Остальное 12.08.2018
0 (0 голосов)

Защита персональных данных. Персональные данные

ПРЕДСТАВЛЕНИЕ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ

1. ПРЕДСТАВЛЕНИЕ УВЕДОМЛЕНИЯ. ОБЩАЯ ИНФОРМАЦИЯ

1.1. Нормативное регулирование

Порядок представления уведомлений об обработке персональных данных регулируется:

Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон);

Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции "Ведение реестра операторов, осуществляющих обработку персональных данных" (утв. Приказом Минкомсвязи России от 30.01.2010 N 18) (далее - Регламент);

1.2. Случаи, в которых необходимо представлять уведомление

До начала обработки персональных данных оператор обязан представить в уполномоченный орган уведомление о намерении осуществлять такую обработку (ч. 1 ст. 22 Закона).

Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона). Такой информацией, в частности, являются фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация, относящаяся к субъекту персональных данных (п. 6 Рекомендаций).

Обработкой персональных данных признаются любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации. К таким действиям относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Закона).

Условия обработки персональных данных предусмотрены в ст. 6 Закона.

Обратите внимание!

Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 г., обязаны до 1 января 2013 г. представить в уполномоченный орган следующие сведения (ч. 2.1 ст. 25 Закона):

Информацию о правовом основании обработки персональных данных (п. 5 ч. 3 ст. 22 Закона);

Фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их телефонов, почтовые адреса и адреса электронной почты (п. 7.1 ч. 3 ст. 22 Закона);

Сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки (п. 10 ч. 3 ст. 22 Закона);

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к их защите, установленными Правительством РФ (п. 11 ч. 3 ст. 22 Закона).

Ни Законом, ни Рекомендациями не конкретизировано, каким образом должны быть представлены указанные сведения. Можно предположить, что они либо подаются в уполномоченный орган в том же порядке, что и информационное письмо об изменении сведений, содержащихся в реестре операторов, либо направляются в него в произвольной форме. В случае необходимости представить указанные сведения рекомендуем предварительно уточнить в уполномоченном органе, в какой форме они должны быть представлены.

Не требуется представление уведомления

Без уведомления уполномоченного органа может производиться обработка следующих персональных данных (ч. 2 ст. 22 Закона).

1) обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона);

На практике данное основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что помимо персональных данных работников (полученных в рамках ст.65 ТК РФ), обработка которых не требует уведомления, у них могут находиться персональные данные превышающий данный перечень в т.ч. членов семей сотрудников, их детей - например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ, оформление зарплатных карт и перечисление на них денежных средств, страхование ДМС. Обработка этих персональных данных не признается осуществляемой в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Данное условие применяется, если персональные данные не распространяются и не предоставляются третьим лицам без согласия этого субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона).

Данное основание также является одним из распространенных случаев, при котором уведомление об обработке персональных данных не представляется. Следует иметь в виду, что для обработки персональных данных без представления уведомления по данному основанию должны одновременно соблюдаться все перечисленные выше условия:

Персональные данные не должны распространяться;

Они не должны предоставляться третьим лицам без согласия субъекта персональных данных;

Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных.

Иное использование персональных данных влечет за собой необходимость представить в уполномоченный орган уведомление;

3) относящихся к членам (участникам) общественного объединения или религиозной организации, которые обрабатываются данным объединением (религиозной организацией), действующим в соответствии с законодательством РФ, в целях, предусмотренных учредительными документами. Данное условие применяется, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов таких данных (п. 3 ч. 2 ст. 22 Закона);

4) сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 22 Закона);

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона);

6) необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или аналогичных целей (п. 6 ч. 2 ст. 22 Закона). Данное условие применяется, если данные не фиксируются в информационной системе;

7) включенных в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона);

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 Закона).

Обработка персональных данных без использования средств автоматизации является еще одним из распространенных оснований, при которых она может осуществляться без представления уведомления. Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее - Положение). При соблюдении требований данного Положения подача уведомления согласно п. 8 ч. 2 ст. 22 Закона не требуется.

Если средства автоматизации (вычислительная техника, компьютеры) при обработке персональных данных не используются вовсе, уведомление об обработке персональных данных подаваться не должно (при соблюдении особенностей организации обработки данных, установленных в разд. II Положения). Однако при нынешней распространенности электронно- вычислительной техники она очень часто задействована в обработке персональных данных. Критерии, при которых такая обработка признается (либо не признается) неавтоматизированной, сформулированы в п. п. 1 и 2 Положения. Согласно п. 1 данного Положения считается неавтоматизированной обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека. Кроме того, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 Положения).

Необходимо отметить, что приведенные в п. 1 Положения критерии недостаточно конкретны для разграничения на практике случаев, в которых подача уведомления для обработки персональных данных с применением вычислительной техники требуется и не требуется. В связи с этим при возникновении сложностей с определением того, нужно ли подавать уведомление при различных вариантах использования вычислительной техники в процессе обработки персональных данных, следует уточнять данный вопрос в уполномоченном органе. На сайтах уполномоченных органов (их перечень приведен на сайте Роскомнадзора www.rsoc.ru) могут быть приведены контактные телефоны для обращений по вопросам, связанным с обработкой персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 22 Закона).

1.3. Лица, которые должны представлять уведомление, и орган, в который оно подается

Лица, которые должны представлять уведомление

Представлять уведомление об обработке персональных данных должен оператор (ч. 1 ст. 22 Закона).

Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).

Дополнительная информация о том, должен ли оператор при поручении обработки персональных данных иному лицу подавать уведомление в уполномоченный орган

Оператор вправе поручить обработку персональных данных иному лицу на основании заключенного с ним договора (в то числе государственного или муниципального контракта) либо путем принятия соответствующего акта (если оператор - государственный или муниципальный орган). Для этого необходимо согласие субъекта персональных данных, если иное не установлено законодательством (ч. 3 ст. 6 Закона). Однако поручение обработки персональных данных иному лицу не освобождает оператора от обязанности подавать

уведомление в уполномоченный орган, поскольку, как прямо установлено в ч. 1 ст. 22 Закона, уведомление об обработке персональных данных должно подаваться именно им.

Орган, в который подается уведомление

Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утв. Постановлением Правительства РФ от 16.03.2009 N 228).

Уведомление должно быть направлено в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту нахождения оператора (п. п. 2 и 4.1 Рекомендаций, п. 23 Регламента). Контактная информация территориальных органов (включая адреса их сайтов) приведена на сайте www.rsoc.ru . На сайтах самих территориальных органов может быть приведена информация о конкретном адресе, по которому следует направлять уведомление.

1.4. Последствия обработки персональных данных без подачи уведомления, а также в случаях его несвоевременной подачи либо подачи уведомления, содержащего неполные или недостоверные сведения

Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (то есть уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ. Данная статья предусматривает ответственность за непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.

Ответственность установлена в виде предупреждения или штрафа в размере:

Для граждан - от 100 до 300 руб.;

Для должностных лиц (в том числе индивидуальных предпринимателей - примечание к ст. 2.4 КоАП РФ) - от 300 до 500 руб. При этом согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции. В п. 3 Постановления Пленума ВС РФ от 10.02.2000 N 6 "О судебной практике по делам о взяточничестве и коммерческом подкупе" отмечается, что организационно-распорядительные функции включают в себя, например, руководство коллективом, расстановку и подбор кадров, организацию труда или службы подчиненных, поддержание дисциплины, применение мер поощрения и наложение дисциплинарных взысканий. К административно-хозяйственным функциям могут быть, в частности, отнесены полномочия по управлению и распоряжению имуществом и денежными средствами, находящимися на балансе и банковских счетах организаций и учреждений, а также совершение иных действий: принятие решений о начислении заработной платы, премий, осуществление контроля за движением материальных ценностей, определение порядка их хранения и т.п.;

Для юридических лиц - от 3000 до 5000 руб.

2. ПОРЯДОК ПРЕДСТАВЛЕНИЯ УВЕДОМЛЕНИЯ

2.1. Заполнение формы уведомления об обработке персональных данных

Уведомление об обработке (о намерении осуществлять обработку) персональных данных должно быть составлено на бланке оператора по форме, приведенной в приложении к Рекомендациям (п. 2 Рекомендаций). Уведомление может быть составлено и направлено в уполномоченный орган как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона, п. 3 Рекомендаций). Об особенностях заполнения и представления уведомления в электронной форме см. в разделе материала о представлении уведомления в уполномоченный орган.

В уведомлении указывается наименование уполномоченного органа, в который оно представляется, а также приводятся следующие сведения:

1. Наименование (ФИО), адрес оператора;

Операторы - юридические лица указывают в данной графе (п. 4.1 Рекомендаций):

Полное наименование с указанием организационно-правовой формы, а также сокращенное наименование;

Для юридических лиц с филиальной структурой - наименование филиалов (представительств), осуществляющих обработку персональных данных. Также необходимо указать список субъектов РФ (с указанием кода субъекта РФ согласно Справочнику "Коды регионов" - приложение N 6 к Приказу ФНС России от 17.11.2010 N ММВ-7-3/611@), на территории которых находятся такие филиалы (представительства) и (или) где оператор производит обработку персональных данных;

Место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию. Для организаций, имеющих филиалы (представительства), указываются также юридический и почтовый адреса филиалов и представительств, осуществляющих непосредственную обработку персональных данных. При этом необходимо уточнить, осуществляется ли обработка только самим юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами);

Операторы - физические лица указывают (п. 4.2 Рекомендаций):

Место нахождения в соответствии со свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию;

Данные документа, удостоверяющего личность, дату его выдачи, наименование органа, выдавшего документ;

Операторы - государственные и муниципальные органы указывают (п. 4.3 Рекомендаций):

Полное и сокращенное наименование;

Наименование территориальных органов, осуществляющих обработку персональных данных;

Место нахождения в соответствии с учредительными документами и свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию;

В п. 4 Рекомендаций установлено, что при указании наименования (фамилии, имени, отчества) оператора, а также направления деятельности рекомендуется использовать также ссылки на коды классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).

  1. 2. Правовое основание обработки персональных данных.

В данной графе необходимо указать федеральный закон, постановление Правительства РФ, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных. При этом указываются не только соответствующие статьи Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: ст. ст. 85 - 90 ТК РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12 Федерального закона от 15.11.1997 N 143-ФЗ "Об актах гражданского состояния" и др.) (п. 8 Рекомендаций).

При осуществлении лицензируемого вида деятельности необходимо указать также номер, дату выдачи и наименование лицензии на осуществляемый вид деятельности. Также согласно п. 8 Рекомендаций должны быть приведены (при их наличии и распространении на лицензиата) лицензионные условия (конкретный их пункт), закрепляющие запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.

  1. 3. Цель обработки персональных данных.

- "оказание услуг по...";

- "выполнение работ по...";

- "осуществление... деятельности".

  1. 4. Категории персональных данных.

В данном поле указываются все категории персональных данных, подлежащих обработке (п. 6 Рекомендаций):

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации относятся фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация, относящаяся к субъекту персональных данных (п. 6.1 Рекомендаций);

Специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, состояние здоровья, интимной жизни) (п. 6.2 Рекомендаций). Перечень случаев, при которых допускается обработка специальных категорий персональных данных, установлен в ч. 2 ст. 10 Закона;

Биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность) (п. 6.3 Рекомендаций). Данные сведения могут обрабатываться оператором только при наличии письменного согласия субъекта персональных данных (за исключением случаев, установленных в ч. 2 ст. 11 Закона) (ч. 1 ст. 11 Закона).

  1. 5. Категории субъектов, персональные данные которых обрабатываются.

Работники, состоящие в трудовых отношениях с юридическим лицом;

Физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом.

  1. 6. Перечень действий с персональными данными, общее описание используемых оператором способов их обработки.

Указывается способ обработки персональных данных (п. 9 Рекомендаций):

Неавтоматизированная обработка персональных данных;

Исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

Смешанная обработка персональных данных.

При автоматизированной либо смешанной обработке персональных данных необходимо указать, передается полученная в ходе обработке информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников), с использованием сети Интернет либо вообще не передается (п. 9 Рекомендаций). На практике уполномоченный орган может потребовать четкого указания в уведомлении соответствующих вариантов:

- "информация передается по внутренней сети юридического лица";

- "информация не передается по внутренней сети юридического лица";

- "информация доступна лишь для строго определенных сотрудников";

- "информация передается с использованием сети общего доступа Интернет";

- "без передачи полученной информации".

  1. 7. Описание мер, предусмотренных статьями 18.1 и 19 Закона.

В данной графе оператор должен указать (п. 10 Рекомендаций):

а) описание мер, предусмотренных ст. ст. 18.1 и 19 Закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

В ст. 18.1 Закона установлен перечень мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Законом. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения данных обязанностей (если иное не предусмотрено

Законом или иными федеральными законами). К таким мерам могут относиться, в частности (ч. 1 ст. 18.1 Закона):

Назначение оператором-организацией лица, ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1 Закона);

Издание оператором-организацией документов, определяющих его политику в отношении обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1 Закона);

Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона (п. 3 ч. 1 ст. 18.1 Закона);

Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора (п. 4 ч. 1 ст. 18.1 Закона);

Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение его с принимаемыми оператором мерами (п. 5 ч. 1 ст. 18.1 Закона);

Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите таких данных, документами, определяющими политику оператора в отношении их обработки, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников (п. 6 ч. 1 ст. 18.1 Закона).

В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 18.1 Закона.

В ст. 19 Закона предусмотрены возможные меры по обеспечению безопасности персональных данных при их обработке. Оператор должен принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ч. 1 ст. 19 Закона).

Примерный перечень таких мер приведен в ч. 2 ст. 19 Закона, к ним, в частности, относятся:

Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (п. 1 ч. 2 ст. 19 Закона);

Организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (п. 2 ч. 2 ст. 19 Закона);

Применение прошедших процедуру оценки соответствия средств защиты информации (п. 3 ч. 2 ст. 19 Закона);

Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (п. 4 ч. 2 ст. 19 Закона);

Учет машинных носителей персональных данных (п. 5 ч. 2 ст. 19 Закона);

Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер (п. 6 ч. 2 ст. 19 Закона);

Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (п. 7 ч. 2 ст. 19 Закона);

Установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных (п. 8 ч. 2 ст. 19 Закона);

Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем (п. 9 ч. 2 ст. 19 Закона).

В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 19 Закона. Необходимо отметить, что на практике уполномоченный орган особое внимание обращает на наличие в уведомлении конкретного перечня организационных и технических мер. К

организационным мерам, в частности, можно отнести принятие организацией локальных нормативных актов (внутренних документов - приказов, положений, регламентов). К техническим мерам, например, относятся:

Защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах);

Защита паролем компьютеров с персональными данными;

Использование системы паролей при работе в сети (на портале);

Ограничение доступа к компьютерной технике для определенных категорий работников.

При смешанной обработке персональных данных уполномоченный орган может потребовать, чтобы перечень мер по обеспечению безопасности персональных данных был приведен отдельно для персональных данных на бумажных носителях и на электронных носителях.

В случае использования оператором шифровальных (криптографических) средств в уведомлении также указываются следующие сведения (п. 10 Рекомендаций):

Наименование, регистрационные номера и производители используемых средств;

Уровень криптографической защиты персональных данных;

Уровень специальной защиты от утечки по каналам побочных излучений и наводок;

Уровень защиты от несанкционированного доступа.

Данная информация предоставляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утв. руководством 8 Центра ФСБ России от 21.02.2008 по делу N 149/5-144;

б) фамилию, имя, отчество физического лица или сотрудника юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.

Оператор-организация должен назначить лицо, ответственное за организацию обработки персональных данных (ч. 1 ст. 22.1 Закона). Данное лицо должно получать указания непосредственно от исполнительного органа оператора и подотчетно ему (ч. 2 ст. 22.1 Закона). Обязанности лица, ответственного за обработку персональных данных, установлены в ч. 4 ст. 22.1 Закона;

в) класс информационной системы персональных данных оператора.

Порядок проведения классификации информационных систем персональных

данных (далее - Порядок классификации) утвержден Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20. Согласно п. 10 Рекомендаций класс информационной системы указывается в заявлении в соответствии с п. 14 Порядка классификации:

Класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

Класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

Класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

Класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Классификация информационных систем должна проводиться оператором (п. 2 Порядка классификации). Необходимая для этого последовательность действий подробно изложена в Порядке классификации.

  1. 8. Сведения о наличии или отсутствии трансграничной передачи персональных данных.

В данной графе указываются сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки. При трансграничной передаче персональные данные передаются на территорию иностранного государства его органу власти, иностранному физическому или юридическому лицу (п. 11 ст. 3 Закона). Если такая передача осуществляется, необходимо привести перечень иностранных государств, на территорию которых передаются персональные данные (п. 11 Рекомендаций).

Условия, при которых допускается трансграничная передача персональных данных, установлены в ст. 12 Закона.

  1. 9. Сведения об обеспечении безопасности персональных данных.

Необходимо указать сведения об обеспечении безопасности персональных

данных в соответствии с требованиями к их защите, установленными

Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства РФ от 17.11.2007 N 781);

Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства РФ от 15.09.2008 N 687), в разд. III которого приведены меры по обеспечению безопасности персональных данных при такой обработке.

  1. 10. Дата начала обработки персональных данных.

В данной графе указывается фактическая дата начала обработки персональных данных. Такой датой признается конкретная дата (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с персональными данными с использованием или без использования средств автоматизации. В частности, к таким действиям относятся запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 13 Рекомендаций).

  1. 11. Срок или условие прекращения обработки персональных данных.

Указывается конкретная дата (число, месяц, год) или основание (условие),

наступление которого влечет прекращение обработки персональных данных (п. 14 Рекомендаций).

Такими основаниями могут являться, например, ликвидация юридического лица, аннулирование лицензии на осуществление соответствующего вида деятельности, прекращение осуществления той деятельности, в рамках которой обрабатывались персональные данные.

Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона, п. 3 Рекомендаций). Ни в Законе, ни в Рекомендациях не конкретизируется, какое именно лицо должно подписать уведомление. О возможном варианте (руководитель организации, лицо, наделенное данными полномочиями по доверенности) рекомендуем узнать в уполномоченном органе.

На оператора не могут возлагаться расходы, связанные с рассмотрением уведомления уполномоченным органом, а также с внесением сведений в реестр операторов (ч. 5 ст. 22 Закона). Следовательно, процедура подачи уведомления об обработке персональных данных является для оператора бесплатной, и никакие документы об оплате госпошлины с уведомлением представляться не должны.

2.2. Представление уведомления в уполномоченный орган

Уведомление направляется оператором в уполномоченный орган на бумажном носителе или в электронной форме (ч. 3 ст. 22 Закона, п. 3 Рекомендаций). Если уведомление составлено на бумажном носителе, оно может быть отправлено в уполномоченный орган по почте. На практике некоторые уполномоченные органы допускают возможность непосредственной подачи уведомления. Адреса для направления уведомления по почте и его непосредственного представления приведены на сайтах уполномоченных органов (их перечень указан на сайте Роскомнадзора www.rsoc.ru).

Особенности оформления и представления уведомления в электронной форме

Согласно ч. 3 ст. 22 Закона и п. 3 Рекомендаций оператор вправе составить и направить уведомление в уполномоченный орган в электронной форме. В то же время в п. 25 Регламента предусмотрено, что после заполнения данного уведомления в электронной форме оно все равно должно быть распечатано и направлено в уполномоченный орган на бумажном носителе.

Заполнить заявление в электронной форме оператор может:

На интернет-портале персональных данных (www.pd.rsoc.ru/operators- registry/notification);

На сайте уполномоченного органа (на некоторых сайтах предусмотрена возможность заполнить данное уведомление непосредственно на самом сайте, на других предусмотрена ссылка на соответствующий раздел интернет-портала персональных данных).

На сайте Роскомнадзора и интернет-портале персональных данных в соответствующих разделах также содержатся разъяснения Роскомнадзора, подтверждающие, что на настоящий момент после заполнения уведомления в электронном виде его необходимо распечатать и направить в уполномоченный орган на бумажном носителе.

При заполнении уведомления в электронной форме в нем указываются те же сведения и в том же порядке, что и в форме уведомления, приведенной в Приложении к Рекомендациям.

При поступлении уведомления в уполномоченный орган оно регистрируется сотрудником данного органа (п. 26 Регламента).

Последствия представления уведомления, содержащего неполные или недостоверные сведения

В случае представления уведомления, содержащего неполные или недостоверные сведения, уполномоченный орган вправе потребовать их уточнения до внесения данных сведений в реестр операторов (ч. 6 ст. 22 Закона). В таком случае уполномоченный орган направляет оператору письмо с уведомлением о его вручении, в котором содержится запрос об уточнении предоставленных сведений (п. 29 Регламента).

Оператор обязан сообщить уточненные сведения в течение 7 рабочих дней с даты получения запроса (п. 30 Регламента). Если в течение 30 дней с даты регистрации уведомления уточненные сведения не поступят, ранее представленное уведомление возвращается оператору без внесения сведений о нем в реестр (п. 31 Регламента).

Внесение сведений об операторе в реестр

В течение 30 дней с даты поступления уведомления уполномоченный орган вносит сведения, содержащиеся в уведомлении (а также сведения о дате направления уведомления), в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона). Необходимо отметить, что Регламентом предусмотрен меньший срок для осуществления данной процедуры - 15 дней (п. 18 Регламента). В течение этого срока руководитель Роскомнадзора должен издать приказ о внесении сведений об операторе в реестр (п. 35 Регламента). Эти положения не противоречат требованиям ч. 4 ст. 22 Закона, где установлен лишь максимальный срок на внесение сведений в реестр. Так как данный срок установлен в Регламенте, можно предположить, что действия по внесению сведений об операторе в реестр должны быть совершены в течение 15 дней.

На основании приказа руководителя Роскомнадзора в реестр вносится запись об операторе. Указанной записи присваивается регистрационный номер (п. 35 Регламента). В срок не позднее 3 дней с даты подписания приказа информация о внесении сведений об операторе в реестр размещается на официальном сайте Роскомнадзора (www.rsoc.ru) (п. п. 21 и 36 Регламента).

Дополнительная информация о возможных действиях оператора при отказе в приеме уведомления или во внесении сведений о нем в реестр, либо при невнесении данных сведений в установленный срок

Если уполномоченный орган отказал оператору в приеме уведомления или внесении сведений о нем в реестр, либо если данные сведения не были внесены в установленный срок, соответствующее решение либо действия (бездействие) уполномоченного органа можно обжаловать в арбитражном суде в порядке, предусмотренном гл. 24 АПК РФ. Обжаловать действие (бездействие) можно в течение 3 месяцев со дня, когда организации или индивидуальному предпринимателю стало известно о нарушении их прав и законных интересов (п. 4 ст. 198 АПК РФ).

Возможен и административный порядок обжалования, установленный в гл. 2.1 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Закон N 210-ФЗ). В ст. 11.1 Закона N 210-ФЗ приведен примерный перечень тех нарушений порядка предоставления госуслуг, которые могут обжаловаться в досудебном (внесудебном) порядке. К ним относятся, в частности, нарушение срока предоставления госуслуги (п. 2 ст. 11.1 Закона N 210-ФЗ), отказ в ее предоставлении по основаниям, не установленным нормативно-правовыми актами (п. 5 ст. 11.1 Закона N 210-ФЗ), требование у заявителя документов, не предусмотренных нормативно-правовыми актами (п. 3 ст. 11.1 Закона N 210-ФЗ), или отказ в приеме документов (п. 4 ст. 11.1 Закона N 210-ФЗ).

Общие требования к порядку подачи и рассмотрения жалобы установлены в ст. 11.2 Закона N 210-ФЗ. Жалоба подается непосредственно в тот орган, который предоставляет госуслугу (то есть в управление Роскомнадзора по субъекту РФ), а в случае, если обжалуется решение руководителя этого органа, - в вышестоящий орган (ч. 1 ст. 11.2 Закона N 210-ФЗ). Вышестоящим органом в данном случае будет являться Роскомнадзор.

Требования к содержанию жалобы указаны в ч. 5 ст. 11.2 Закона N 210-ФЗ.

Нарушение сроков предоставления госуслуги либо ее непредоставление влечет за собой для должностного лица федерального органа исполнительной власти административную ответственность по ч. 1 ст. 5.63 КоАП РФ (штраф в размере от 3000 до 5000 руб.), а требование им в ходе предоставления госуслуги от заявителя документов или платы, не предусмотренных законодательством, - административную ответственность по ч. 2 ст. 5.63 КоАП РФ (штраф в размере от 5000 до 10 000 руб.).

Ни Законом, ни Рекомендациями, ни Регламентом не предусмотрена обязательная выдача оператору какого-либо документа, подтверждающего подачу уведомления и факт внесения в реестр соответствующих сведений. В то же время оператор может по собственной инициативе получить выписку из реестра.

3. ДОПОЛНИТЕЛЬНЫЕ ПРОЦЕДУРЫ, ОСУЩЕСТВЛЯЕМЫЕ ПОСЛЕ ПРЕДСТАВЛЕНИЯ УВЕДОМЛЕНИЯ

3.1. Получение выписки из реестра операторов, осуществляющих обработку персональных данных

Оператор, а также любое заинтересованное лицо вправе получить выписку из реестра, направив запрос в уполномоченный орган (п. п. 6, 56 Регламента). В п. 57 Регламента установлено, что в таком запросе должны содержаться следующие данные заявителя:

Наименование юридического лица либо ФИО физического лица;

Почтовый адрес.

Иных требований к содержанию запроса о получении выписки в Регламенте не предусмотрено, в то же время очевидно, что запрос должен содержать сведения о наименовании (либо фамилии, имени, отчестве) оператора, в отношении которого запрашивается выписка.

Обязательная форма запроса для получения выписки не установлена, следовательно, составить его можно в произвольном виде. Вместе с тем на сайте Роскомнадзора (www.rsoc.ru/personal-data/forms/) предусмотрена возможность заполнить в электронной форме заявление о предоставлении выписки из реестра. Рекомендуем либо воспользоваться ею (при этом, согласно приведенным на сайте разъяснениям, заполненное в электронном виде заявление следует распечатать и направить в уполномоченный орган в бумажном виде), либо составить запрос в произвольном виде, отразив в нем те сведения, которые предусмотрены в электронной форме заявления.

Сотрудник уполномоченного органа в срок, не превышающий 5 дней с даты поступления запроса, готовит выписку из реестра (п. п. 20, 59 Регламента). Данная выписка, подписанная руководителем или заместителем руководителя уполномоченного органа, высылается заявителю по почте с уведомлением о вручении (п. 59 Регламента). Возможность получить выписку из реестра непосредственно на руки рекомендуем уточнить в уполномоченном органе.

При отсутствии в запросе данных о наименовании (ФИО) либо почтовом адресе заявителя в предоставлении выписки из реестра будет отказано (п. 22 Регламента). В таком случае сотрудник уполномоченного органа должен выслать заявителю по почте с уведомлением о вручении письмо с указанием причины отказа (п. 59 Регламента). Очевидно, что данное письмо будет выслано только в случае, если в запросе указан почтовый адрес заявителя.

О возможных действиях заявителя при отказе в выдаче выписки либо в случае, если она не направлена в установленный срок, см. в разделе материала о представлении уведомления в уполномоченный орган.

3.2. Представление информационного письма о внесении изменений в сведения, содержащиеся в реестре

В случае изменения сведений, содержащихся в ранее поданном уведомлении, оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 Закона). Для этого он должен направить в уполномоченный орган информационное письмо с указанием основания изменения сведений (п. 37 Регламента).

Обязательная форма такого письма не установлена, следовательно, составить его можно в произвольном виде. Вместе с тем на сайте Роскомнадзора (www.rsoc.ru/personal-data/forms/), а также на интернет-портале персональных данных (www.pd.rsoc.ru/operators-registry/notification) приведена форма информационного письма для его заполнения в электронном виде. Рекомендуем либо воспользоваться данной возможностью (при этом, согласно приведенным на сайте разъяснениям, заполненное в электронном виде письмо следует распечатать и направить в уполномоченный орган в бумажном виде), либо составить письмо в произвольной форме, отразив в нем те же сведения.

Форма информационного письма, приведенная на указанных сайтах, практически аналогична форме уведомления, при этом в нем дополнительно указывается номер регистрационной записи в реестре и основание внесения изменений. Заполняются только те поля, в которых изменяются сведения.

При поступлении информационного письма с измененными сведениями в уполномоченный орган оно регистрируется сотрудником этого органа (п. 38 Регламента). В течение 15 дней с момента поступления информационного письма руководителем Роскомнадзора издается приказ о внесении изменений в сведения об операторе в реестр. На основании данного приказа в реестр вносится запись о внесении изменений, ранее присвоенный регистрационный номер записи об операторе при этом не изменяется (п. 39 Регламента).

В срок не позднее 3 дней с даты подписания приказа информация об изменениях размещается на официальном сайте Роскомнадзора (www.rsoc.ru) (п. п. 21 и 43 Регламента).

Неисполнение оператором обязанности по уведомлению уполномоченного органа об изменении сведений, содержащихся в ранее поданном уведомлении, будет влечь за собой такую же ответственность, как и в случае неподачи уведомления.

3.3. Представление заявления об исключении сведений об операторе из реестра

В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 Закона). Для этого в уполномоченный орган подается соответствующее заявление с приложением обоснований (п. 44.1 Регламента).

Обязательная форма данного заявления не установлена, следовательно, составить его можно в произвольном виде. Вместе с тем на сайте Роскомнадзора (www.rsoc.ru/personal-data/forms/) приведена форма данного заявления для заполнения его в электронном виде. Рекомендуем либо воспользоваться данной возможностью (при этом, согласно приведенным на сайте разъяснениям, заполненное в электронном виде заявление следует распечатать и направить в уполномоченный орган в бумажном виде), либо составить заявление в произвольной форме, отразив в нем те же сведения.

То, какие именно документы, подтверждающие необходимость исключения оператора из реестра в связи с прекращением обработки персональных данных, необходимо приложить к заявлению, рекомендуем уточнить в уполномоченном органе.

При поступлении заявления в уполномоченный орган оно регистрируется сотрудником данного органа (п. 46 Регламента).

В случае выявления несоответствий обращения прилагаемым документам, подтверждающим необходимость исключения оператора из реестра, ему направляется письмо с уведомлением о вручении, содержащее запрос об уточнении предоставленных сведений (п. 49 Регламента). Оператор в таком случае в соответствии с ч. 4 ст. 20 Закона обязан предоставить уполномоченному органу уточненную информацию. Согласно ч. 4 ст. 20 Закона сделать это необходимо в течение 30 дней с даты получения запроса. Необходимо отметить, что в Регламенте указан срок в 7 рабочих дней, однако поскольку он не соответствует Закону, привлечь оператора к ответственности за его несоблюдение уполномоченный орган не сможет.

В течение 15 дней руководитель Роскомнадзора издает приказ об исключении сведений об операторе из реестра (п. п. 19, 53 Регламента). Момент, с которого должен исчисляться данный срок, в Регламенте не уточняется, однако можно предположить, что срок должен отсчитываться с момента получения уполномоченным органом заявления. На основании приказа в реестр вносится запись об исключении сведений об операторе из реестра (п. 53 Регламента). Информация об этом в срок не позднее 3 дней с даты подписания приказа размещается на официальном сайте Роскомнадзора (www.rsoc.ru) (п. 55 Регламента).

Неисполнение оператором обязанности по уведомлению уполномоченного органа о прекращении обработки персональных данных будет влечь за собой такую же ответственность, как и в случае неподачи уведомления.

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

  1. сбор;
  2. уточнение;
  3. систематизация;
  4. использование;
  5. удаление;
  6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных - это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

  1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
  2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
  3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
  4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
  5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.


Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке - от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

  • Общедоступные - основные анкетные данные, включая ФИО, пол, дату и место рождения.
  • Биометрические - информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
  • Специальные - национальность, вероисповедание, состояние здоровья, судимости, частично - сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

  1. должность руководителя и наименование организации, которую он возглавляет;
  2. ФИО руководителя;
  3. должность работника;
  4. ФИО работника;
  5. дата;
  6. место составления.

Примерный текст документа следующий:
«Данным заявлением я подтверждаю свое согласие на сбор, обработку, использование и хранение моих персональных данных в пределах, необходимых для обеспечения моих трудовых и социальных прав, уплаты установленных налогов, сборов и иных обязательных платежей, отчисления обязательных взносов в государственные фонды и для других целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем в рамках действующего законодательства. Работодатель вправе предоставлять мои персональные данные третьим лицам только в установленных законом случаях».
Под текстом заявления работник ставит свою подпись.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск - такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Задавайте вопросы в комментариях к статье и получите ответ специалиста

Материал из RSU WiKi

Введение

Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» - федеральный закон , регулирующий деятельность по обработке (использованию) персональных данных .

Подача уведомления об обработке персональных данных

  • Уведомление об обработке (о намерении осуществлять обработку) персональных данных

При подготовке уведомления необходимо, в первую очередь, исходить из принципов обработки персональных данных, прописанных в ст.5 ФЗ № 152 «О персональных данных». Основным моментом данных принципов, отправной точкой, являются цели обработки персональных данных. Именно в соответствии с целями обработки должны быть определены характер и объем обрабатываемых персональных данных, способы обработки и в том числе уничтожение данных.

На основании п. 3 ст. 22 Федерального закона «О персональных данных» Россвязькомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке.

В настоящее время действует приказ от 16 июля 2010 года № 482 «Об утверждении образца формы уведомления об обработке персональных данных». Данным приказом утверждена форма и рекомендации по ее заполнению.

Во-первых, согласно рекомендациям, уведомление должно быть оформлено на бланке оператора. По правилам делопроизводства документ должен быть зарегистрирован и иметь исходящий номер и дату. Во-вторых, помимо полного наименования оператора требуется указывать и сокращенное, причем в ТОЧНОМ соответствии с учредительными документами. Обязательно указание адреса юридического лица .

Наименование оператора

  • не указан (не полностью указан) адрес оператора (например, не указаны почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются), ИНН
  • несоответствие полного наименования организации на бланке и (или) печати и в уведомлении. Необходимо точное соответствие.

Правовое основание обработки персональных данных

При заполнении данного поля должны быть как минимум указаны: ст.85-90 Трудового Кодекса РФ (так как производится обработка персональных данных сотрудников, состоящих в трудовых отношениях с юридическим лицом), Устав (Положение) юридического лица (дата, номер, кем утвержден), если деятельность лицензируемая - номер, дата лицензии. Кроме того, оператор сейчас обязан руководствоваться Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных». Помимо перечисленных документов, должны быть указаны свои отраслевые нормативно-правовые акты, которыми руководствуется юридическое лицо, обрабатывая персональные данные, с указанием статей и пунктов .

  • Конституция РФ (ст. 23-24, ч.1 ст.26);
  • Трудовой кодекс РФ (ст. 65, ст.85-90);
  • Гражданский кодекс РФ;
  • Закон РФ "Об образовании" от 10.07.1992 N 3266-1;
  • Федеральный закон от 01.04.1996 №27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" (ст. 7-9);
  • Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных" (ст.5-22);
  • Федеральный закон от 27.08.2006 г. №149-ФЗ Об информации, информационных технологиях и о защите информации;
  • Федеральный закон от 22.10.2004 №125-ФЗ "Об архивном деле в Российской Федерации" (ред. от 13.05.2008);
  • Федеральный закон от 22.09.1996 г. N 125-ФЗ "О высшем и послевузовском профессиональном образовании";
  • Приказ Минобрнауки РФ от 21.10.2009 №442 "Об утверждении Порядка приема граждан в имеющие государственную аккредитацию образовательные учреждения высшего профессионального образования" (Зарегистрировано в Минюсте РФ 10.12.2009 №15495);
  • Приказ Минобрнауки РФ от 15.04.2009 №133 "Об утверждении Порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации" (Зарегистрировано в Минюсте РФ 29.06.2009 №14147)
  • Постановление Правительства РФ «Об утверждении Положения о воинском учете» от 27.11.2006 № 719 (разделы III, VI);
  • Устав учреждения... (утвержден приказом Министерства образования и науки Российской Федерации от...);
  • Лицензия от..., серия..., регистрационный номер...;
  • Положение об архиве... от...;

Цель обработки персональных данных

По сути, цель обработки - указана в учредительных документах. Это цель деятельности оператора, причем необходимо исходить из того, что по законодательству, если цель обработки достигнута, персональные данные должны быть уничтожены. Необходим здравый смысл и подход при формулировании цели обработки, не следует, к примеру, перечислять какие-то узкие задачи деятельности .

  • удовлетворение потребностей личности в интеллектуальном, культурном и нравственном развитии посредством получения высшего и послевузовского профессионального образования;
  • удовлетворение потребностей общества и государства в квалифицированных специалистах с высшим и средним профессиональным образованием, в научно-педагогических кадрах высшей квалификации;
  • подготовка, переподготовка и повышение квалификации работников с высшим образованием, научно-педагогических работников высшей квалификации, руководящих работников и специалистов по профилю вуза;
  • распространение знаний среди населения, повышение его образовательного и культурного уровня;
  • выполнение требований законов и других нормативных правовых актов РФ;
  • обработка персональных данных для целей кадрового делопроизводства;
  • обеспечение выполнения условий трудового договора;
  • выполнение требований закона о воинском учёте;
  • создание условий для назначения трудовых пенсий в соответствии с результатами труда каждого застрахованного лица;
  • создание условий для начисления заработной платы, оплаты листков нетрудоспособности, пособий и предоставления льгот, установленных законодательством;
  • создание условий, требуемых законом для подготовки документов для присуждения учёной степени, присвоении учёного звания, прохождения конкурсного отбора.

Категории обрабатываемых персональных данных

Во-первых, не следует давать определение понятия «персональные данные». Вам необходимо указать именно те категории, которые обрабатываются непосредственно вашим учреждением. Не следует также просто перечислять обобщенные категории (например: биометрические, специальные ПД). Необходимо проанализировать, какие именно данные используются в вашем учреждении, причем не следует забывать и о том, что также используются сведения, полученные при работе с обращениями граждан, при административном делопроизводстве .

Категории субъектов, персональные данные которых обрабатываются

Указываются категории субъектов (физические лица) и виды отношений с ними. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором). Если заполняется унифицированная форма Т2 в кадрах, то там есть поле о сведениях о ближайших родственниках, поэтому помимо работников нужно указывать еще и членов их семьи в качестве категории субъектов, потому что их персональные данные также обрабатываются в организации.

В данном поле зачастую указываются не все даже очевидные сведения, например: логично предположить, что в образовательном учреждении обрабатываются персональные данные не только сотрудников и обучающихся, но и родителей обучающихся. Также часто не указывается такая категория, как граждане, обратившиеся с жалобами, обращениями и лица при подготовке и рассмотрении дел об административных правонарушениях .

  • Работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором); физические лица (соискатели должности; абитуриенты, студенты, бывшие струдники), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором);

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных

  • сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передача), уничтожение.

Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

К организационным мерам можно отнести: принятие локальных нормативных актов (внутренних документов – приказов, положений, регламентов, перечней сведений и т.д.) организации

К техническим мерам можно отнести:

  • защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах),
  • защита паролем компьютеров с персональными данными,
  • использование системы паролей при работе в сети (портале)
  • ограничение доступа к компьютерной технике для определенных категорий работников,

При смешанной обработке указывается перечень мер по обеспечению безопасности персональных данных на бумажных носителях и на электронных носителях .

  • Защита от несанкционированного физического доступа к информации (хранение ПД в закрытых шкафах, ящиках, сейфах), защита паролем компьютеров с персональными данными, использование системы паролей при работе в сети, ограничение доступа к компьютерной технике, использование межсетевых экранов.

Дата начала обработки персональных данных

Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными .

  • Дата основания организации или дата присвоения ИНН.

Условие прекращения обработки персональных данных

Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных – например «ликвидация юридического лица», «аннулирование лицензии на осуществление соответствующего вида деятельности» .

  • Прекращение деятельности юридического лица.

Сертифицированное ПО

Способы удешевления сертификации:

  1. Перевод рабочих мест, обслуживающих и хранящих ПД на клиент-серверные технологии, например Microsoft Terminal Services; т.о. можно сократить затраты на приобретение спец. ПО в разы;

Kaspersky BusinessSpace Security Certified Media Pack

В состав Certified Media Pack входят сертифицированные ФСТЭК России (по 3 классу защиты по уровню контроля отсутствия НДВ) приложения для MS Windows, возможные к поставке с соответствующими продуктами линейки Open Space Security.

Мы уже начинали говорить о персональных данных, их сборе и обработке. Но, об этом можно говорить бесконечно и мы продолжим. В прошлый раз мы говорили об изменениях в законе, но не учли самого главного - САМ ЗАКОН ВЫ НЕ ЧИТАЛИ!.. И, судя по обратной связи, информация требует более детальной проработки.
Поэтому мы несколько раз перечитали все законы и дополнения к ним. Сделали из него эдакую выжимку. Четко по пунктам расписав основные его нормы и требования.

Основы основ

«Обработка персональных данных базируется на принципах законности и справедливости» - гласит ФЗ-152 «О персональных данных». Из этих понятиях зиждятся остальные принципы, отражающие суть обработки персональных данных как процесса. И вот что вам необходимо запомнить:

1. Обработка персональных данных должна отвечать целям сбора персональных данных;
Это значит, что Субъект обработки ПДн (покупатель, клиент, работник и т.д.) должен быть уведомлен о целях обработки. Поэтому цели должны быть отражены в форме письменного согласия на обработку персональных данных.

2. Не должны объединяться базы данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
Тут все очевидно: не должны быть объединены базы персональных данных, содержащие, например, фискальную информацию о работниках компании, и базы персональных данных клиентов компании.

3. Обрабатываемый объем персональных данных не должен быть избыточным по отношению к целям их обработки;
Получается, что интернет-магазин продающий носки может обрабатывать персональные данные покупателей, которые могут содержать информацию о предпочтениях, о маркетинговой активности, но персональные данные покупателя, говорящие о наличии у него, скажем, заболеваний, будут явно избыточными.

4. При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки;
Это необходимо в первую очередь для качественного и своевременного выполнения какого-либо юридически значимого действия, при котором используются персональные данные. Например, для непосредственной покупки товара.

5. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. То есть если интернет-магазин закрывается, то базу персональных данных его покупателей нельзя оставлять «врагам», необходимо ее хотябы обезличить.

Этапы работы с персональными данными

1. Сбор
При сборе персональных данных с посетителей сайта мы рекомендуем в любом случае указывать:
  • наименование оператора;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные законом права субъекта персональных данных;
  • источник получения персональных данных.
Кроме того, по запросу гражданина оператор по обработке персональных должен предоставить:
  • Подтверждение факта обработки персональных данных оператором;
  • Наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • Сроки обработки персональных данных;
  • Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
2. Хранение
Хранение и запись, систематизация, накопление, уточнение, должны осуществляться на территории РФ – это уже все знают. Хранение персональных данных может осуществляться в любой форме, в том числе бумажной.
Обработка персональных данных может осуществляться за границей, если база данных в РФ содержит равный или больший объем персональных данных.

3. Использование
Помните! Действия, совершаемые с собранными персональными данными должны осуществляться строго согласно целям, для которых они были предоставлены.
То есть, если данные собраны при покупке носков в интернет магазине «А», то и использоваться они должны только для продаж магазина «А», которому эти данные оставили. Если эти данные использовать для продажи квартир на другом ресурсе, то это уже будет считаться неправомерным использованием персональных данных.

4. Блокирование
Если субъект обнаружил что его данные используют неправомерно и обратился к вам с претензией (или его представитель/ соответствующий орган), то вы обязаны блокировать его персональные данные и проверить правомерность их использования. Если данные эти обрабатывает подрядчик, то вы обязаны сделать все для блокировки и проверки данных обратившегося.
Все тоже самое вы обязаны провернуть в том случае, если субъект обнаружил неточности в своих данных.
Блокировка должна осуществляться с момента такого обращения или получения запроса на время проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5. Уничтожение
А вот уничтожить данные или обеспечить прекращение использования вы обязаны в случае отзыва согласия. Также, если сохранение персональных данных более не требуется для целей обработки персональных данных.
Произвести все это необходимо в срок не более тридцати дней с даты поступления отзыва, если иное не предусмотрено договором.

Напомним, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах влечет предупреждение или наложение административного штрафа:

  • на граждан в размере от трехсот до пятисот рублей;
  • на должностных лиц - от пятисот до одной тысячи рублей;
  • на юридических лиц - от пяти тысяч до десяти тысяч рублей.
Суммы сами по себе небольшие, но сам факт привлечения внимания надзорных органов может повлечь гораздо более серьезные проблемы.

БОНУС

Трансграничная передача данных возможна, ее никто не запрещал.
НО, вы обязаны
  • хранить и актуализировать все данные на серверах в РФ (первичная БД)
  • указать в «Соглашении на обработку ПДн» то, что вы планируете передавать эти данные в другую страну и для каких конкретных целей (писать ли конкретную страну в законе не указано)
Ответственность за использование переданных данных несет тот Оператор, которому переданы эти базы данных.

Предоставление удаленного доступа к базам данных, находящихся на территории РФ, с территории другого государства ФЗ-242 не запрещается.

На этом все, коллеги. Да прибудет с вами милость Эру!

2.1. Обработка Оператором персональных данных, в зависимости от целей обработки, осуществляется:

2.1.1. C согласия субъектов персональных данных на обработку их персональных данных;

2.1.2. В целях исполнения законов Российской Федерации, международных договоров Российской Федерации, постановлений Правительства Российской Федерации и иных нормативных правовых актов Российской Федерации;

2.1.3. В целях исполнения или заключения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Обществом своего права на уступку прав (требований) по такому договору.

3. Цели и применяемые способы обработки персональных данных

3.1. Обработка персональных данных в Обществе осуществляется с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств (смешанная обработка персональных данных).

3.2. При автоматизированной обработке персональных данных применяется передача персональных данных по внутренней сети Оператора и с использованием информационно-телекоммуникационной сети «Интернет».

3.3. Обработка персональных данных осуществляется в целях:

3.3.1. Содействия работникам и кандидатам в трудоустройстве, обучении и продвижении по службе, контроля количества и качества выполняемой работы, соблюдения норм трудового законодательства и иных актов, содержащих нормы трудового права;



3.3.2. Обеспечения социальных льгот и гарантий, личной безопасности или иных жизненно важных интересов работников Общества и членов их семей;

3.3.3. Заключения и исполнения гражданско-правовых договоров, в том числе договоров на оказание услуг;

3.3.4. Соблюдения законодательства Российской Федерации о ценных бумагах;

3.3.5. Соблюдения антимонопольного законодательства;

3.3.6. Защиты прав и законных интересов Общества и его должностных лиц в судах, органах по разрешению споров, административных органах;

3.3.7. Формирования отчетности или подготовки предусмотренных в законодательстве заявлений, уведомлений и т.д. в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, Федеральную налоговую службу и другие государственные органы и службы;

3.3.8. Проведения аудиторских проверок организаций Группы «ЛУКОЙЛ»;

3.3.9. Проведения тендерных процедур, предусмотренных локальными нормативными актами Общества;

3.3.10. Подготовки доверенностей, выдаваемых работникам Общества, иных организаций и физическим лицам;

3.3.11. Обеспечения пропускного и внутриобъектового режимов в административных зданиях Общества, обеспечения сохранности имущества;

3.3.12. Ведения корпоративных телефонных и иных информационных справочников, публикации сообщений на внутрикорпоративных порталах, досках почета и в общедоступных информационных системах персональных данных;

3.3.13. Исполнения иных обязательств, в рамках правовых оснований, перечисленных в пункте 2.1. Политики.

4. Обрабатываемые персональные данных и источники их получения

4.1. Персональные данные получаются Оператором непосредственно от субъекта персональных данных или его представителя, если иной порядок получения персональных данных не установлен Федеральным законом.

4.2. Персональные данные могут быть получены не от субъекта персональных данных при наличии согласия субъекта персональных данных на передачу его персональных данных в Общество для обработки, если иной порядок получения персональных данных не предусмотрен Федеральным законом.

4.3. Обработка специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), биометрических персональных данных (характеризующих физиологические и биологические особенности человека, на основании которых можно установить личность субъекта) в Обществе не допускается, за исключением случаев, предусмотренных Федеральным законом.

4.4. Не допускается использование персональных данных для политической агитации, а также для продвижения товаров, работ, услуг, за исключением случаев, предусмотренных Федеральным законом.

4.5. В Обществе обрабатываются персональные данные, принадлежащие:

4.5.1. Работникам Общества;

4.5.2. Близким родственникам работников Общества (в части степени родства, фамилии, имени, отчества, даты рождения);

4.5.3. Кандидатам, рассматриваемым для заключения трудовых договоров;

4.5.4. Субъектам, обработка персональных данных которых связана с исполнением условий заключенных договоров;

4.5.5. Субъектам, заключившим гражданско-правовые договоры с Обществом;

4.5.6. Лицам, состоявшим ранее в трудовых отношениях с Обществом;

4.5.7. Потенциальным контрагентам (физическим лицам);

4.5.8. Учредителям (физическим лицам) потенциальных контрагентов;

4.5.9. Адвокатам, нотариусам, осуществляющим взаимодействие с Обществом;

4.5.10. Авторам письменных обращений в адрес ООО «ЛУКОЙЛ-ПЕРМЬ»;

4.5.11. Другим субъектам персональных данных (для обеспечения реализации целей обработки персональных данных, указанных в пункте 3.3. Политики).

4.6. Оператором обрабатываются, в том числе общедоступные персональные данные работников Общества, сделанные таковыми с согласия субъекта персональных данных, а именно: фамилия, имя, отчество, дата и месяц рождения, занимаемая и совмещаемая должность, наименование структурного подразделения и предприятия, адрес служебной электронной почты, номер служебного телефона, местонахождение рабочего места (адрес, офис/АБК, номер кабинета).

5. Сроки обработки и хранения персональных данных

5.1. Обработка персональных данных начинается не ранее возникновения правовых оснований обработки персональных данных, перечисленных в пункте 3 Политики.

5.2. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, окончании сроков хранения документов, установленных законодательством об архивном деле в Российской Федерации и локальными нормативными актами ООО «ЛУКОЙЛ-ПЕРМЬ».

5.3. По истечении срока обработки персональные данные уничтожаются или обезличиваются для использования в статистических или иных исследовательских целях.

6. Права субъектов персональных данных

6.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных в порядке и в сроки, предусмотренные Федеральным законом.

6.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Федеральным законом меры по защите своих прав.

6.3. Права субъекта персональных данных на доступ к его персональным данным могут быть ограничены в соответствии с Федеральным законом.

6.4. Принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, допускается с согласия субъекта в письменной форме.

6.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.



Советуем почитать



Похожие записи