Минцифры России направило методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных. Рекомендации содержат тезисы, которые могут быть интересны и другим категориями операторов персональных данных, включая работодателей в целом (Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 28 августа 2020 г. № ЛБ-С-074-24059).
Так, приведен список актов, которые работодателю рекомендуется издать по вопросам работы с персональными данными:
- политику оператора персональных данных в отношении обработки персональных данных;
- положение об обработке и защите персональных данных;
- обязательство о соблюдении режима конфиденциальности персональных данных;
- перечень должностей сотрудников, имеющих доступ к персональным данным;
- приказ о назначении лица, ответственного за организацию обработки персональных данных;
- приказ об утверждении мест хранения материальных носителей персональных данных.
Приведен также перечень рекомендованных структурных компонентов политики организации в отношении обработки персональных данных и их примерное содержание.
Кроме того, чиновники рекомендовали указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Закона о персональных данных, а также в случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), цели осуществляемой передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
Рекомендовано хранение персональных данных осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также указывать сроки хранения персональных данных и иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
По вопросу о возможности предоставления согласия на обработку персональных данных в электронной форме в ведомстве отмечают, что такое согласие может быть дано, если иное не установлено федеральным законом, в любой позволяющей подтвердить факт его получения форме, в том числе в письменной форме, с использованием электронной цифровой подписи, акцептирования публичной оферты, получения на мобильный телефон и (или) электронную почту уникальной последовательности символов и иными способами и формами. Вместе с тем, в случаях, когда Законом о персональных данных предусмотрена обработка персональных данных только с согласия в письменной форме субъекта персональных данных, то равнозначным признается только согласие в форме электронного документа, подписанного электронной подписью.
Письменная форма согласия должна включать в себя цель обработки персональных данных, а согласие субъекта персональных данных на обработку его персональных данных может включать в себя только одну цель обработки персональных данных. Указанная норма является императивной и не подлежит расширенному толкованию. При обработке персональных данных субъекта в случаях, требующих составления письменной формы согласия в соответствии с ч. 4 ст. 9 Закона о персональных данных, указанное согласие составляется отдельно для каждой из целей обработки персональных данных.
"Источник: информационно-правовой портал ГАРАНТ.РУ".
