МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
ПИСЬМО
от 19 октября 2021 г. N 08-71063
О РАЗЪЯСНЕНИИ ЗАКОНОДАТЕЛЬСТВА
Роскомнадзор по результатам рассмотрения обращения от сообщает следующее.
В соответствии с ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, в частности издание оператором, являющимся юридическим лицом документов, определяющих политику оператора в отношении обработки персональных данных (далее - Политика в отношении обработки персональных данных), локальных актов по вопросам обработки персональных данных (далее - Положение об обработке персональных данных работников), а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Также, согласно ч. 2 ст. 18.1 Федерального закона N 152-ФЗ, оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
При этом, в случае сбора персональных данных с использованием информационно-телекоммуникационных сетей, оператор обязан опубликовать указанный документ в соответствующей информационно-телекоммуникационной сети, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (далее - ИТС).
На основании изложенного сообщаем, что требование о наличии документа, определяющего политику в отношении обработки персональных данных, и обеспечения неограниченного доступа к нему предъявляется ко всем операторам вне зависимости от способа сбора персональных данных.
При этом обязательное требование о предоставлении возможности доступа к указанному документу с использованием средств соответствующей ИТС касается только операторов, осуществляющих сбор персональных данных с использованием ИТС.
Дополнительно сообщаем, что определение структурного и содержательного наполнения Политики в отношении обработки персональных данных отнесено к компетенции оператора.
Начальник Управления
по защите прав субъектов
персональных данных
Ю.Е.КОНТЕМИРОВ