Перечень документов, представление которых необходимо для достижения целей и задач проведения проверки. За перечень спасибо Максиму Лагутину и его статье источнику на cossa.ru.

С целью проверки соблюдения проверяемым юридическим лицом (далее –Оператор) требований законодательства в области персональных данных (далее – ПДн) необходимо, чтобы Оператор представил следующие документы или заверенные копии документов в пронумерованном порядке, полностью совпадающим с нумерацией соответствующего пункта Перечня.

1. Общие сведения

1.1. Копия документа о назначении законного представителя Оператора, уполномоченного представлять интересы юридического лица при проведении проверки.

1.2. Справка о статусе Оператора как субъекта малого предпринимательства с указанием типа предприятия (малое предприятие, микропредприятие, иное).

1.3. Копия Устава юридического лица.

1.4. По каждому из видов деятельности Оператора, перечисленных в Уставе Общества указать:

– категории субъектов ПДн, ПДн которых обрабатываются;

– перечень обрабатываемые категории ПДн отдельно по каждой категории субъектов ПДн;

– цели обработки ПДн по каждой категории субъектов ПДн;

– информационную систему ПДн (далее – ИСПДн), в которой осуществляется обработка ПДн, отдельно по каждой категории субъектов ПДн;

– правовое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта, иное).

1.5. Справка о правовых основаниях осуществления обработки ПДн без подачи Уведомления об обработке ПДн с приложением подтверждающих документов (в случае непредставления Уведомления);

1.6. Документы, позволяющие установить адрес местонахождения, территориальное расположение зданий, сооружений, помещений, офисов и т.п., принадлежащих Оператору либо арендуемых Оператором и сдаваемых в субаренду другим лицам. Приложить копии договоров аренды со всеми приложениями в отношении адреса фактического осуществления деятельности, документы и схемы, позволяющие точно разграничить офисные помещения (рабочие места), используемые Оператором единолично и/или совместно с субарендаторами.

1.7. Копия штатного расписания (действующего на момент проверки).

1.8. Справка, в соответствии со штатным расписанием, о структурных подразделениях, в которых Оператором организована обработка ПДн: их адрес местонахождения, этаж, № кабинета, контактная информация.

1.9. Копию документа о назначении ответственного за организацию обработки ПДн. Копия должностного регламента (должностные обязанности) или должностная инструкция ответственного за организацию обработки ПДн.

1.10. Копии документов, определяющих политику Оператора в отношении обработки ПДн;

1.11. Все изданные Оператором действующие локальные акты, отражающие следующие вопросы обработки ПДн (в случае издания общего документа указать соответствующий пункт, раздел и т.п.):

1) Цели обработки ПДн;

2) Правое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта);

3) Категории субъектов ПДн, чьи ПДн обрабатываются;

4) Категории ПДн по каждой категории субъектов ПДн соответственно;

5) Описание порядка, способов и методов обезличивания ПДн, для каких целей осуществляется обезличивание ПДн, в отношении каких субъектов ПДн и категорий ПДн осуществляется обезличивание;

6) Срок обработки ПДн субъектов ПДн (в электронной форме, на материальных носителях);

7) Срок хранения ПДн субъектов ПДн (в электронной форме, на материальных носителях);

8) Места хранения материальных носителей ПДн;

9) Условия уничтожения ПДн субъектов ПДн и порядок его осуществления (в электронной форме, на материальных носителях), копии актов об уничтожении ПДн;

10) Перечень лиц, имеющих доступ и непосредственно допущенных к работе с ПДн субъектов ПДн (в электронной форме, на материальных носителях).

1.12. Копии локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

1.13. Копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн;

1.14. Копии документов, подтверждающих осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам оператора.

1.15 Копии документов, подтверждающих осуществление ознакомления работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

1.16. Типовые формы документов (анкеты, опросные листы и т.п.), характер информации в которых предполагает или допускает включение в них ПДн. Приказы, утверждающие указанные типовые формы

1.17. Копии журналов (реестров, книг), содержащих ПДн, необходимых для однократного пропуска субъекта ПДн на территорию, на которой находится Оператор;

1.18. Документы, подтверждающие принятие мер при обработке персональных данных по обеспечению в отношении каждой категории персональных данных возможности определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

1.19. Документы, подтверждающие принятие мер по обеспечению раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

1.20. Документы, подтверждающие принятие мер по соблюдению условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ при хранении материальных носителей. Представить установленный Оператором перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также представить перечень лиц, ответственных за реализацию указанных мер.

1.21. Документы, подтверждающие информирование лиц, осуществляющих обработку ПДн без использования средств автоматизации (сотрудников Оператора и (или) лиц, осуществляющих такую обработку по договору с Оператором) о факте обработки ими ПДн, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Оператора (при их наличии).

1.22. Копии подписанных письменных согласий субъектов ПДн (по одному по каждой категории субъектов ПДн) на обработку их ПДн, в том числе копии подписанных письменных согласий субъектов ПДн на обработку биометрических ПДн, специальных категорий ПДн, на принятие решений на основании исключительно автоматизированной обработки ПДн, на осуществление трансграничной передачи ПДн на территорию иностранного государства, не обеспечивающего адекватную защиту ПДн.

1.23. Материальные носители (заполненные анкеты, заявления, резюме и т.п.) содержащие ПДн, полученные от субъектов ПДн, отдельно для каждой категории субъектов.

1.24. Материальные носители (заполненные анкеты, заявления, резюме и т.п.), содержащие ПДн, полученные на законном основании (договор, закон и иное), отдельно для каждой категории субъектов.

1.26. Сведения, подтверждающие правомерность обработки биометрических ПДн. Приложить подтверждающие документы.

1.27. Сведения, подтверждающие правомерность обработки специальных

категорий ПДн. Приложить подтверждающие документы.

1.28. Сведения, подтверждающие правомерность принятия решений на основании исключительно автоматизированной обработки ПДн. Приложить подтверждающие документы.

1.29. Сведения, подтверждающие правомерность осуществления трансграничной передачи персональной данных. Приложить подтверждающие документы.

1.30. Сведения, подтверждающие правомерность осуществления обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации. Приложить подтверждающие документы.

1.31. Справка о порядке получения Оператором согласия субъекта ПДн на предоставление доступа неограниченному кругу лиц к его ПДн в случае необходимости такого доступа.

1.32. Справка о порядке осуществлении обработки ПДн в случаях, необходимых для защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн.

1.33. Копии договоров, одной из сторон которых является субъект ПДн (работник, клиент и т.п.), по одному договору для каждой категории субъектов.

1.34. Копии всех договоров, заключенных с третьими лицами, касающихся поручения (поручение обработки другому лицу и обработка по поручению другого лица) на обработку ПДн, по одному договору для каждой категории субъектов.

1.35 Копии обращений от граждан (за два последних календарных года, включая текущий) по вопросам уточнения, удаления, уничтожения ПДн, рассмотренные Оператором. Копии ответов Оператора и принятые меры по обращениям граждан с приложением копий документов о принятых мерах.

2. Кадровый блок

2.1. Справка о порядке поиска и подбора персонала с приложением подтверждающих документов. В справке в отношении ПДн соискателей на замещение вакантных должностей указать: источник получения ПДн; правовое основание обработки; цель обработки; порядок получения, записи, использования хранения (место хранения, испдн); лиц имеющих доступ; порядок и условия уничтожения. Дополнительно указать лиц, которым осуществляется передача ПДн, а также поручение обработки ПДн, приложить копии договоров со всеми приложениями.

2.2. Форма согласия соискателя на замещение вакантной должности на обработку ПДн. Копию заполненной формы, содержащую ПДн соискателя.

2.3. Форма согласия посетителя офиса на обработку ПДн. Копию заполненной формы, содержащую ПДн посетителя.

2.4. Форма согласия работника Оператора на обработку ПДн. Копию заполненной формы, содержащую ПДн работника.

2.5 Форма согласия родственников работников на обработку ПДн. Копию заполненной формы, содержащую ПДн родственников работников

2.6 Справка о составе документов, входящих в личное дело работника Оператора.

2.7 Справка о порядке передачи ПДн работников третьим лицам. С приложением подтверждающих документов.

2.8 Справка о порядке оформления зарплатного проекта с приложением следующих документов. Приложить Копию договора, заключенного с банком.

2.9. Справка об осуществлении медицинского страхования работников и их родственников с приложением копии договора.

2.10. Справка о порядке оформления и бронирования гостиничных номеров, проездных билетов и т.п. при командировании работников с приложением подтверждающих документов.

2.11 Справка о сроках хранения личных дел уволенных работников Оператора до момента их передачи на архивное хранение, осуществляемое в соответствии с законодательством об архивном деле в Российской Федерации (далее – архив), а также до момента поручения хранения личных дел третьему лицу. Указать состав документов работников, передаваемых в архив (третьему лицу, осуществляющему хранение документов по поручению Оператора). Копии документов, устанавливающих порядок ведения (отнесение к архиву) архивного хранения в соответствии с законодательством об архивном деле в Российской Федерации (при наличии).

2.12. Копии договоров, заключенных с третьими лицами, касающихся поручения на обработку ПДн работников, родственников работников.

2.13. Справка о порядке обработки ПДн уволенных работников.

3. Информационные системы ПДн

3.1. Перечень информационных систем ПДн, обрабатывающих ПДн всех категорий субъектов ПДн.

3.2 Сведения о местонахождении (адрес) баз данных информации Оператора, содержащих персональные данные граждан Российской Федерации. Описание информационных систем, с указанием наименования, версии ПО, разработчика ПО, места нахождения компонент.

3.3. Перечень субъектов ПДн, перечень групп субъектов ПДн, обрабатываемых в ИСПДн, если субъекты ПДн объединяются в группы.

3.4. Источники получения ПДн по каждой категории субъектов ПДн соответственно (сам субъект их предоставил или они получены другим законным путем).

3.5. перечень категорий ПДн субъектов ПДн обрабатываемых в ИСПДн.

3.6. Описание и назначение ИСПДн, в которой осуществляется обработка ПДн по каждой категории субъектов ПДн. Инструкция к ИСПДн, руководство пользователя и любые аналогичные документы по функционалу ИСПДн, порядку доступа, резервирования.

3.7. Перечень операций, действий, совершаемых с ПДн субъектов ПДн в ИСПДн.

3.8. Описание порядка обработки ПДн (пошаговое описание порядка ввода, сбора, загрузки, хранения, чтения, использования, передачи, доступа,

распространения, изменения, удаления, уничтожения) в ИСПДн по каждой категории субъектов ПДн соответственно.

3.9. Информация о порядке резервного копирования информации, включая периодичность копирования, порядок и места хранения резервных копий и порядок уничтожения резервных копий.

3.10. Описание технологического и информационного сопровождения ИСПДн.

3.11. Копии договоров аренды серверных мощностей, используемых для размещения баз данных ПДн.

3.12. Копии документов подтверждающих наличие собственных серверных мощностей, на которых размещены базы данных ПДн;

3.13. Сведения и документы о лице (лицах) в ведении которого находятся обслуживание, администрирование, использование серверных мощностей, на которых размещены база данных ПДн абонентов.

3.14. Заверенную блок-схему обмена информации, содержащей ПДн субъектов ПДн, отражающую направления информационных потоков и участников информационного обмена, с указанием наименования ИСПДн, адреса размещения базы данных и серверных мощностей.

4. Интернет-сервисы (Яндекс.Метрика, Google Analytics и т.п.), мобильные приложения.

4.1. Справка об используемых на сайтах Оператора интернет-сервисах, разработанных и принадлежащих Оператору, а также разработанных и принадлежащих сторонним организациям, с помощью которых обрабатываются данные о посетителях и пользователях сайтов Оператора, с указанием назначения и функционала интернет-сервисов.

4.2. Приложить копии договоров, заключенных с указанными в п. 4.1 сторонними организациями и все изданные приложения к договорам.

4.3. Справка о функционале используемых интернет-сервисов в части, касающейся сбора данных о посетителях на сайтах и в мобильных приложениях Оператора, отдельно по каждому сервису.

4.4. Перечень данных о посетителях и зарегистрированных пользователях сайтов и мобильных приложений Оператора, получаемых при помощи указанных сервисов, отдельно по каждому сервису. Приложить подтверждающие документы.

4.5. Сведения о базах данных (их адрес, кому принадлежат) на которых хранятся данные, полученные с помощью интернет-сервисов, когда и как уничтожаются данные.

4.6. Копии документов и локальных актов, изданных Оператором, по вопросам обработки ПДн пользователей мобильных программных приложений Оператора. Копии технической документации по функционалу мобильных приложений Оператора. Справку о содержании данных пользователей, обрабатываемых в мобильных приложениях Оператора для операционных систем iOS, Android, Windows, с указанием мест хранения данных, целей обработки, лиц, которым данные передаются, сроках обработки и хранения, порядка и условий уничтожения;

4.7. Копии договоров со всеми приложениями, заключенные с третьими лицами, на основании которых оказываются услуги рекламного характера, осуществляется передача данных посетителей, пользователей сайтов, клиентов (физических лиц) Оператора. Копии договоров, на основании которых осуществляется передача статистических обезличенных данных, полученных после агрегации и любой другой модификации (изменения) данных посетителей, пользователей сайтов, клиентов Оператора.

4.8. Перечень сайтов принадлежащих Оператору.

Под данными посетителей и зарегистрированных пользователей сайтов и мобильных приложений Оператора понимаются все данные о посетителях, собираемые с помощью функционала указанных сервисов, а также те данные, которые сервисы сами собирают и обрабатывают на своих вычислительных мощностях, а именно: псевдоним пользователя, адрес пользователя или адрес устройства пользователя, посредством которого пользователь зашел на сайт Оператора, а также сведения о пользователе, включающие ip-адрес, поисковые запросы пользователя, интернет-адреса веб-страниц, посещаемых пользователем, тематику информации, размещённой на посещаемых пользователем интернет-ресурсах Оператора, идентификатор пользователя, преобразованный Оператором при помощи хеш-функции или других модификаций, географический адрес точки подключения пользователя к сети Интернет, информация, не позволяющая однозначно идентифицировать пользователя или конкретное физическое лицо, но обеспечивающая формирование достаточного для предоставления пользователю рекламной информации.

4.9 Документы, устанавливающие порядок резервного копирования информации, содержащей ПДн.

По многочисленным просьбам трудящихся вебмастеров и владельцев сайтов мы опубликовали бесплатный образец Политики конфиденциальности для сайтов с формой обратной связи, подписки или заказа звонка.
Решились на такой шаг, потому что данная форма Политики не предусматривает обработку персональных данных, и в результате не предполагает большой вариативности решения. Важно помнить, что она не подходит для сайтов, на которых обрабатываются ПДн. Например, интернет-магазины и прочие сервисы, на которых помимо номера телефона или email пользователем дополнительно предоставляются иные сведения о себе, требуют большего внимания к вопросам обработки персональных данных.
Поэтому мы подумали над вариантами составления «народной» Политики конфиденциальности с обработкой ПДн. Простым шаблоном здесь не обойдешься. Взяли за основу вышедшие в 2017 году Рекомендации Роскомнадзора (далее – «Рекомендации») по составлению документа, определяющего политику оператора в отношении обработки персональных данных (далее – «Политика). Дополнили ее живыми примерами.
Смотрим, что получилось.
Пролистываем первые 2 раздела Рекомендаций в связи с их бессодержательностью
В разделе 1 Роскомнадзора заявляет, что Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме Политики. Охотно верим и следуем пожеланиям ведомства для облегчения дальнейшей работы с ревизорами.
В разделе 2 процитированы основные понятия из ФЗ «О персональных данных». Пропускаем за ненадобностью. При желании в Политику лучше ввести собственные термины, уточняющие легальные.
В разделе 3 наконец пошли долгожданные советы по структуре и наполнению Политики. Остановимся на них подробно.

Общие положения Политики

В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.
По задумке авторов Рекомендаций Политика, как любой серьезный документ, должна иметь внушительные размеры, чтоб все прониклись уважением и трепетали от одного ее упоминания.

Итак, начнем с определений. Чтоб не повторять ФЗ 152, предлагаем делать отсылки к конкретным пунктам и разделам Политики, которые конкретизируют используемые понятия. Ниже приведен пример с терминами и определениями Политики конфиденциальности для интернет-магазина.
1.1. В настоящем документе и вытекающих или связанных с ним отношениях Сторон применяются следующие термины и определения:
Персональные данные – предоставляемые субъектом персональных данных или его представителем данные, объем и состав которых указаны в п.Х.Х. Политики.
Администрация – ООО «Ромашка», ИНН ХХХ, ОГРН ХХХ, Адрес: ХХХХХ, в законном владении и/или управлении которого находится Сайт. В предусмотренных настоящей Политикой случаях Администрация выступает в качестве оператора персональных данных.
Пользователь – лицо, использующее Сайт в целях заключения и/или исполнения Договоров.
Договор – пользовательское соглашение использование Сайта, договор купли-продажи, договор поставки, договор перевозки и/или иное соглашение, предлагаемое к заключению и/или заключенное Пользователем на основании любой оферты, размещенной на Сайте.
Обработка персональных данных – действие (операция) или совокупность действий (операций) с персональными данными, перечисленные в п.Х.Х. Политики.
Сайт – автоматизированная информационная система, доступная в сети Интернет по сетевому адресу: /URL/.
1.2. В настоящей Политике используются термины и определения, предусмотренные Соглашением, а также иными заключаемыми с Пользователем Договорами, если иное не предусмотрено настоящей Политикой или не вытекает из ее существа. В иных случаях толкование применяемого в Политике термина производится в соответствии с действующим законодательством Российской Федерации, или обычаями делового оборота.

Цели сбора персональных данных

Согласно Рекомендациям, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Если нет желания вставать на учет в Роскомнадзоре и проходить последующие обязательные проверки, мы предлагаем связать все цели обработки ПДн с заключением и исполнением договоров.
Роль такого договора может выполнять Пользовательское соглашение, принимаемое всяким пользователем в начале использования Сайта, либо иное соглашение, предлагаемое владельцем Сайта.
В результате мы получаем достаточно стандартный набор целей:

1. Заключение с пользователем договоров на использование или с использованием Сайта.
2. Идентификация пользователя в рамках исполнения обязательств по заключенным с ним договорам.
3. Исполнение обязательств по заключенным договорам, включая предоставление пользователю доступа к Сайту и технической поддержки, использование пользователем функциональных возможностей Сайта.
4. Выставление счетов и возврат остатка денежных средств в случае расторжения заключенных с пользователем возмездных договоров.
5. Нотификация в рамках информационного обслуживания, рассылок и улучшения качества обслуживания по заключенным Договорам, в том числе с привлечением третьих лиц.

Правовые основания обработки персональных данных

Согласно разъяснению Роскомнадзора, правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
При наличии указанной выше связки в качестве правового основания обработки персональных данных могут быть указаны договоры, заключаемые между оператором и субъектом персональных данных.
Если ПДн обрабатываются в иных целях, в качестве основания необходимо указывать отдельное согласие на обработку персональных данных.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Роскомнадзор предупреждает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
С учетом данных рекомендаций Роскомнадзора указываем в Политике те сведения, персонального характера, которые вы собираете с использованием Сайта.
В первую очередь приводим данные из полей онлайн-форм обратной связи, заказа, подписки и регистрации. Затем обращаем пристальное внимание на состав информации, вносимой пользователем при заполнении профиля в личном кабинете.
Дополнительно указываем данные, которые запрашиваются поддержкой или отделом продаж при оформлении или обработке заявок по телефону или в местах обслуживания.

Порядок и условия обработки персональных данных

В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки могут включать:
а) автоматизированную обработку персональных данных
б) обработку персональных данных без использования средств автоматизации.
Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники.
Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687.
В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2).
Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки — обработку персональных данных без использования средств автоматизации.
Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.
В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.
Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных». Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.
Далее Роскомнадзор рекомендует указывать условия передачи персональных данных в адрес третьих лиц. Важный момент. Обычно данный перечень сводится к следующим основаниям передачи ПДн:

• Пользователь выразил свое согласие на такие действия;
• Передача требуется для заключения и исполнения договоров на или с использованием Сайта;
• По запросу суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
• Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.

В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде.
Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Роскомнадзор рекомендует включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.
В таких случаях обычно указывают, что пользователь вправе в любой момент самостоятельно отредактировать в своем личном кабинете предоставленную им информацию. В случае прекращения заключенного договора, пользователь вправе удалить собственный личный кабинет самостоятельно либо обратившись в службу поддержки по адресу электронной почты ХХХ@ХХХ.ХХ.
При желании можно ужесточить условия регламента обработки запросов на изменение/удаление ПДн, требуя от пользователя высылать ценные письма на ваш адрес в Бобруйске.
Таковы основные Рекомендации в отношении формы и содержания Политики.

Обработка обезличенных данных

Заслуживает внимания тот факт, что Роскомнадзор, как всегда, обошел вопрос обработки не менее важных для пользователей данных, которые не считаются персональными. Речь идет об информации, собираемой на сайте в автоматическом режиме: cookie, IP, сведения об устройстве и месте его расположения, и т.п.
По всей видимости, Роскомнадзор упорно не хочет раскрывать состав ПДн даже методом исключения через сведения, не относящиеся к персональным. Однако на практике в Политику конфиденциальности принято включать уведомление и порядок обработки таких данных в целях наиболее полного информирования пользователя о последствиях использования сайта.
Ниже пример такого уведомления.
Вы осознаете и принимаете возможность использования на Сайте программного обеспечения третьих лиц, в результате чего такие лица могут получать и передавать данные в обезличенном виде.
К указанному программному обеспечению третьих лиц относятся системы сбора статистики посещений Google Analytics.
Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц определяются непосредственно их правообладателями и могут включать:
Полое описание условий обработки обезличенных данных можно посмотреть в образце Политики конфиденциальности, с которого мы начали свою статью.
Желаем вам успехов в разработке собственной Политики конфиденциальности в соответствии с рекомендациями Роскомнадзора и выработанными на практике подходами.