Паспорт оператора персональных данных

Информационная поддержка по вопросу: "Паспорт оператора персональных данных" описанное с профессиональной точки зрения. Мы постарались полностью осветить тематику. Если возникли дополнительные вопросы, то обращайтесь к дежурному специалисту.

Паспорт оператора персональных данных

Реестр операторов, осуществляющих обработку персональных данных

В настоящее время в реестре содержатся сведения о 403 984 операторах персональных данных
(по состоянию на 10.02.2020)

Результат поискового запроса отображает информацию не более чем о 100 операторах.

Для наиболее точного и быстрого поиска в реестре достаточно указать ИНН организации. В случае, если Вы не знаете точный ИНН, можно произвести поиск по наименованию. При этом достаточно указать только оригинальную его часть (одно или несколько слов, которые отличают данную организацию от других) без указания организационно-правовой формы, спецсимволов, кавычек и сокращений. Если наименование состоит из двух и более слов, в том числе разделенных дефисом, достаточно указать только одно из этих слов. Советуем избегать часто встречающихся в наименовании организации слов, например, таких как: «Российский», «Федеральный», «Общество» и т.п.

Источник: http://pd.rkn.gov.ru/operators-registry/operators-list/

Паспорт оператора персональных данных

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

«Лекторы – ведущие эксперты, непосредственные разработчики законов:
В. В. Витрянский, Л. Ю. Михеева, Е. А. Суханов, А. А. Маковская. Принять участие можно очно/ онлайн или в записи, в любой точке страны!»

В адрес ООО из Управления Роскомнадзора поступило письмо о предоставлении сведений, в котором указано, что при реализации полномочий Управлением Роскомнадзора были выявлены признаки деятельности, предполагающие обработку ООО персональных данных, в связи с чем ООО является оператором, осуществляющим обработку персональных данных. Сославшись на ч. 1 ст. 22 Федерального закона от 27.08.2006 N 152-ФЗ «О персональных данных», Управление Роскомнадзора заявило об обязанности ООО уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. Между тем ООО осуществляет обработку персональных данных только в рамках трудового законодательства, а также для открытия расчетного счета в банк были переданы персональные данные директора и главного бухгалтера, оформлены зарплатные карты.
Обязано ли ООО направить уведомление в Управление Роскомнадзора до начала обработки персональных данных?

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Широков Сергей

Ответ прошел контроль качества

28 сентября 2017 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) По данному вопросу рекомендуем Вам также ознакомиться со следующим материалом, размещенным в сети «Интернет»: Шмелев П.В. Оператор персональных данных — кто он? // http://www.secur.ru/article.php? >

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected]

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), [email protected] Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Источник: http://www.garant.ru/consult/civil_law/1142956/

В закон о связи внесены поправки с целью пресечь распространение SIM-карт без предоставления реальных паспортных данных абонента

Установлено, что услуги мобильной связи предоставляются только тем абонентам, достоверные сведения о которых предоставлены оператору связи.

Проверка достоверности сведений об абоненте осуществляется путем установления фамилии, имени, отчества, даты рождения, а также других данных документа, удостоверяющего личность, подтверждаемых:

— предоставлением документа, удостоверяющего личность;

— через единую систему идентификации и аутентификации;

— использованием усиленной квалифицированной электронной подписи;

— через единый портал госуслуг;

— через информационные систем госорганов при наличии у оператора подключения к таким системам через единую систему межведомственного электронного взаимодействия.

Оператор связи будет обязан прекратить оказание услуг связи при поступлении соответствующего запроса от органа, осуществляющего оперативно-разыскную деятельность, или предписания Роскомнадзора, сформированного по результатам контрольных мероприятий, в случае неподтверждения в течение пятнадцати суток соответствия персональных данных фактических пользователей сведениям, заявленным в абонентских договорах.

Абонент-юрлицо либо ИП, при использовании корпоративных тарифов, обязаны предоставить оператору связи сведения о каждом фактическом пользователе. При этом не требуется согласие таких пользователей на передачу их персональных данных оператору. В случае ликвидации абонента-юрлица или прекращения деятельности ИП абонентские номера, выделенные таким абонентам, могут быть переоформлены на фактического пользователя путем заключения с ним соответствующего договора об оказании услуг связи.

Источник: http://www.consultant.ru/law/hotdocs/50478.html/

Обязанности оператора при обработке персональных данных

Andrey_Popov / Shutterstock.com

Работа с персональными данными накладывает на оператора ряд обязанностей. Рассмотрим несколько наиболее существенных из них.

Уведомить Роскомнадзор о начале обработки персональных данных (ст. 22 закона о персональных данных). Такое уведомление необходимо направить в ведомство до начала обработки данных, указав в нем:

СОДЕРЖАНИЕ

При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно. Это, например, обработка работодателем данных работников, получение оператором данных клиента при заключении с ним договора (если эта информация не предоставляется третьим лицам без согласия на то субъекта и используется исключительно для исполнения указанного договора), обработка общедоступных персональных данных, оформление лицу однократного пропуска на территорию оператора, использование только ФИО субъекта и др. (ч. 2 ст. 22 закона о персональных данных).

Обеспечить конфиденциальность персональных данных. Это значит, что распространять их без согласия на то субъекта нельзя (ст. 7 закона о персональных данных). Данная обязанность лиц, получивших доступ к персональным данным, является одной из основных. В частности, при передаче персональных данных работников работодатель обязан:

Принимать меры для обеспечения безопасности персональных данных (ст. 18.1 закона о персональных данных). Для этого организации следует назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 закона о персональных данных). Такое лицо обязано осуществлять внутренний контроль за соблюдением оператором и его работниками требований к защите персональных данных, доводить до сведения работников положения закона о персональных данных, локальных актов по вопросам обработки персональных данных, а также организовывать прием и обработку обращений и запросов субъектов персональных данных. Кроме того, в этих же целях следует применять технические меры по обеспечению безопасности обработки, а также издать документы, определяющие политику компании в отношении обработки персональных данных, и др.

Читайте так же:  Мировое соглашение при дтп до суда

БЛАНКИ

Должностная инструкция ответственного за организацию обработки персональных данных
Уведомление об обработке персональных данных
Политика обработки персональных данных
Положение о защите, хранении, обработке и передаче персональных данных работников
Другие бланки

При этом политику обработки персональных данных организация должна сделать публичной (ч. 2 ст. 18.1 закона о персональных данных). Наиболее оптимальным способом является размещение документа на сайте оператора. Но в том случае, когда это невозможно, достаточно установить «кармашек» с политикой на бумажном носителе в любом доступном для посетителей организации месте. Исключение составляют операторы, собирающие персональные данные непосредственно через Интернет, – им необходимо опубликовать политику именно на сайте и обеспечить возможность доступа к указанному документу. На официальном сайте Роскомнадзора можно ознакомиться с рекомендациями по составлению политики в отношении обработки персональных данных.

Не стоит путать политику, распространяющуюся в основном на третьих лиц (контрагентов, клиентов и др.), с Положением о защите, хранении, обработке и передаче персональных данных работников – этот документ в отличие от политики является локальным нормативным актом, поэтому делать его публичным не нужно, а вот ознакомить с ним под роспись работников следует обязательно (ст. 22 ТК РФ).

МАТЕРИАЛЫ ПО ТЕМЕ

О том, с какими проблемами может столкнуться оператор при соблюдении требований о локализации персональных данных и как их наиболее эффективно их решить, читайте в нашем материале «Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса».

Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (ч. 5 ст. 18 закона о персональных данных). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало вопросов. Среди них отсутствие ясности, на какие именно персональные данные будет распространяться данное требование, каких операторов это затронет, допускается ли обработка персональных данных одновременно на российском и иностранном сервере, как определить гражданство субъекта и т. д. На большую часть этих вопросов Роскомнадзор ответил еще до вступления новых требований закона в силу. Так, например, ведомство предоставило операторам право самостоятельно решать вопрос определения гражданства лица, чьи данные обрабатываются, либо применять требование о локализации к персональным данным всех субъектов. Кроме того, Роскомнадзор уточнил, что в том случае, когда при сборе персональные данные были записаны в российскую базу данных, в дальнейшем они могут обрабатываться и в электронной базе, находящейся за пределами страны.

И в политике обработки персональных данных, и в Положении о защите, хранении, обработке и передаче персональных данных работников следует прописать, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России, а также указать место нахождения такой базы данных.

Своевременно прекратить обработку персональных данных. Если цель обработки персональных данных достигнута или субъект отозвал свое согласие на их обработку, оператор должен прекратить обработку этих данных и удалить их в 30-дневный срок, если иной срок не определен в соглашении (ч. 4-5 ст. 21 закона о персональных данных).

Источник: http://www.garant.ru/actual/persona/obyazannosti/

Кто является оператором персональных данных?

Кто является оператором персональных данных?

Согласно ст. 3 Закона N 152-ФЗ оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона N 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона N 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

обрабатываемых в соответствии с трудовым законодательством;

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

сделанных субъектом персональных данных общедоступными;

включающих в себя только фамилии, имена и отчества субъектов персональных данных;

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание! Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Читайте так же:  Открытие выезда за границу для бывших военнослужащих

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических — от 15 000 до 30 000 руб.

К сведению. В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

>
Рекомендации по составлению Политики
Содержание
Политика оператора персональных данных (В.В. Данилова, журнал «Отдел кадров государственного (муниципального) учреждения».

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 75 рублей или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

Купить документ Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/77714269/741609f9002bd54a24e5c49cb5af953b/

Как стать оператором персональных данных в реестре Роскомнадзора

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства — в разделе «Электронные формы заявлений».

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Читайте так же:  Определение об утверждении мирового соглашения подлежит

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Видео (кликните для воспроизведения).

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Источник: http://ppt.ru/art/personal-data/reestr

Редакция как оператор персональных данных

Как действовать редакциям средств массовой информации, чтобы не нарушать закон о персональных данных?

Каждая редакция СМИ является оператором персональных данных своих сотрудников, читателей, подписчиков, рекламодателей и других контрагентов и подпадает под требования закона о персональных данных. Что нужно делать редакции как оператору ПД, какие документы подготовить, как собирать данные интернет-пользователей и нужно ли подавать уведомление в Роскомнадзор – рассказывает АНРИ.

Материал подготовлен на основе вебинара, проведенного ведущим юристом Группы правовых компаний ИНТЕЛЛЕКТ-С Михаилом Хохолковым в рамках проекта Альянса независимых региональных издателей (АНРИ) с использованием гранта Президента РФ на развитие гражданского общества, предоставленного Фондом президентских грантов.

1. При чем тут СМИ?

Редакции СМИ имеют дело с персональными данными, когда (1) распространяют сведения в журналистских материалах; (2) выступают операторами данных и занимаются их обработкой (например, данных своих сотрудников или подписчиков).

Здесь мы рассказываем о втором случае использования персональных данных. О первом – читайте в материале «СМИ vs Роскомнадзор. Как сделать журналистский материал и не нарушить закон о персональных данных?». В нем подробно рассказано, какие данные относятся к персональным, что понимается под их «обработкой» и как журналисту корректно работать с такими данными.

2. Кто такой оператор персональных данных?

Согласно закону №152-ФЗ «О персональных данных», оператором ПД является государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПД, а также определяющее цели обработки, состав персональных данных, действия (операции).

Другими словами, редакция СМИ обрабатывает персональные данные своих сотрудников, подписчиков, читателей, пользователей сайта, героев публикаций, рекламодателей, иных контрагентов. Соответственно, редакция является оператором ПД, даже если состоит из одного человека и не имеет юрлица.

3. Какие обязанности существуют у оператора?

Действия оператора ПД делятся на: (1) меры, направленные на защиту ПД (ст. 18.1 №152-ФЗ «О персональных данных») и (2) меры по обеспечению безопасности данных при их обработке (ст. 19 №152-ФЗ «О персональных данных»).

Оператор самостоятельно определяет состав и перечень мер, «необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством». Почему так? Все организации разные, им требуется разное количество персональных данных, которые нужно обрабатывать.

  • предоставить по запросу субъекта данных информацию о его данных;
  • хранить личные сведения граждан с использованием баз данных только на территории РФ;
  • самостоятельно определить состав и перечень мер, необходимых для соблюдения законодательства;
  • опубликовать или иным способом обеспечить доступ к документам, определяющим политику конфиденциальности организации (если сбор ПД осуществляется на сайте, политику конфиденциальности нужно разместить так, чтобы рядовой пользователь мог легко обнаружить документ);
  • по запросу Роскомнадзора предоставить документы, обеспечивающие обработку персональных данных.

4. Что оператор должен сделать по минимуму?

Для соблюдения требований закона необходимо:

  • назначить ответственного или ответственных за обработку ПД (издать приказ) ;
  • разработать политику в отношении обработки ПД и необходимые локальные акты (ЛНА);
  • применять правовые, организационные и технические меры по обеспечению безопасности ПД: кроме издания локальных актов, сюда относится назначение ответственных лиц, установка антивирусных программ;
  • контролировать сотрудников и (или) проводить внутренний аудит обработки данных в редакции;
  • оценить вред, который может быть причинен субъектам ПД в случае нарушения законодательства: указать в специальном документе, какие ПД обрабатываются и в каких целях, какие задействованы компьютеры и программы, установлены ли пароли для защиты информационных систем и серверов;
  • ознакомить сотрудников, ответственных за обработку ПД, с положениями закона, если потребуется – обучить их. Законодательство не предъявляет конкретных требований к обучению сотрудников, поэтому в качестве такой меры можно зачесть курс вебинаров АНРИ по персональным данным. Главное – оформить это документально.

5. Какие документы должен иметь оператор персональных данных?

К локальным нормативным актам относятся инструкции, положения и отчеты. Все ЛНА и изменения к ним утверждаются руководителем организации и оформляются приказом. Работники должны быть ознакомлены с актами и изменениями (необходима физическая подпись в листах ознакомления).

Приблизительный перечень необходимых ЛНА таков:

Политика оператора в отношении обработки ПД (политика конфиденциальности или пользовательское соглашение) и Положение об обработке ПД – это разные документы. Политика конфиденциальности компании – внешний общедоступный документ, положение – внутренний документ, в котором оператор определяет работу с данными внутри организации.

6. Как корректно собирать данные интернет-пользователей?

В Интернете (на своем сайте, как правило) оператор данных должен опубликовать два документа:

    Согласие на обработку ПД.

Такое согласие можно опубликовать отдельным документом (как, например, сделал портал Ревда-инфо.ру) или предлагать пользователю заполнять его каждый раз по-новому: при регистрации на сайте, подаче объявления или новости, подписке на рассылку.

В идеале – технически устроить так, чтобы пользователь не мог зарегистрироваться на сайте или подписаться на рассылку, не дав согласия на обработку: как в примере тульского портала Myslo.ru (попробуйте зарегистрироваться).

Политику конфиденциальности (или пользовательское соглашение).

В политике конфиденциальности следует указать: кто собирает данные, в каком объеме и для чего, как собирается их использовать; порядок и условия обработки (будут ли сведения передаваться третьим лицам, каковы условия хранения, уничтожения и прочее). Рекомендации по составлению политики конфиденциальности размещены на сайте Роскомнадзора.

Читайте так же:  Включая выезд за границу

При разработке политики конфиденциальности обратите внимание на цели и объем собираемых данных: не нужно указывать операции, которые редакция не осуществляет, – например, описывать процедуру рассылки, которой по факту не существует.

7. Как уведомить Роскомнадзор об обработке персональных данных?

До начала обработки персональных данных оператор обязан уведомить РКН о своем намерении. По сути, такое уведомление нужно подавать одновременно с созданием организации.

Уведомление требуется от организации, которая:

  • на постоянной основе обрабатывает персональные данные (в штате организации есть сотрудники, проводится подписная кампания, собираются объявления на размещение рекламы);
  • работает с внештатными сотрудниками;
  • регистрирует на своем сайте пользователей или просит заполнить онлайн-формы для различных целей (рассылка, отзывы, подача объявления, «перезвонить мне» и т.д.)

Уведомление можно подать в бумажном виде в территориальный отдел Роскомнадзора по месту регистрации редакции (с подписью уполномоченного лица), предварительно заполнив форму на сайте Роскомнадзора).

Карточка компании попадает в реестр. Вот, например, так выглядит карточка ООО «Русская медиагруппа «Западная пресса».

Неподача уведомления, несвоевременная или некорректная подача являются административным правонарушением: должностные лица могут быть оштрафованы на сумму от 300 до 500 рублей, юридические – от 3 до 5 тысяч рублей (ст. 19.7 КоАП РФ). Срок давности привлечения к административной ответственности составляет три месяца с даты возникновения обязанности уведомления (ч. 1 ст. 4.5 КоАП РФ).

При внесении изменений в карточку организации необходимо уведомить Роскомнадзор в течение 10 рабочих дней в том же порядке, в каком подавалось и первоначальное уведомление.

8. Когда уведомление в Роскомнадзор можно не подавать?

В редких случаях ведомство можно не уведомлять (ч. 2 ст. 22 152-ФЗ «О персональных данных»). Из них к деятельности СМИ применимы следующие:

  • ПД обрабатываются исключительно в рамках трудовых отношений – если редакция работает с людьми, не запрашивая дополнительных ПД и не передавая их третьим лицам.
  • ПД необходимы для исполнения договора, стороной которого является субъект ПД, и при этом данные не передаются третьим лицам.
  • Субъект данных сам сделал их общедоступными.
  • Если собираемые ПД включают в себя только фамилии, имена и отчества.
  • Если ПД собираются лишь для того, чтобы однократно пропустить человека на территорию предприятия.
  • Если ПД обрабатываются без использования средств автоматизации (на бумаге).

9. В каких случаях можно не брать согласия на обработку у сотрудников?

Существуют случаи, когда работодатель может обрабатывать данные сотрудника без его согласия (разъяснения Роскомнадзора от 14 декабря 2012 года). Из них к работе СМИ применимы:

  • Случаи, предусмотренные коллективным договором, в том числе правилами внутреннего трудового распорядка, а также локальными актами работодателя.
  • При обработке ПД близких родственников работника в объеме, предусмотренном формой №Т-2 и в некоторых случаях (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).
  • При передаче данных работника третьим лицам в случаях, когда это необходимо для предупреждения угрозы жизни и здоровью работника, и в других случаях, предусмотренных российским законодательством (например, передача сведений о работниках в ФНС, ФСС И ПФР, военкомат и профсоюзы, при командировании в гостиницы).
  • При получении мотивированных запросов от прокуратуры, полиции, ФСБ, трудовых инспекторов.
  • При передаче персональных данных работника кредитным организациям для начисления зарплаты в следующих случаях:

а) договор на выпуск банковской карты заключался с работником напрямую, и в нем предусмотрена передача ПД;

б) наличие у работодателя доверенности на представление интересов работника при заключении договора с финансовой организацией;

в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

  • При оформлении пропуска, если это предусмотрено коллективным договором или ЛНА.
  • Если редакция передает бухгалтерский и кадровый учет на аутсорсинг, ей необходимо заручиться у своих сотрудников отдельным согласием на передачу ПД третьему лицу. В договоре с аутсорсинговой организацией нужно предусмотреть ее обязанность по обеспечению защиты данных сотрудников.

    10. Как должно выглядеть согласие на обработку персональных данных?

    Согласие должно позволять сделать однозначный вывод о целях, способах обработки ПД с указанием действий и объеме собираемых данных (ч. 4 ст. 9 №152-ФЗ «О персональных данных»).

    Согласие сотрудника может быть оформлено отдельно или включено в трудовой договор, Роскомнадзор предлагает оформлять его таким образом.

    Вот примеры согласия на обработку данных посетителей сайта СМИ от Ревда-инфо.ру и ИД «Информ-Полис».

    Согласие на обработку ПД подписчиков газеты может выглядеть так.

    Аналогичным образом оформляется согласие на обработку ПД рекламодателей и других контрагентов.

    11. ​​​Как быть с персональными данными уволенных сотрудников?

    Работодатель имеет право обрабатывать данные уволенного работника в случаях и в сроки, предусмотренные законом, согласия бывших сотрудников при этом не требуется (п. 2 ч. 1 ст. 6 ФЗ «О персональных данных»):

    • четыре года хранить документы, необходимые для исчисления, удержания или перечисления налога (подп. 5. п. 3. ст. 24 Налогового кодекса РФ);
    • хранить бухгалтерскую документацию в течение срока, установленного Госархивом, но не менее пяти лет (ст. 17 ФЗ «О бухгалтерском учете»).

    По истечении установленных законом сроков личные дела работников и иные документы сдаются в архив.

    12. Как обрабатывать данные соискателей?

    Резюме не обходится без персональных данных, поэтому работодатель должен получить предварительное согласие соискателя на обработку его сведений до найма/отказа, кроме случаев, когда:

    • от имени соискателя действует кадровое агентство (согласие дано агенту);
    • соискатель самостоятельно разместил резюме в Интернете.

    Если кандидат выслал резюме по электронной почте, работодатель может получить его согласие на обработку ПД во время личной встречи. Если о встрече не договорились, резюме уничтожается. В случае отказа в приеме на работу данные кандидата уничтожаются в течение 30 дней.

    Работодатель также должен заручиться согласием соискателя, если хочет проверить его прежние рабочие места, кроме случаев, когда:

    • речь идет о приеме на работу бывшего государственного или муниципального служащего (ст. 64.1 ТК РФ);
    • речь идет о замещении вакантных должностей государственной гражданской службы (перечень документов определен ФЗ «О государственной гражданской службе»).

    13. Как журналисту обрабатывать данные героев публикации, источников информации, адресные базы и прочее?

    Журналист может свободно обрабатывать ПД на основании п. 8 ст. 6 №152-ФЗ «О персональных данных», когда такая обработка необходима для осуществления его профессиональной деятельности и не нарушает права и свободы субъекта. Подробнее об этом >>

    Однако когда ПД собираются в адресные базы (источников информации, например), нужно либо получить согласие субъекта данных, либо записать только те данные, по которым человека нельзя идентифицировать.

    Читайте так же:  Гражданская ответственность оценщика

    При этом согласие можно получить и в любой форме – устной или в порядке рабочей переписки: главное, чтобы его наличие можно было подтвердить.

    Источник: http://www.intellectpro.ru/press/works/redaktsiya_kak_operator_personal_nyh_dannyh/

    Как определить у лица статус оператора персональных данных?

    Что такое персональные данные?

    В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    К ним относятся в частности:

    — фамилия, имя, отчество;

    — изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);

    — образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

    — семейное положение, наличие детей, родственные связи;

    — факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

    — финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);

    — прочие сведения, которые могут идентифицировать человека.

    В соответствии со ст. 3 Закона о персональных данных Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    Формально под это определение подпадают почти все физические и юридические лица, государственные и муниципальные органы.

    Вместе с тем, пункт 2 статьи 1 Закона о персональных данных устанавливает, что действие указанного закона не распространяется на отношения, возникающие при:

    1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

    2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

    3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

    Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением следующих персональных данных:

    1) обрабатываемых в соответствии с трудовым законодательством;

    2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

    3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

    4) сделанных субъектом персональных данных общедоступными;

    5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

    6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

    7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

    8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

    9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

    За нарушение порядка обработки персональных данных предусмотрена ответственность по ст. 13.11. КоАП РФ — нарушение законодательства Российской Федерации в области персональных данных.

    Необходимо отметить, что на сегодняшний день, не существует четкого перечня мер, которые необходимо предпринять оператору персональных данных, для обеспечения их безопасного хранения.

    Меры по хранению персональных данных:

    Вместе с тем, исходя из практики, можно выделить два раздела мер по хранению и обработке персональных данных: создание комплекса документации по хранению и обработке персональных данных и меры технического характера.

    В указанной статье нами будет рассмотрена именно документальный раздел обеспечения обработки и хранения персональных данных.

    В перечень документации по хранению и обработке персональных данных необходимо включить следующее:

    1) приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных). Вы можете назначить любого работника вашего учреждения, например специалиста отдела по управлению персоналом. Главное, чтобы этот работник смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.

    2) положение о защите персональных данных работников учреждения или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных).

    3) приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников учреждения. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.

    Рекомендуется у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных с учетом абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных;

    4) Иные необходимые документы (например – журнал учета ключей от помещения, в котором расположен сервер с персональными данными, в том случае, если такое помещение существует)

    Из вышеизложенного можно сделать вывод о том, что лицо осуществляющее хранение и обработку персональных данных, за исключением случаев, установленных действующим законодательством, является оператором персональных данных и, как следствие, несет установленную законом ответственность за нарушение установленного порядка обработки и хранения персональных данных.

    Материал опубликован пользователем.
    Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

    Видео (кликните для воспроизведения).

    Источник: http://vc.ru/legal/59624-kak-opredelit-u-lica-status-operatora-personalnyh-dannyh

    Паспорт оператора персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here