Кто является оператором персональных данных

Содержание статьи:

Обработка персональных данных управляющими организациями

Кто является оператором персональных данных

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

Обратите Внимание!

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные.

Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому  управляющие организации являются операторами по обработке персональных данных.

ГИС, сдавайся!(часть VIII) Вносим в ГИС ЖКХ информацию о договоре управления

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

Самое Важное!

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили,  вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.Правомерность обнародования списка должников ЖКУ

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или  при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Полезный Совет!

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в  отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм  был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Источник: https://roskvartal.ru/deyatelnost-uk/8029/roskomnadzor-ob-obrabotke-personalnyh-dannyh

Что ждет владельцев сайтов в свете изменений в законе «О персональных данных»

С 1 июля 2017 года в силу вступают поправки в ст.13.11 КоАП, ужесточающие наказание за нарушения требований закона «О персональных данных». Эти изменения затрагивают всех, кто является оператором персональных данных, то есть собирает, обрабатывает и хранит любые персональные данные.

Это значит, что все владельцы таких сайтов, которые получают информацию от пользователей, должны внимательно изучить изменения в законодательстве и подготовить свой сайт к 1 июля этого года.

На данный момент протоколы о нарушениях в этом вопросе выписывает только прокуратура, поэтому процесс протекает не быстро. Да и размеры штрафов ограничены — индивидуальный предприниматель выплачивает 1000 рублей, а юридическое лицо 10 000 рублей.

С 1 июля штрафы станут больше и для ЮЛ могут доходить до 75 000 рублей, сфера их применения шире, а протоколы будет выписывать Роскомнадзор, а значит процедура будет идти гораздо быстрее.

При этом, итоговая сумма штрафа за нарушения закона «О персональных данных» может дойти до 295 000 рублей.

Кто является оператором персональных данных?

Закон не дает четкого ответа на вопрос, что относится к персональным данным и определяет их как – любую информацию, относящуюся к прямо или косвенно определенному, или определяемому физическому лицу.

Это значит, что хранение имен или ников не позволяет четко идентифицировать человека, а вот наличие имени вместе с другими данными, такими как электронная почта или номер телефона уже позволяет это сделать.

Если Вы владелец сайта (не важно являетесь Вы ФЛ, ИП, ЮЛ), то Вы будете рассматриваться как оператор персональных данных при получении следующей информации:

  • ФИО (или какую-то часть ФИО),
  • физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение,
  • и другие варианты.

Перечень не является закрытым, а значит в случае судебного разбирательства вопрос будет решаться судом.

И практика по существующим делам показывает, что суд встает на сторону субъекта персональных данных, а не оператора.

Широкая трактовка понятия и наработанная судебная практика показывают, что даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными.

Обратите Внимание!

Так управляющая компания в Астрахани была оштрафована за то, что передала юристам данные должников для составления искового заявления, так как при сборе данных жильцы не давали свое согласие на это.

Закон будет распространяться на Вас, даже если пользователи сами оставляют Вам эти данные, заполняя формы заказа или обратной связи на сайте. Поэтому личные кабинеты, ФОС, подписки, регистрации, заполнения анкет – всё это попадает под обработку персональных данных.

Неправильно: не запрашивается согласие пользователя на обработку его персональных данных и нет ссылки на Политику конфиденциальности.

Что нужно сделать, чтобы не попасть под штраф?

Чтобы не оказаться в числе оштрафованных, нужно получить согласие субъекта персональных данных на обработку его данных, то есть:

  • получить письменное согласие у каждого посетителя сайта, подписчика на рассылку, клиента, оставляющего заявку на обработку, хранение и распространение его персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных;
  • запрашивать только те данные, которые нужны для конкретной цели, а не собирать как можно больше информации о посетителе. Для подписки на e-mail рассылку достаточно получить e-mail, для выезда замерщика на дом достаточно получить ФИО, адрес и номер, сбор паспортных данных будет лишним в обоих случаях;
  • использовать полученные данные только для тех целей, для которых они изначально собирались и о чем был уведомлен субъект персональных данных. Это значит, что Вы не можете по настроению передать базу для e-mail рассылки своему коллеге из другой компании или любому третьему лицу, если изначально не предупреждали об этом;
  • в соответствии со ст.14152-ФЗ «О персональных данных» субъект персональных данных имеет право на доступ к своим данным. Причем он может потребовать не только факт подтверждения взятия данных на обработку, но и правовые основания и цели сбора, данные об операторе (место нахождения, наименование, сведения о компании), а также срок, во время которого данные будут храниться. Полный список можно посмотреть в статье Закона;
  • оператор обязан удалять по требованию субъекта данные о нём, хранить базы в надежном месте и защищать их от взлома или утечки, а также обучать сотрудников работе с такими данными;
  • и самое важное – оператор персональных данных должен зарегистрироваться в Роскомнадзоре.
Интересно:  Как проверить страховку росгосстрах на подлинность

Правильно: есть поле для согласия пользователя об обработке его персональных данных и дана ссылка на Политику конфиденциальности.

Регистрация с Роскомнадзоре

Хорошие новости заключатся в том, что для регистрации никуда не нужно ехать. Можно заполнить форму на сайте Роскомнадзора, а затем распечатать её, подписать и направить в территориальный орган Роскомнадзора по месту Вашей регистрации.

Сделать это необходимо как можно скорее.

Работать с персональными данными без уведомления органов можно в нескольких случаях. К ним относятся:

  • обработка данных в соответствии с трудовым законодательством,
  • если данные были получены в рамках заключения договора между оператором и субъектом, при условии, что персональные данные будут использовать исключительно для исполнения договора, а значит они не будут использоваться или распространяться,
  • если данные о субъекте были получены из открытого источника, то есть были общедоступными,
  • если данные включают только ФИО субъекта.

Исполнение требований закона «О защите персональных данных»

Если Вы владелец сайта и работаете с персональными данными, то Вам необходимо подготовить документы и разместить их на сайте до 1 июля текущего года.

Это может быть пользовательское соглашение, политика конфиденциальности или просто фиксирование этой информации в рамках договора или оферты. Названия могут отличаться друг от друга, но смысл всех этих документов одинаков.

Всё, что обязательно должно содержаться в текстедокумента, перечислено в ч.4 ст.9 закона «О персональных данных».

Не нужно брать чужие документы, в надежде, что в крупной компании грамотные юристы, которые верно составили текст и учли все нюансы. Вам нужно внимательно отнестись к этому соглашению, возможно взять за ориентир чужие версии, но обязательно посмотреть на них сквозь призму Вашего интернет-магазина или портала услуг.

Помимо грамотного документа, Вам необходимо получить четкое подтверждение от пользователя, что он ознакомлен с ним и дает свое согласие, поэтому просто разместить документ где-то на внутренней странице не получится. Отличным вариантом является галочка в форме регистрации или при заполнении любой иной формы на сайте, где вводятся данные пользователя. Не лишним будет заверить веб-страницы у нотариуса.

Необходимо внести информацию об обработке таких данных и во внутренние документы компании, однако эти документы уже не нужно выкладывать в общий доступ. Достаточно просто привести их в порядок.

Если Вы сомневаетесь в том, нужно ли Вам уведомлять о своей деятельности Роскомнадзор, то лучше уведомьте или направьте запрос с вопросом.

И напоследок

Не думайте, что закон не затрагивает Вас лично. Даже на текущий момент есть судебные дела, в которых после заявления прокуратуры суд накладывал штрафы на юрлица. Сейчас же закон становится жестче и реализация через Роскомнадзор будет быстрее.

Помимо штрафа с Вас могут потребовать компенсацию морального вреда, которая обычно составляет 10000 рублей, что вдобавок к штрафу будет не очень приятным бонусом.

В отдельных случаях (в зависимости от серьезности правонарушения) компания может попасть под проверку не только Роскомнадзора, но и ФСТЭК и ФСБ РФ. Но они участвуют только в очень редких случаях.

Самое Важное!

Что касается требования хранить персональные данные только на российских серверах, то ответ на этот вопрос не стольоднозначный. Так как даже сам закон содержит статью про трансграничную передачу данных.

Судебной практики по этим делам ещё недостаточно, чтобы сделать вывод о применении статьи, поэтому советуем обращаться в каждом отдельном случае в Роскомнадзор или Минкомсвязь за получением разъяснения.

Можно так же направить запрос хостинг-провайдеру, так как многие из них имеют готовые решения по этому вопросу.

Источник: https://ima-pr.ru/blog/zakon-o-personalnyh-dannyh

Кто относится к операторам персональных данных, что является персональными данными

152-ФЗ: закон о персональных данных на сайте Консультанта

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Збагойно: 152-ФЗ — в «Деле»

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

  • электронная почта;
  • телефон,
  • имя и фамилия;
  • дата рождения;
  • адрес;
  • ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные своих клиентов другим компаниям:

  • временные метки;
  • деперсонализированный идентификатор useid;
  • адреса страниц, к которым было обращение;
  • адреса, с которых был переход;
  • информацию о браузере и устройстве, с которого был запрос;
  • IP-адрес.

По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.

Суд с компанией не согласился и назначил штраф 30 000 рублей.

Судебное решение

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

152-ФЗ о персональных данных на сайте Консультанта

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Оферта с пользователями

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю. «» выиграл суд.

Судебное дело

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы : имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

  • обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.
  • Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

  • обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
  • использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

Реестр операторов персональных данных на сайте Роскомнадзора

В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

Полезный Совет!

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

  • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
  • карт лояльности;
  • рекламных рассылок;
  • оказания услуг;
  • регистрации на сайтах;
  • звонков потенциальным клиентам.

Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.

Источник: https://delo.modulbank.ru/all/data_operator

Как стать оператором персональных данных в реестре Роскомнадзора 2017

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail.

Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.

2006 № 152-ФЗ:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Интересно:  Почему социальная карта не работает в автобусе

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работает с ПД и несет ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД.

Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

  • проводить разъяснительную работу с субъектом ПД, а также получать его предварительное согласие на обработку личной информации;
  • публично представлять политику в отношении обработки ПД;
  • обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения;
  • уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели;
  • блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя).

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются организации и частные лица, которые имеют дело с информацией, которая:

  • собирается и хранится в соответствии с трудовым законодательством;
  • получена исключительно для оказания услуг связи по заключенному договору, она не распространяется и не предоставляется третьим лицам без согласия субъекта ПД;
  • относится к членам (участникам) общественного объединения или религиозной организации для достижения целей, предусмотренных их учредительными документами;
  • сделана субъектом ПД общедоступной;
  • включает в себя только фамилии, имена и отчества субъектов ПД;
  • необходима для оформления однократного пропуска на территорию организации;
  • включена в системы со статусом государственных автоматизированных информсистем, а также в государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатывается без использования средств автоматизации (компьютера);
  • обрабатывается для обеспечения безопасного функционирования транспортного комплекса.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

То есть работодатели, компании, оказывающие услуги связи, религиозные организации, лица, получающие ПД только для исполнения договоров, и многие другие уведомлять о сборе и обработке ПД не должны.

Те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346. Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации на бумаге либо в электронном варианте. В нем обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119.

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок.

Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления.

Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Обратите Внимание!

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатные.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.

11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных.

В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 до 75 тысяч рублей, а для ИП — от 5 до 20 тысяч рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Форма заявления об исключении из реестра

СКАЧАТЬ

Источник: https://subscribe.ru/group/yuristokrat-yuridicheskaya-pomosch/13964625/

Кто является оператором персональных данных

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных. 4.

А ваша организация – оператор персональных данных?

информацию о месте нахождения базы данных информации, содержащей персональные данные россиян;

  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ (речь, в частности, идет об уровнях защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности, требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, а также о требованиях к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных).

СОДЕРЖАНИЕ При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно.

Оператор персональных данных

  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, причем они должны иметь право получать лишь те данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • ограничивать информацию, передаваемую представителям работников, лишь теми данными работника, которые необходимы для выполнения указанными представителями их функций (ст. 88 ТК РФ).

3 Принимать меры для обеспечения безопасности персональных данных (ст.

Политика оператора персональных данных

ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных? Ответ: Согласно ч.

2 ст. 6. Федерального закона 27.07.2006 г.

Ответы роскомнадзора на вопросы о персональных данных

Вправе ли физическое лицо представлять персональные данные своих близких родственников?Ответ:Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами. 8.Если при обработке персональных данных организацией нарушаются мои права, куда я могу обратиться за защитой?Ответ:Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора.

Статья 18. обязанности оператора при сборе персональных данных 

Однако оператор по ошибке направил уведомление в уполномоченный орган.

Каким образом оператор может отозвать свое уведомление и попросить исключить его из реестра операторов? Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» не предусматривает случаи исключения оператора из реестра в случае ошибочного направления уведомления.Ответ: Существующий сегодня Административный регламент предусматривает исчерпывающий перечень оснований для исключения Оператора из Реестра, и действительно, такое основание как ошибочное направление уведомления им не предусмотрено.

Административный регламент в этой части требует изменений, однако решение о внесении таких изменений будет приниматься Роскомнадзором.

Обязанности оператора при обработке персональных данных

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

Вопрос: Вправе ли кредитная организация обрабатывать персональные данные физических лиц, получивших отказ в предоставлении кредита? Возможно ли хранить формы анкет-заявок на получение кредита в формате цифровых копий? Ответ: Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации, подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Самое Важное!

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Внимание Оператор также должен обеспечивать необходимые организационные и технические меры для пресечения попытки незаконного доступа к персональным данным. Каждый оператор персональных данных обязан иметь пакет документов, подтверждающих защищенность Пдн сотрудников и клиентов.

Кто не является оператором персональных данных

Вопрос: Является ли обработкой персональных данных поступление телефонных звонков с целью проведения телефонных опросов граждан? Ответ: Согласно, ст. 3 Федерального закона 27.07.2006 г.

№ 152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Интересно:  Как забрать страховку после выплаты кредита

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи.
Тем не менее, возникает вопрос, почему Оператор хочет исключиться из реестра.

В среде операторского сообщества существует мнение, что организации, находящиеся в реестре, подлежат обязательно проверке уполномоченным органом, хотя на деле мы большее внимание уделяем тем организациям, кого нет в реестре, и учитываем этот факт при составлении плана проверок.

Факт нахождения в реестре говорит о добропорядочности оператора и о прозрачности его деятельности. Многие жалобы начинаются со слов, что некого оператора нет в реестре, и далее звучит просьба его проверить.
Поэтому, прежде чем исключаться из реестра, советую хорошенько подумать, а если ещё не внесены в реестр и имеются какие-то сомнения о необходимости подачи соответствующего уведомления, рекомендую сомнения оставить и уведомление подать, от этого больше плюсов, чем минусов.

Кто является оператором по обработке персональных данных

Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных и.т.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого либо конкретного субъекта персональных данных.

Источник: http://aval48.ru/kto-yavlyaetsya-operatorom-personalnyh-dannyh/

Реестр операторов персональных данных

Закон о персональных данных № 152-ФЗ от 27.07.2006 обязует пройти регистрацию в специальном реестре всех, кто занимается обработкой персональных данных. Что это за реестр, для кого включение в него является обязательным, и как происходит процедура регистрации – об этом наша статья.

Кто является оператором персональных данных

К операторам закон № 152-ФЗ относит госорганы, организации и физлиц, которые собирают персональные данные, а также самостоятельно определяют цели сбора, состав сведений, и совершаемые с ними действия (ст. 3 закона № 152-ФЗ).

Проще говоря, оператор персональных данных, это тот, кто использует личные данные граждан для трудовых и прочих отношений. Их главной задачей является сохранение конфиденциальности полученных персональных данных, т.е. запрет передавать данные третьим лицам и распространять их без согласия самого физлица, если только эти данные не обезличены.

Реестр операторов персональных данных Роскомнадзора

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных — Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ).

Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор.

В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Уведомление достаточно подать единожды за весь период работы оператора. В то же время, закон содержит перечень исключений, когда работать с личными данными можно без включения в реестр операторов персональных данных (ч. 2 ст. 22 закона № 152-ФЗ):

  • когда операторы-работодатели обрабатывают только данные, полученные в соответствии с трудовым законодательством;
  • если оператор получил данные от контрагента в связи с заключением договора и не использует их в иных целях, кроме исполнения договора;
  • когда оператор персональных данных — религиозная или общественная организация, которая обрабатывает личные данные своих участников для целей, предусмотренных ее уставом;
  • если гражданин сам сделал общедоступными свои персональные данные;
  • если персональные данные не включают ничего, кроме Ф.И.О.;
  • когда данные получают для оформления разового пропуска;
  • при обработке персональных данных государственными автоматизированными инфосистемами;
  • если личные данные обрабатываются «на бумаге», т.е. без применения автоматизации;
  • когда данные используются для обеспечения безопасности транспортных систем.

Все, кто не указан в данном списке, уведомление для включения в реестр операторов персональных данных Роскомнадзора подать обязаны.

Многие ИП и организации игнорируют данное требование либо узнают о нем слишком поздно.

Но подать уведомление для включения в реестр можно и позже, указав в нем реальную дату начала обработки персональных данных, при этом никаких штрафных санкций за опоздание не последует.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

  • сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
  • правовое основание и цели обработки данных согласно уставу;
  • описание мер и средств защиты личных данных;
  • фактическую дату начала обработки персональных данных оператором;
  • условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
  • категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
  • действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
  • данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью.

К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.

) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Полезный Совет!

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр. 

Источник: https://spmag.ru/articles/reestr-operatorov-personalnyh-dannyh

Персональные данные. Новые требования к защите сведений о сотрудниках

Стенограмма видеолекции А.В. Слепова.

  • Персональные данные. Новые требования к защите сведений о сотрудниках

А.В.

Слепов: Интерес к теме персональных данных в последнее время возрос в связи с тем, что вступил в силу так называемый закон о локализации баз персональных данных, а также в связи с тем, что проверки в сфере защиты и обработки персональных данных были выведены из под сферы действия закона № 294-ФЗ о защите прав предпринимателей при проведении мероприятий госконтроля и надзора.

Что является персональными данными

Основным вопросом является вопрос о том, что является персональными данными. Согласно определению, данному в законе о персональных данных, в качестве таковых рассматривается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

 Это очень широкое определение и практически любые данные могут быть отнесены к разряду персональных. Важно отметить, что определение персональных данных, которое действовало до 2011 года, согласно которому в качестве персональных данных понимались данные, на основании которых можно определить конкретное физическое лицо, к сожалению, больше не применимо.

 В качестве примера можно сказать, что такой набор данных, как наличие в электронной подписи или просто в подписи, электронном письме данных, таких как ФИО, адрес электронной почты, должность, место работы, контактные данные, эта совокупность данных может рассматриваться как персональные.

Обработка персональных данных

Обработка персональных данных – любое действие или совокупность действий, как с использованием компьютера, так и без его использование, которое совершается в отношении персональных данных, например: сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, уничтожение и др. действия.

Иногда мы сталкиваемся с позицией компаний о том, что они же персональные данные не обрабатывают, они их просто хранят.

Это может быть применимо к компаниям, которые предоставляют серверы для хранения данных, поскольку сам процесс хранения уже рассматривается как процесс обработки персональных данных, соответственно лицо становится оператором и должно выполнять требования законодательства о персональных данных.

В результате обезличивания персональных данных, соответствующие обезличенные данные персональными быть не перестают. Именно таким образом сформулирован наш закон о персональных данных, соответственно, к таким данным продолжают применяться требования законодательства о персональных данных.

Если вы собираете общедоступные данные, например, с использованием интернета, социальных сетей и т.д., то такого рода деятельность тоже рассматривается как обработка персональных данных.

Локализация баз персональных данных

Основной новеллой является закон о локализации баз персональных данных, который вступил в силу с 01 сентября 2015г.

и касается он не только иностранных компаний и компаний, которые входят в международный холдинг, он может касаться любой компании, к примеру, те из них, которые используют так называемые «облачные услуги».

Операторы, которые такие услуги предоставляют, часто используют серверные мощности, которые расположены не на территории РФ. Согласно основной части закона № 242-ФЗ с 011.09.2015г.

Обратите Внимание!

оператор персональных данных при сборе таких данных, в том числе с использованием интернета, обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, включая обновление и изменение, и извлечение персональных данных  граждан РФ с использованием баз данных, которые находятся на территории РФ.

Данное положение вызвало много споров, трактовок, к примеру, одним из основных спорных вопросов является вопрос о том, достаточно ли обеспечить сохранение персональных данных в базе данных, расположенной  на территории РФ, только при первичном сборе данных или вторичная обработка, например, перенесение данных из одной системы в другую, также подпадает под действие закона.

Что считать базой персональных данных

Примечательно, что между Минсвязи и Роскомнадзором, который является регулятором в сфере защиты персональных данных, возник спор о том, что считать базой персональных данных.

По мнению Министерства, базой персональных данных являются только электронные базы, по мнению Роскомнадзора это могут быть также и физические базы, такие как картотеки, личные дела.

Если исходить из того, что шкаф с личными делами в отделе кадров может рассматриваться как база данных, то составление соответствующего набора документов может рассматриваться в качестве первичного сбора, соответственно, при определенных трактовках закона, может  рассматриваться как его выполнение, даже если впоследствии эти данные вносятся в системы, расположенные на территории РФ.

 К сожалению, до сих пор официальных толкований по этим и другим спорным вопросам нет, более того, ни Минсвязи, ни Роскомнадзор не уполномочены такие комментарии давать.

Можно ли передавать персональные данные за границу

Несмотря на всю строгость закона о локализации, все-таки, ошибочно полагать, что данные нельзя передавать в зарубежные страны. Безусловно, что как таковая трансграничная передача данных остается разрешенной, более того, запрещена быть не может, поскольку это бы противоречило Европейской Конвенции, членом которой является Россия.

В качестве примера такой передачи можно рассматривать передачу резервной копии в иностранную компанию, например, компанию, входящую в одну группу с российской дочерней компанией.

С другой стороны, разрешен также доступ со стороны иностранных коллег к тем базам данных, информационные системы которых расположены в РФ, но при условии, что от работников, если доступ осуществляется к их данным, получено письменное согласие, а также, при условии того, что права доступа должным образом урегулированы на локальном уровне.

Источник: https://www.tspor.ru/article/1632-personalnye-dannye-novye-trebovaniya-k-zashchite-svedeniy-o-sotrudnikah

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *