерес;
- (если используется договор) Возможные последствия непредоставления персональных данных;
- Сроки обработки;
- Действия по обработке;
- Наименования и местонахождения получателей персональных данных, предполагаемые пользователи персональных данных, а также информация о трансграничной передаче данных;
- Права субъектов данных, включая (если применяется согласие) право на отзыв согласия и право на подачу жалобы в контролирующий орган;
- Наличие автоматизированного принятия решений (включая профайлинг);
- Иные положения по желанию контроллера/оператора или в соответствии с секторальным регулированием.
Юридическая компания ЮКОН готова закрыть любые вопросы в области приватности и защиты персональных данных: от подготовки политики приватности до полного внедрения необходимых мер. Свяжитесь с нами для получения предварительной оценки: