Национальный центр защиты персональных данных рекомендует

Язык политики

Политика должна быть написана простым, ясным и доступным языком. Она должна отражать особенности обработки персональных данных у конкретного оператора. Субъект обработки персональных данных должен понимать суть и параметры обработки персональных данных.

Национальный центр защиты персональных данных рекомендует избегать абстрактных и неоднозначных формулировок, а также слов «может», «вероятно», «некоторый», «часто», «возможно», «в зависимости от ситуации».

Где размещать политику на сайте?

Национальный центр защиты персональных данных рекомендует размещать политику на сайте не ниже второго уровня, а также на иных интернет-ресурсах.

А если нет сайта?

При отсутствии сайта у оператора Национальный центр защиты персональных данных рекомендует обеспечить неограниченный доступ к политике, например, на информационных стендах или иными способами. 

Что включать в политику?

В политику рекомендуется включать следующую информацию:

1. Общие положения (наименование оператора, основные понятия, отражающие специфику обработки персональных данных, бизнес-процессы, на которые распространяется действие политики).
2. Цели и правовые основания обработки персональных данных (цели обработки персональных данных могут основываться на требованиях законодательства, положениях договоров, требоваться для совершенствования бизнес-процессов и т.д.).
3. Категории субъектов персональных данных, а также перечень обрабатываемых персональных данных (например, посетители, кандидаты на трудоустройство, пациенты, пользователи интернет-сайта).
4. Порядок и условия обработки персональных данных, в том числе срок хранения персональных данных (указывается перечень осуществляемых оператором действий с персональными данными, источник получения персональных данных. Сроки хранения персональных данных отображаются в виде даты или периода времени либо в форме критериев, используемых для определения таких сроков).
5. Права субъектов персональных данных (описывается конкретный механизм подачи заявлений и порядок их рассмотрения. Указываются должностные лица оператора, ответственные за осуществление внутреннего контроля за обработкой персональных данных).
6. Трансграничная передача персональных данных (при намерении осуществлять трансграничную передачу данных в политике нужно указать субъектов (категории субъектов) в иностранных государствах с указанием возможного способа связи с ними, страны, на территории которых находятся такие субъекты, основания для трансграничной передачи данных).

С полным текстом рекомендаций по составлению документа, определяющего политику оператора в отношении персональных данных, можно ознакомиться по ссылке.