Информационная поддержка
071-317-02-91
Техническая поддержка
071-330-16-83
Приказ Министерства связи ДНР № 19 от 01.02.2022г...
Редакция: 24.02.2022
Добавить в избранное
Редакция: 24.02.2022
Приказ Министерства связи Донецкой Народной Республики № 19 от 01.02.2022г.
+

Приказ Министерства связи Донецкой Народной Республики № 19 от 01.02.2022г.

Зарегистрировано Министерство юстиции Донецкой Народной Республики № 4995 от 17.02.2022г.

Об утверждении Требований к составлению документа, определяющего политику оператора в отношении обработки персональных данных

С целью реализации пункта 3 части 31 статьи 25 Закона Донецкой Народной Республики «О персональных данных», руководствуясь подпунктом 3 пункта 1 и подпунктом 4 пункта 21 Положения о Министерстве связи Донецкой Народной Республики, утвержденного Постановлением Правительства Донецкой Народной Республики от 30.04.2020 № 22-6,

ПРИКАЗЫВАЮ:

1. Утвердить Требования к составлению документа, определяющего политику оператора в отношении обработки персональных данных (прилагается).

2. Сектору юридического сопровождения и законодательных инициатив направить настоящий Приказ на государственную регистрацию в Министерство юстиции Донецкой Народной Республики.

3. Контроль исполнения настоящего Приказа возложить на заместителя Министра связи Донецкой Народной Республики Писаренко Е. А.

4. Настоящий Приказ вступает в силу со дня его опубликования.

Министр И.Н. Халепа

Утверждены Приказом Министерства связи Донецкой Народной Республики № 19 от 01.02.2022г.

Требования к составлению документа, определяющего политику оператора в отношении обработки персональных данных

I. Общие положения

1.1. Настоящие Требования к составлению документа, определяющего политику оператора в отношении обработки персональных данных (далее - Требования), устанавливают требования к структуре и содержанию документа, определяющего политику оператора в отношении обработки персональных данных.

1.2. Используемые в Требованиях термины понимаются в значении, которое установлено Законом Донецкой Народной Республики «О персональных данных».

В Требованиях под политикой оператора в отношении обработки персональных данных (далее - Политика) понимается документ оператора, осуществляющего обработку персональных данных (далее - Оператор), который определяет цели. содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных.

1.3. Политика утверждается локальным нормативным правовым актом Оператора с целью разъяснения субъекту персональных данных механизма обработки его персональных данных Оператором и содержит следующие разделы:

а) общие положения;

б) цели сбора персональных данных;

в) правовые основания обработки персональных данных;

г) категории субъектов персональных данных и категории обрабатываемых персональных данных;

д) условия обработки персональных данных;

е) актуализация, исправление. удаление и уничтожение персональных данных, предоставление ответов на запросы субъектов персональных данных на доступ к персональным данным.

II. Требования к содержанию разделов Политики Оператора

2.1. В разделе Политики «Общие положения» указываются положения, содержащие:

а) описание назначения Политики;

б) основные понятия, используемые в Политике (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.);

в) перечисление основных прав и обязанностей Оператора и субъекта(ов) персональных данных.

2.2. В положениях раздела Политики «Цели сбора персональных данных» указываются цели сбора Оператором персональных данных, обработка которых должна ограничиваться достижением конкретных, заранее определенных и законных целей обработки Оператором персональных данных.

Цели обработки Оператором персональных данных определяются исходя из анализа нормативных правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена учредительными документами Оператора, конкретных бизнес-процессов Оператора в конкретных информационных системах персональных данных (по структурным подразделениям Оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

При этом, в соответствии с частью 2 статьи 5 Закона Донецкой Народной Республики «О персональных данных», не допускается обработка персональных данных несовместимая с целями сбора персональных данных.

В случае если предоставление персональных данных является обязательным в соответствии с законом. положения раздела Политики «Цели сбора персональных данных» должны содержать разъяснения для субъекта(ов) персональных данных о юридических последствиях отказа предоставления персональных данных.

2.3. В положениях раздела Политики «Правовые основания обработки персональных данных» Оператором указываются правовые основания обработки им персональных данных со ссылками на положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.

Кроме того, в качестве правового основания обработки персональных данных Оператором указываются:

уставные документы Оператора;

договоры, заключаемые между Оператором и субъектом персональных данных (в случае наличия);

согласие на обработку персональных данных (в случаях, которые прямо не предусмотрены законами).

При этом в положениях раздела Политики «Правовые основания обработки персональных данных» Закон Донецкой Народной Республики «О персональных данных» не может указываться в качестве правового основания обработки персональных данных.

2.4. Положения раздела Политики «Категории субъектов персональных данных и категории обрабатываемых персональных данных» должны соответствовать следующим требованиям:

а) категории субъектов персональных данных, обрабатываемых Оператором, определяются исходя из конкретной цели обработки Оператором персональных данных;

б) к категориям субъектов персональных данных, обрабатываемых Оператором, относятся:

работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;

клиенты и контрагенты Оператора (физические лица);

представители и (или) работники клиентов и контрагентов Оператора (юридических лиц);

иные категории субъектов персональных данных, определенные Оператором в соответствии с целями обработки персональных данных;

в) категории обрабатываемых Оператором персональных данных определяются для каждой категории субъектов персональных данных, обрабатываемых Оператором.

2.5. Положения раздела Политики «Условия обработки персональных данных» должны содержать следующее:

а) перечень действий, которые Оператор непосредственно совершает с персональными данными субъектов персональных данных в соответствии с заявленными им конкретными целями обработки персональных данных, например: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

б) используемый Оператором способ обработки персональных данных, предназначенный для достижения заявленных им конкретных целей обработки персональных данных, например: автоматизированный, неавтоматизированный, смешанный, без передачи по внутренней сети юридического лица, с передачей по внутренней сети юридического лица, без передачи по сети Интернет, с передачей по сети Интернет;

в) информацию о принятии Оператором мер, предусмотренных частью 2 статьи 19, частью 1 статьи 20 Закона Донецкой Народной Республики «О персональных данных»;

г) сроки обработки Оператором персональных данных в рамках достижения, заявленных им конкретных целей обработки персональных данных, включая сроки хранения персональных данных и прекращения обработки персональных данных.

При этом в соответствии с частью 7 статьи 5 Закона Донецкой Народной Республики «О персональных данных» хранение персональных данных необходимо осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Кроме того, в соответствии с частью 5 статьи 18 Закона Донецкой Народной Республики «О персональных данных» при осуществлении хранения персональных данных с использованием средств автоматизации Оператор персональных данных обязан использовать базы данных, находящиеся на территории Донецкой Народной Республики, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона Донецкой Народной Республики «О персональных данных».

При возникновении необходимости Оператором указываются иные условия хранения персональных данных, в том числе при обработке персональных данных без использования средств автоматизации.

В случае наличия взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных Оператор указывает условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Донецкой Народной Республики (трансграничная передача). При этом указываются конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

2.6. В разделе Политики «Актуализация, исправление, удаление и уничтожение персональных данных, предоставление ответов на запросы субъектов персональных данных на доступ к персональным данным» указываются положения, содержащие:

а) описание действий Оператора по актуализации персональных данных, в части их соответствия целям обработки персональных данных, в случае выявления в них неточности;

б) описание действий Оператора по прекращению обработки персональных данных Оператором при выявлении факта неправомерности их обработки;

в) описание действий Оператора по уничтожению персональных данных при достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено:

договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

соглашением между Оператором и субъектом персональных данных;

г) описание действий Оператора при обращении к нему либо при получении запроса от субъекта персональных данных или его представителя, содержащего сведения, предусмотренные частью 7 статьи 14 Закона Донецкой Народной Республики «О персональных данных». Такой запрос направляется в соответствии с требованиями части 3 статьи 14 Закона Донецкой Народной Республики «О персональных данных».

Заведующий сектором контроля и надзора
в сфере и использования информационных технологий В.М. Журавлев

НАВЕРХ