Образ ответа можно посмотреть в телеграм.
В соответствии с ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» (далее - Федеральный закон №152-ФЗ) оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, в частности издание оператором, являющимся юридическим лицом документов, определяющих политику оператора в отношении обработки персональных данных (далее - Политика в отношении обработки персональных данных), локальных актов по вопросам обработки персональных данных (далее - Положение об обработке персональных данных работников), а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Также, согласно ч. 2 ст. 18.1 Федерального закона №152-ФЗ, оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
При этом, в случае сбора персональных данных с использованием информационно-телекоммуникационных сетей, оператор обязан опубликовать указанный документ в соответствующей информационно телекоммуникационной сети, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (далее - ИТС).
На основании изложенного сообщаем, что требование о наличии документа, определяющего политику в отношении обработки персональных данных, и обеспечения неограниченного доступа к нему предъявляется ко всем операторам вне зависимости от способа сбора персональных данных.
При этом обязательное требование о предоставлении возможности доступа к указанному документу с использованием средств соответствующей ИТС касается только операторов, осуществляющих сбор персональных данных с использованием ИТС.
Дополнительно сообщаем, что определение структурного и содержательного наполнения Политики в отношении обработки персональных данных отнесено к компетенции оператора.
