Оператор обработки персональных данных требования

Информационная поддержка по вопросу: "Оператор обработки персональных данных требования" описанное с профессиональной точки зрения. Мы постарались полностью осветить тематику. Если возникли дополнительные вопросы, то обращайтесь к дежурному специалисту.

Кто является оператором персональных данных?

Кто является оператором персональных данных?

Согласно ст. 3 Закона N 152-ФЗ оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона N 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона N 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

обрабатываемых в соответствии с трудовым законодательством;

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

сделанных субъектом персональных данных общедоступными;

включающих в себя только фамилии, имена и отчества субъектов персональных данных;

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание! Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических — от 15 000 до 30 000 руб.

К сведению. В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

>
Рекомендации по составлению Политики
Содержание
Политика оператора персональных данных (В.В. Данилова, журнал «Отдел кадров государственного (муниципального) учреждения».

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 75 рублей или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

Купить документ Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/77714269/741609f9002bd54a24e5c49cb5af953b/

Обязанности оператора при обработке персональных данных

Andrey_Popov / Shutterstock.com

Работа с персональными данными накладывает на оператора ряд обязанностей. Рассмотрим несколько наиболее существенных из них.

Уведомить Роскомнадзор о начале обработки персональных данных (ст. 22 закона о персональных данных). Такое уведомление необходимо направить в ведомство до начала обработки данных, указав в нем:

СОДЕРЖАНИЕ

При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно. Это, например, обработка работодателем данных работников, получение оператором данных клиента при заключении с ним договора (если эта информация не предоставляется третьим лицам без согласия на то субъекта и используется исключительно для исполнения указанного договора), обработка общедоступных персональных данных, оформление лицу однократного пропуска на территорию оператора, использование только ФИО субъекта и др. (ч. 2 ст. 22 закона о персональных данных).

Обеспечить конфиденциальность персональных данных. Это значит, что распространять их без согласия на то субъекта нельзя (ст. 7 закона о персональных данных). Данная обязанность лиц, получивших доступ к персональным данным, является одной из основных. В частности, при передаче персональных данных работников работодатель обязан:

Принимать меры для обеспечения безопасности персональных данных (ст. 18.1 закона о персональных данных). Для этого организации следует назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 закона о персональных данных). Такое лицо обязано осуществлять внутренний контроль за соблюдением оператором и его работниками требований к защите персональных данных, доводить до сведения работников положения закона о персональных данных, локальных актов по вопросам обработки персональных данных, а также организовывать прием и обработку обращений и запросов субъектов персональных данных. Кроме того, в этих же целях следует применять технические меры по обеспечению безопасности обработки, а также издать документы, определяющие политику компании в отношении обработки персональных данных, и др.

БЛАНКИ

Должностная инструкция ответственного за организацию обработки персональных данных
Уведомление об обработке персональных данных
Политика обработки персональных данных
Положение о защите, хранении, обработке и передаче персональных данных работников
Другие бланки

При этом политику обработки персональных данных организация должна сделать публичной (ч. 2 ст. 18.1 закона о персональных данных). Наиболее оптимальным способом является размещение документа на сайте оператора. Но в том случае, когда это невозможно, достаточно установить «кармашек» с политикой на бумажном носителе в любом доступном для посетителей организации месте. Исключение составляют операторы, собирающие персональные данные непосредственно через Интернет, – им необходимо опубликовать политику именно на сайте и обеспечить возможность доступа к указанному документу. На официальном сайте Роскомнадзора можно ознакомиться с рекомендациями по составлению политики в отношении обработки персональных данных.

Читайте так же:  Постановление пленума верховного суда о вымогательстве

Не стоит путать политику, распространяющуюся в основном на третьих лиц (контрагентов, клиентов и др.), с Положением о защите, хранении, обработке и передаче персональных данных работников – этот документ в отличие от политики является локальным нормативным актом, поэтому делать его публичным не нужно, а вот ознакомить с ним под роспись работников следует обязательно (ст. 22 ТК РФ).

МАТЕРИАЛЫ ПО ТЕМЕ

О том, с какими проблемами может столкнуться оператор при соблюдении требований о локализации персональных данных и как их наиболее эффективно их решить, читайте в нашем материале «Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса».

Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (ч. 5 ст. 18 закона о персональных данных). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало вопросов. Среди них отсутствие ясности, на какие именно персональные данные будет распространяться данное требование, каких операторов это затронет, допускается ли обработка персональных данных одновременно на российском и иностранном сервере, как определить гражданство субъекта и т. д. На большую часть этих вопросов Роскомнадзор ответил еще до вступления новых требований закона в силу. Так, например, ведомство предоставило операторам право самостоятельно решать вопрос определения гражданства лица, чьи данные обрабатываются, либо применять требование о локализации к персональным данным всех субъектов. Кроме того, Роскомнадзор уточнил, что в том случае, когда при сборе персональные данные были записаны в российскую базу данных, в дальнейшем они могут обрабатываться и в электронной базе, находящейся за пределами страны.

И в политике обработки персональных данных, и в Положении о защите, хранении, обработке и передаче персональных данных работников следует прописать, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России, а также указать место нахождения такой базы данных.

Своевременно прекратить обработку персональных данных. Если цель обработки персональных данных достигнута или субъект отозвал свое согласие на их обработку, оператор должен прекратить обработку этих данных и удалить их в 30-дневный срок, если иной срок не определен в соглашении (ч. 4-5 ст. 21 закона о персональных данных).

Источник: http://www.garant.ru/actual/persona/obyazannosti/

Оператор обработки персональных данных требования

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

«Лекторы – ведущие эксперты, непосредственные разработчики законов:
В. В. Витрянский, Л. Ю. Михеева, Е. А. Суханов, А. А. Маковская. Принять участие можно очно/ онлайн или в записи, в любой точке страны!»

В адрес ООО из Управления Роскомнадзора поступило письмо о предоставлении сведений, в котором указано, что при реализации полномочий Управлением Роскомнадзора были выявлены признаки деятельности, предполагающие обработку ООО персональных данных, в связи с чем ООО является оператором, осуществляющим обработку персональных данных. Сославшись на ч. 1 ст. 22 Федерального закона от 27.08.2006 N 152-ФЗ «О персональных данных», Управление Роскомнадзора заявило об обязанности ООО уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. Между тем ООО осуществляет обработку персональных данных только в рамках трудового законодательства, а также для открытия расчетного счета в банк были переданы персональные данные директора и главного бухгалтера, оформлены зарплатные карты.
Обязано ли ООО направить уведомление в Управление Роскомнадзора до начала обработки персональных данных?

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Широков Сергей

Ответ прошел контроль качества

28 сентября 2017 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) По данному вопросу рекомендуем Вам также ознакомиться со следующим материалом, размещенным в сети «Интернет»: Шмелев П.В. Оператор персональных данных — кто он? // http://www.secur.ru/article.php? >

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected]

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), [email protected] Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Источник: http://www.garant.ru/consult/civil_law/1142956/

Оператор обработки персональных данных требования

Регистрация операторов, осуществляющих обработку персональных данных

Консультацию по заполнению формы уведомления, информационных писем, заявлений о предоставлении выписки из реестра и о внесении в реестр операторов сведений о прекращении обработки персональных данных можно получить у сотрудников Управления по телефонам: (342) 258-15-37 (доб. 547 или доб. 534), 258-15-36 (доб. 533 или доб. 532 или доб. 531) понедельник — четверг с 09.00 до 18.00, пятница с 09.00 до 16.45, перерыв на обед с 12.00 до 12.45.

В соответствии с требованиями части 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных») оператор – это государственный или муниципальный орган, юридическое или физическое лицо, организующее или осуществляющее обработку персональных данных с определенными целями.

В соответствии со статьей 22 Федерального закона «О персональных данных» операторы, осуществляющие обработку персональных данных, обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Уполномоченным органом по защите прав субъектов персональных данных (далее Уполномоченный орган), на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (часть 1 статьи 23 Федерального закона «О персональных данных»).

Согласно части 4 статьи 25 Федерального закона «О персональных данных» операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление), предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Федеральный закон «О персональных данных» регулирует отношения, связанные с обработкой персональных данных и не может служить операторам основанием для обработки персональных данных субъектов персональных данных, в связи с чем, Управление рекомендует не включать в уведомление уполномоченного органа основание для обработки персональных данных — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Читайте так же:  Вынесение судебного приказа после отмены

В соответствии со ст. 24 Федерального закона «О персональных данных» лица, виновные в нарушении требований настоящего Федерального Закона, несут гражданскую, дисциплинарную, административную, уголовную и иную ответственность, предусмотренную законодательством Российской Федерации.

Вниманию руководителей государственных, муниципальных органов, предприятий и организаций, индивидуальным предпринимателям, осуществляющих обработку персональных данных!

Во исполнение Федерального закона «О персональных данных» с октября 2007 года Управление Роскомнадзора по Пермскому краю приступило к приему уведомлений об обработке персональных данных.

В соответствии со статьями 22, 25 Федерального Закона от 27 июля 2006 года №152-ФЗ «О персональных данных» организациям, осуществляющим обработку персональных данных, надлежит направить в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Пермскому краю уведомление об обработке (о намерении осуществлять обработку) персональных данных.

Пункт 1 ст. 22 ФЗ «О персональных данных» обязывает оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Операторы, которые вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных, указаны в части 2 данной статьи.
Операторы, которые осуществляют обработку персональных данных до дня вступления в силу ФЗ «О персональных данных» и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных ч.2 ст.22, уведомление об обработке персональных данных, не позднее 1 января 2008 года — п.4 ст.25 ФЗ «О персональных данных».

Согласно п. 3 ст. 23 уполномоченный орган по защите прав субъектов персональных данных имеет право направлять заявление в орган, осуществляющий лицензирование деятельности оператора для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке.

Наличие организации в Реестре операторов, осуществляющих обработку персональных данных, возможно по ссылке: http://rkn.gov.ru/personal-data/register/

Информация для операторов о внесении изменений в сведения об операторе, содержащиеся в реестре операторов, осуществляющих обработку персональных данных

Сообщаем, что в случае внесения изменений в сведения об операторе, содержащиеся в реестре операторов, осуществляющих обработку персональных данных, следует руководствоваться следующим:

1. В случае изменения сведений, содержащихся в представленном ранее Уведомлении об обработке персональных данных, оператор обязан уведомить территориальное управление Службы об изменениях в течение десяти рабочих дней с даты возникновения таких изменений.

2. Заявление об изменении сведений предоставляется оператором в территориальное управление Службы с обязательной регистрацией в делопроизводстве оператора в виде информационного письма с указанием основания (причин) внесения изменений. Поля, отмеченные звездочкой (*) подлежат обязательному заполнению, прочие поля заполняются ТОЛЬКО в случае внесения в них изменений.

3. Информационное письмо с изменёнными сведениями оператор предоставляет в территориальное управление Службы в письменной форме, подписанное уполномоченным лицом или в электронной форме, подписанное электронной цифровой подписью, с указанием сведений в соответствии с частью 3 статьи 22 Федерального закона от 26.07.2006 года № 152-ФЗ «О персональных данных». К заявлению прилагается документ (основание), подтверждающий произошедшие изменения в ранее представленных сведениях.

Информация для операторов о порядке их исключения из реестра операторов, осуществляющих обработку персональных данных.

1. В случае прекращения оператором обработки персональных данных в полном объёме (согласно п. 7 с. 22 Федерального закона от 26.07.2006 года № 152-ФЗ «О персональных данных») оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней с даты прекращения обработки персональных данных.

2. Заявление об исключении из реестра операторов, осуществляющих обработку персональных данных, оператор предоставляет в территориальное управление Службы в письменной форме, подписанное уполномоченным лицом или в электронной форме, подписанное электронной цифровой подписью. К заявлению прилагается документ (основание), подтверждающий причину прекращения обработки персональных данных.

Информация для операторов о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных.

Для предоставления выписки из реестра операторов, осуществляющих обработку персональных данных необходимо представить в адрес Управления Роскомнадзора по Пермскому краю заявления о предоставлении выписки.

Время публикации: 07.12.2015 14:54
Последнее изменение: 30.12.2019 15:12

Источник: http://59.rkn.gov.ru/directions/p18637/

Редакция как оператор персональных данных

Как действовать редакциям средств массовой информации, чтобы не нарушать закон о персональных данных?

Каждая редакция СМИ является оператором персональных данных своих сотрудников, читателей, подписчиков, рекламодателей и других контрагентов и подпадает под требования закона о персональных данных. Что нужно делать редакции как оператору ПД, какие документы подготовить, как собирать данные интернет-пользователей и нужно ли подавать уведомление в Роскомнадзор – рассказывает АНРИ.

Материал подготовлен на основе вебинара, проведенного ведущим юристом Группы правовых компаний ИНТЕЛЛЕКТ-С Михаилом Хохолковым в рамках проекта Альянса независимых региональных издателей (АНРИ) с использованием гранта Президента РФ на развитие гражданского общества, предоставленного Фондом президентских грантов.

1. При чем тут СМИ?

Редакции СМИ имеют дело с персональными данными, когда (1) распространяют сведения в журналистских материалах; (2) выступают операторами данных и занимаются их обработкой (например, данных своих сотрудников или подписчиков).

Здесь мы рассказываем о втором случае использования персональных данных. О первом – читайте в материале «СМИ vs Роскомнадзор. Как сделать журналистский материал и не нарушить закон о персональных данных?». В нем подробно рассказано, какие данные относятся к персональным, что понимается под их «обработкой» и как журналисту корректно работать с такими данными.

2. Кто такой оператор персональных данных?

Согласно закону №152-ФЗ «О персональных данных», оператором ПД является государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПД, а также определяющее цели обработки, состав персональных данных, действия (операции).

Другими словами, редакция СМИ обрабатывает персональные данные своих сотрудников, подписчиков, читателей, пользователей сайта, героев публикаций, рекламодателей, иных контрагентов. Соответственно, редакция является оператором ПД, даже если состоит из одного человека и не имеет юрлица.

3. Какие обязанности существуют у оператора?

Действия оператора ПД делятся на: (1) меры, направленные на защиту ПД (ст. 18.1 №152-ФЗ «О персональных данных») и (2) меры по обеспечению безопасности данных при их обработке (ст. 19 №152-ФЗ «О персональных данных»).

Оператор самостоятельно определяет состав и перечень мер, «необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством». Почему так? Все организации разные, им требуется разное количество персональных данных, которые нужно обрабатывать.

  • предоставить по запросу субъекта данных информацию о его данных;
  • хранить личные сведения граждан с использованием баз данных только на территории РФ;
  • самостоятельно определить состав и перечень мер, необходимых для соблюдения законодательства;
  • опубликовать или иным способом обеспечить доступ к документам, определяющим политику конфиденциальности организации (если сбор ПД осуществляется на сайте, политику конфиденциальности нужно разместить так, чтобы рядовой пользователь мог легко обнаружить документ);
  • по запросу Роскомнадзора предоставить документы, обеспечивающие обработку персональных данных.

4. Что оператор должен сделать по минимуму?

Для соблюдения требований закона необходимо:

  • назначить ответственного или ответственных за обработку ПД (издать приказ) ;
  • разработать политику в отношении обработки ПД и необходимые локальные акты (ЛНА);
  • применять правовые, организационные и технические меры по обеспечению безопасности ПД: кроме издания локальных актов, сюда относится назначение ответственных лиц, установка антивирусных программ;
  • контролировать сотрудников и (или) проводить внутренний аудит обработки данных в редакции;
  • оценить вред, который может быть причинен субъектам ПД в случае нарушения законодательства: указать в специальном документе, какие ПД обрабатываются и в каких целях, какие задействованы компьютеры и программы, установлены ли пароли для защиты информационных систем и серверов;
  • ознакомить сотрудников, ответственных за обработку ПД, с положениями закона, если потребуется – обучить их. Законодательство не предъявляет конкретных требований к обучению сотрудников, поэтому в качестве такой меры можно зачесть курс вебинаров АНРИ по персональным данным. Главное – оформить это документально.
Читайте так же:  Новый срок кассационного обжалования

5. Какие документы должен иметь оператор персональных данных?

К локальным нормативным актам относятся инструкции, положения и отчеты. Все ЛНА и изменения к ним утверждаются руководителем организации и оформляются приказом. Работники должны быть ознакомлены с актами и изменениями (необходима физическая подпись в листах ознакомления).

Приблизительный перечень необходимых ЛНА таков:

Политика оператора в отношении обработки ПД (политика конфиденциальности или пользовательское соглашение) и Положение об обработке ПД – это разные документы. Политика конфиденциальности компании – внешний общедоступный документ, положение – внутренний документ, в котором оператор определяет работу с данными внутри организации.

6. Как корректно собирать данные интернет-пользователей?

В Интернете (на своем сайте, как правило) оператор данных должен опубликовать два документа:

    Согласие на обработку ПД.
Видео (кликните для воспроизведения).

Такое согласие можно опубликовать отдельным документом (как, например, сделал портал Ревда-инфо.ру) или предлагать пользователю заполнять его каждый раз по-новому: при регистрации на сайте, подаче объявления или новости, подписке на рассылку.

В идеале – технически устроить так, чтобы пользователь не мог зарегистрироваться на сайте или подписаться на рассылку, не дав согласия на обработку: как в примере тульского портала Myslo.ru (попробуйте зарегистрироваться).

Политику конфиденциальности (или пользовательское соглашение).

В политике конфиденциальности следует указать: кто собирает данные, в каком объеме и для чего, как собирается их использовать; порядок и условия обработки (будут ли сведения передаваться третьим лицам, каковы условия хранения, уничтожения и прочее). Рекомендации по составлению политики конфиденциальности размещены на сайте Роскомнадзора.

При разработке политики конфиденциальности обратите внимание на цели и объем собираемых данных: не нужно указывать операции, которые редакция не осуществляет, – например, описывать процедуру рассылки, которой по факту не существует.

7. Как уведомить Роскомнадзор об обработке персональных данных?

До начала обработки персональных данных оператор обязан уведомить РКН о своем намерении. По сути, такое уведомление нужно подавать одновременно с созданием организации.

Уведомление требуется от организации, которая:

  • на постоянной основе обрабатывает персональные данные (в штате организации есть сотрудники, проводится подписная кампания, собираются объявления на размещение рекламы);
  • работает с внештатными сотрудниками;
  • регистрирует на своем сайте пользователей или просит заполнить онлайн-формы для различных целей (рассылка, отзывы, подача объявления, «перезвонить мне» и т.д.)

Уведомление можно подать в бумажном виде в территориальный отдел Роскомнадзора по месту регистрации редакции (с подписью уполномоченного лица), предварительно заполнив форму на сайте Роскомнадзора).

Карточка компании попадает в реестр. Вот, например, так выглядит карточка ООО «Русская медиагруппа «Западная пресса».

Неподача уведомления, несвоевременная или некорректная подача являются административным правонарушением: должностные лица могут быть оштрафованы на сумму от 300 до 500 рублей, юридические – от 3 до 5 тысяч рублей (ст. 19.7 КоАП РФ). Срок давности привлечения к административной ответственности составляет три месяца с даты возникновения обязанности уведомления (ч. 1 ст. 4.5 КоАП РФ).

При внесении изменений в карточку организации необходимо уведомить Роскомнадзор в течение 10 рабочих дней в том же порядке, в каком подавалось и первоначальное уведомление.

8. Когда уведомление в Роскомнадзор можно не подавать?

В редких случаях ведомство можно не уведомлять (ч. 2 ст. 22 152-ФЗ «О персональных данных»). Из них к деятельности СМИ применимы следующие:

  • ПД обрабатываются исключительно в рамках трудовых отношений – если редакция работает с людьми, не запрашивая дополнительных ПД и не передавая их третьим лицам.
  • ПД необходимы для исполнения договора, стороной которого является субъект ПД, и при этом данные не передаются третьим лицам.
  • Субъект данных сам сделал их общедоступными.
  • Если собираемые ПД включают в себя только фамилии, имена и отчества.
  • Если ПД собираются лишь для того, чтобы однократно пропустить человека на территорию предприятия.
  • Если ПД обрабатываются без использования средств автоматизации (на бумаге).

9. В каких случаях можно не брать согласия на обработку у сотрудников?

Существуют случаи, когда работодатель может обрабатывать данные сотрудника без его согласия (разъяснения Роскомнадзора от 14 декабря 2012 года). Из них к работе СМИ применимы:

  • Случаи, предусмотренные коллективным договором, в том числе правилами внутреннего трудового распорядка, а также локальными актами работодателя.
  • При обработке ПД близких родственников работника в объеме, предусмотренном формой №Т-2 и в некоторых случаях (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).
  • При передаче данных работника третьим лицам в случаях, когда это необходимо для предупреждения угрозы жизни и здоровью работника, и в других случаях, предусмотренных российским законодательством (например, передача сведений о работниках в ФНС, ФСС И ПФР, военкомат и профсоюзы, при командировании в гостиницы).
  • При получении мотивированных запросов от прокуратуры, полиции, ФСБ, трудовых инспекторов.
  • При передаче персональных данных работника кредитным организациям для начисления зарплаты в следующих случаях:

а) договор на выпуск банковской карты заключался с работником напрямую, и в нем предусмотрена передача ПД;

б) наличие у работодателя доверенности на представление интересов работника при заключении договора с финансовой организацией;

в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

  • При оформлении пропуска, если это предусмотрено коллективным договором или ЛНА.
  • Если редакция передает бухгалтерский и кадровый учет на аутсорсинг, ей необходимо заручиться у своих сотрудников отдельным согласием на передачу ПД третьему лицу. В договоре с аутсорсинговой организацией нужно предусмотреть ее обязанность по обеспечению защиты данных сотрудников.

    10. Как должно выглядеть согласие на обработку персональных данных?

    Согласие должно позволять сделать однозначный вывод о целях, способах обработки ПД с указанием действий и объеме собираемых данных (ч. 4 ст. 9 №152-ФЗ «О персональных данных»).

    Согласие сотрудника может быть оформлено отдельно или включено в трудовой договор, Роскомнадзор предлагает оформлять его таким образом.

    Вот примеры согласия на обработку данных посетителей сайта СМИ от Ревда-инфо.ру и ИД «Информ-Полис».

    Согласие на обработку ПД подписчиков газеты может выглядеть так.

    Аналогичным образом оформляется согласие на обработку ПД рекламодателей и других контрагентов.

    11. ​​​Как быть с персональными данными уволенных сотрудников?

    Работодатель имеет право обрабатывать данные уволенного работника в случаях и в сроки, предусмотренные законом, согласия бывших сотрудников при этом не требуется (п. 2 ч. 1 ст. 6 ФЗ «О персональных данных»):

    • четыре года хранить документы, необходимые для исчисления, удержания или перечисления налога (подп. 5. п. 3. ст. 24 Налогового кодекса РФ);
    • хранить бухгалтерскую документацию в течение срока, установленного Госархивом, но не менее пяти лет (ст. 17 ФЗ «О бухгалтерском учете»).

    По истечении установленных законом сроков личные дела работников и иные документы сдаются в архив.

    12. Как обрабатывать данные соискателей?

    Резюме не обходится без персональных данных, поэтому работодатель должен получить предварительное согласие соискателя на обработку его сведений до найма/отказа, кроме случаев, когда:

    • от имени соискателя действует кадровое агентство (согласие дано агенту);
    • соискатель самостоятельно разместил резюме в Интернете.
    Читайте так же:  Соглашение об отсрочке исполнения решения суда

    Если кандидат выслал резюме по электронной почте, работодатель может получить его согласие на обработку ПД во время личной встречи. Если о встрече не договорились, резюме уничтожается. В случае отказа в приеме на работу данные кандидата уничтожаются в течение 30 дней.

    Работодатель также должен заручиться согласием соискателя, если хочет проверить его прежние рабочие места, кроме случаев, когда:

    • речь идет о приеме на работу бывшего государственного или муниципального служащего (ст. 64.1 ТК РФ);
    • речь идет о замещении вакантных должностей государственной гражданской службы (перечень документов определен ФЗ «О государственной гражданской службе»).

    13. Как журналисту обрабатывать данные героев публикации, источников информации, адресные базы и прочее?

    Журналист может свободно обрабатывать ПД на основании п. 8 ст. 6 №152-ФЗ «О персональных данных», когда такая обработка необходима для осуществления его профессиональной деятельности и не нарушает права и свободы субъекта. Подробнее об этом >>

    Однако когда ПД собираются в адресные базы (источников информации, например), нужно либо получить согласие субъекта данных, либо записать только те данные, по которым человека нельзя идентифицировать.

    При этом согласие можно получить и в любой форме – устной или в порядке рабочей переписки: главное, чтобы его наличие можно было подтвердить.

    Источник: http://www.intellectpro.ru/press/works/redaktsiya_kak_operator_personal_nyh_dannyh/

    Оператор обработки персональных данных требования

    Реестр операторов, осуществляющих обработку персональных данных

    Результат поискового запроса отображает информацию не более чем о 100 операторах.

    Для наиболее точного и быстрого поиска в реестре достаточно указать ИНН организации. В случае, если Вы не знаете точный ИНН, можно произвести поиск по наименованию. При этом достаточно указать только оригинальную его часть (одно или несколько слов, которые отличают данную организацию от других) без указания организационно-правовой формы, спецсимволов, кавычек и сокращений. Если наименование состоит из двух и более слов, в том числе разделенных дефисом, достаточно указать только одно из этих слов. Советуем избегать часто встречающихся в наименовании организации слов, например, таких как: «Российский», «Федеральный», «Общество» и т.п.

    Поделиться:

    Оцените содержание раздела:

    Низкое Ниже среднего Среднее Выше среднего Высокое Оценить

    Оценить раздел

    Время публикации: 20.08.2009 14:03
    Последнее изменение: 10.02.2020 06:55

    Источник: http://rkn.gov.ru/personal-data/register/

    Ликбез по персональным данным для компаний, которые их обрабатывают

    Термины, нюансы и частые заблуждения — в материале от экспертов службы безопасности компании «Онланта» (входит в группу компаний ЛАНИТ).

    Разбираемся в юридической терминологии и тех самых нюансах, из-за которых можно оказаться в суде.

    Объясняем термины человеческим языком

    Главный закон, который регулирует отношения, связанные с обработкой персональных данных — это Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

    Первый термин, который требуется понимать, — персональные данные.

    Что такое персональные данные

    Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. Вы спросите: «А что, моя фамилия, напечатанная на визитке, — это тоже персональные данные?»

    Ответ: «Да». По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье — персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже.

    Идём дальше. В СМИ постоянно пишут «хранение персональных данных». Правильно говорить не хранение, а обработка персональных данных. В чём разница? Хранение — это лишь часть того, что называется обработкой персональных данных. Любые действия, которые вы совершаете с персональными данными (собираете, накапливаете, храните, передаёте, изменяете), в законе обозначены как «обработка персональных данных».

    Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик. Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    Обработчик — это тот, кто совершает какие-либо действия с персональными данными: сбор, хранение, систематизацию, накопление, уточнение, обновление, изменение, удаление, обезличивание и так далее.

    На самом деле, обработчик — это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные. Показываем на практике.

    Задачка

    У интернет-магазина есть база данных клиентов, которая размещена в «облаке» сторонней компании. С этой базой работает маркетинговое агентство. Вопрос: сколько операторов персональных данных мы имеем?

    Правильный ответ — одного. Это интернет-магазин, который задаёт цели обработки персональных данных. Второй вопрос: сколько обработчиков персональных данных мы имеем? Правильный ответ — два.

    1. Компания, в облаке которой размещена база данных интернет-магазина.
    2. Маркетинговое агентство, которое извлекает данные и на основе этих данных может подготовить рекламное предложение клиентам.

    Персональные данные обрабатываются во множестве различных учреждений: например, в банках, школах, поликлиниках, визовых центрах. Не говоря уже про интернет-страницы, где мы регистрируемся, оставляя свои адреса электронной почты и телефонные номера. Но как и где именно?

    Нюанс

    В законе есть такой малопонятный термин, как «информационная система персональных данных». Если попытаться объяснить простыми словами — это целый комплекс, состоящий из серверов баз данных, технических средств, обеспечивающих их обработку, и информационных технологий. В соответствии с законодательством любую информационную систему персональных данных необходимо защищать.

    Методы защиты информации бывают разными.

    • Физическими: например, в комнате, где расположены компьютеры, могут быть установлены камеры, использоваться пропускной режим, сигнализация.
    • Техническими — c помощью специализированных средств защиты информации.
    • Административными: всевозможные регламенты и правила, регулирующие обработку персональных данных внутри компании.

    Пример

    Одно из средств защиты информации — это обезличивание персональных данных. Что это такое? В визовом центре каждому подающему на визу человеку присваивается отдельный идентификационный номер. Сам по себе номер не относится к персональным данным, так как обезличивает человека: по нему нельзя определить лицо, подавшего документы на визу.

    Кажется, я обрабатываю персональные данные

    Итак, с терминологией разобрались. Теперь всем представителям бизнеса, в особенности индивидуальным предпринимателям, у которых может быть всего несколько сотрудников в штате, стоит честно ответить на вопрос: «Обрабатываю ли я персональные данные?»

    Да, если вы владелец сайта с посещаемостью пять человек в неделю, но на нём есть форма обратной связи с полями «ФИО, адрес электронной почты, телефон». Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте.

    Да, если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.

    Да, если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров — это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.

    И снова да, если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях — там море личной деликатной информации, которую необходимо надёжно хранить.

    Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.

    Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.

    Читайте так же:  Срок подачи иска о восстановлении на работе

    Главное — не разглашать данные рекламодателям и не публиковать их без разрешения владельцев персональных данных в открытом доступе.

    Определяем категорию персональных данных

    Поздравляем, вы — гордый обладатель звания «оператор персональных данных». Самое важное теперь — понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. N 1119.

    Категории персональных данных простыми словами:

    Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения. Общедоступные данные — это данные из СМИ или интернета.

    Пример: информация, выложенная в открытый доступ в социальных сетях или на сайте компаний. Номер телефона и семейный статус, опубликованный в открытом доступе в Facebook. Имя сотрудника и занимаемая им должность на сайте работодателя.

    Биометрические персональные данные: к этой категории причисляются все данные по физиологическим и биологическим особенностям людей.

    Пример: вес, рост, цвет глаз или волос, длина волос, группа крови, фотография.

    Персональные данные специальной категории: сюда относится информация о принадлежности к какой-либо расе и нации, политические взгляды, религиозные и философские убеждения, состояние здоровья или интимной жизни.

    Пример: врачебный диагноз (информация о том, чем вы болели, когда, какой врач вас лечил).

    Персональные данные иных видов — сюда входят персональные данные, не вошедшие в указанные выше категории.

    Пример: корпоративная информация. Карточки учёта сотрудников, в которых содержатся сведения, с которыми работает HR и бухгалтерия: зарплата, периоды отпуска, даты приёма на работу.

    Категория, количество, тип угроз — уровень защиты

    После того, как вы определились с категорией персональных данных, вам надо понять точное количество данных, которое вы обрабатываете: до 100 тысяч или свыше 100 тысяч.

    Узнали категорию и количество, определите тип угрозы:

    Угрозы №1. «Дыры» и уязвимости в операционной системе. Пример: уязвимости, которые используют хакеры для проникновения в операционную систему с целью хищения информации.

    Угрозы №2. «Дыры» и уязвимости в прикладном ПО, то есть в софте, который используется в вашей повседневной работе. Пример: Word, Excel.

    Угрозы №3. Все другие угрозы, не указанные в первых двух типах. В первую очередь, человеческий фактор. Сотрудник может оставить открытым документ на незаблокированном компьютере, отправить документ на печать на чужой принтер или по электронной почте.

    Количество персональных данных, категория, тип угроз — все вместе позволяют определить, какой уровень защиты требуется вашей информационной системе. Всего сейчас существует четыре уровня защиты.

    Первый и самый высокий уровень защиты чаще всего применяется для обработки персональных данных в государственных органах и медицинских учреждениях. Четвёртый уровень защиты — самый простой, чтобы его обеспечить, иногда достаточно выполнить организационно распорядительные меры, в основном он касается защиты общедоступных данных.

    Определить уровень защиты можно по этой таблице.

    Пример

    Больница обрабатывает персональные данные своих пациентов — это персональные данные специальной категории. Также она обрабатывает персональные данные сотрудников — это персональные данные иной категории. Скорее всего, у больницы две базы данных. Если сложить обе базы, получится общее количество персональных данных, которые крутятся в информационной системе этой больницы.

    Например, всего их — до 100 тысяч. Далее смотрим, как обрабатываются данные: автоматизировано (в компьютере) или не автоматизировано (в ручной картотеке). Если всё автоматизировано, смотрим, какое ПО использует больница, какие у него есть уязвимости.

    Исходя из этого выявляются угрозы и их уровень. Складываем все факторы и получаем класс защиты второго уровня. Смотрим, какие требования в законе прописаны ко второму уровню защищённости. На базе этих требований необходимо будет построить защиту информационной системы для соответствия требованиям ФЗ.

    Немного про опасность утечек персональных данных

    Зачем вообще так беспокоиться о защите персональных данных? Персональные данные — это дорогой товар на чёрном рынке. За профиль, содержащий полные данные медицинской карты человека, мошенникам готовы платить внушительные суммы. Отдельный рынок — продажа деталей банковских карт; аккаунты в социальных сетях.

    Последствия утечки персональных данных бывают разными. Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний. Зная имя и фамилию, любой может узнать домашний адрес человека, залезть в соцсети, посмотреть профиль или просто написать SMS на мобильный телефон.

    Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать непрошенными предложениями услуг. Также ими могут воспользоваться интернет-мошенники для онлайн-казино или чтобы открыть электронный кошелёк.

    В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы.

    Бремя ответственности

    Вы поняли важность вопроса и готовы нести ответственность? Правильно. Потому что ответственность за сохранность персональных данных полностью лежит на операторе.

    Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Для этого требуется постоянный мониторинг и предотвращение угроз безопасности данных, контроль за уровнем сохранности информации и её восстановление в случае утраты.

    В нашей стране Роскомнадзор контролирует соблюдение законодательства в области обработки персональных данных. Этот орган реагирует на жалобы, регулирует отношения между субъектами и операторами.

    За технические требования по защите информации отвечает ФСТЭК и ФСБ: они вырабатывают требования и контролируют их исполнение.

    Требования по обработке персональных данных

    А теперь пришло время изучить таблицы с требованиями по технической защите персональных данных. Подробности можно найти в приказе Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21.

    Но начните хотя бы с этого:

    1. Зарегистрируйтесь в Роскомнадзоре как оператор персональных данных. Требуется подать заявление в Роскомнадзор в бумажном или электронном виде. Информация по ссылке.
    2. Получите согласие в письменном виде от всех субъектов, чьи персональные данные обрабатываются. Согласие на обработку персональных данных — это главный юридический документ, который подтверждает законность обработки персональных данных.
    3. Разработайте внутреннюю документацию. Ввод в действие приказом руководителя организации «Положения об обработке персональных данных». В этом документе оператор поясняет, как он планирует использовать персональные данные, для чего и куда они будут переданы. Это основополагающий документ, который требуется любому оператору персональных данных. На его основании разрабатываются все остальные распорядительные документы.

    Многие владельцы сайтов думают, что если посетитель нажал кнопку «Я согласен на обработку персональных данных», юридических проблем не будет, а обработка данных автоматически попадает в легальное поле. Это не так.

    С юридической точки зрения есть только два способа подтвердить своё согласие на обработку персональных данных: поставить подпись на бумаге или при помощи электронной цифровой подписи.

    Во всех остальных случаях, если дело дойдёт до суда, владелец сайта никак не сможет подтвердить, кто именно нажимал кнопку «Я согласен». Остаётся только надеяться, что субъект, пришедший к вам на сайт, добровольно передаёт свои данные и жалобу не подаст.

    Видео (кликните для воспроизведения).

    Источник: http://vc.ru/flood/33380-likbez-po-personalnym-dannym-dlya-kompaniy-kotorye-ih-obrabatyvayut

    Оператор обработки персональных данных требования
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here