Реестр операторов персональных данных

Содержание

Как проверить оператора на официальном сайте РСА

Если выбор организации не имеет значения, можно открыть единый реестр операторов ТО на сайте РСА и найти ближайшую станцию. Проверять конкретную организацию таким способом сложно, поскольку список большой и просматривать его придется долго.

Выполнить проверку конкретного оператора ТО в реестре РСА проще всего с помощью специального онлайн-сервиса.

Поиск в системе осуществляется по номеру ОТО, ФИО руководителя (наименованию организации), адресу местоположения и контактному номеру телефона. Если заполнить не все поля, система выведет большее количество результатов. Образец поиска по фамилии руководителя.

Для получения подробной информации об интересующей организации нужно нажать на соответствующую строку в списке.

Проходить обязательный технический осмотр транспортного средства следует в сервисных центрах, получивших аккредитацию Российского союза автостраховщиков. Только такие организации вправе выдавать талоны ТО, подходящие для оформления ОСАГО. Посмотреть перечень аккредитованных пунктов либо выполнить проверку интересующей станции можно на официальном сайте РСА.

Камни преткновения

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

  1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
  2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
  3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Смотреть весь список

Свернуть

Когда не нужно получать согласие на обработку персональных данных

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:

  • осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
  • осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
  • осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
  • необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
  • осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
  • осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

За что и на какие суммы штрафуют в 2021 году

27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2021 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.

2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.

3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

Основание Размер штрафа
Обработка ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД
  • Для физлиц: предупреждение или штраф — от 2 000 до 6 000 руб.
  • Для должностных лиц: предупреждение или штраф — от 10 000 до 20 000 руб.
  • Для юрлиц: предупреждение или штраф — от 60 000 до 100 000 руб.

При повторном нарушении

  • Для физлиц: от 4 000 до 12 000 руб.;
  • Для должностных лиц: от 20 000 до 50 000 руб.;
  • Для ИП: от 50 000 до 100 000 руб.;
  • Для юрлиц: от 100 000 до 300 000 руб.
Обработка ПД без письменного согласия субъекта
  • Для физлиц: от 6 000 до 10 000 руб.
  • Для должностных лиц: от 20 000 до 40 000 руб.
  • Для юрлиц: от 30 000 до 150 000 руб.

При повторном нарушении

  • Для граждан: от 10 000 до 20 000 руб.;
  • Для должностных лиц: от 40 000 до 100 000 руб.;
  • Для ИП: от 100 000 до 300 000 руб.;
  • Для юрлиц: от 300 000 до 500 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД
  • Для физлиц: 1 500 до 3 000 руб.
  • Для должностных лиц: от 6 000 до 12 000 руб.
  • Для юрлиц: от 30 000 до 60 000 руб.
  • Для ИП: от 10 000 до 20 000 руб.
Непредоставление субъекту ПД информации по их обработке
  • Для физлиц: предупреждение или штраф — от 2 000 до 4 000 руб.
  • Для должностных лиц: предупреждение или штраф — от 8 000 до 12 000 руб.
  • Для юрлиц: предупреждение или штраф — от 40 000 до 80 000 руб.
  • Для ИП: предупреждение или штраф — от 20 000 до 30 000 руб.
Невыполнение требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)
  • Для физлиц: предупреждение или наложение штрафа в размере от 2 000 до 4 000 руб.
  • Для должностных лиц: предупреждение или штраф — от 8 000 до 20 000 руб.
  • Для юрлиц: предупреждение или штраф — от 50 000 до 90 000 руб.
  • Для ИП: предупреждение или штраф — от 20 000 до 40 000 руб.

При повторном нарушении

  • Для граждан: от 20 000 до 30 000 руб.
  • Для должностных лиц: от 30 000 до 50 000 руб.
  • Для ИП: от 50 000 до 100 000 руб.
  • Для юрлиц: от 300 000 до 500 000 руб.
Неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования
  • Для физлиц: от 1 500 до 4 000 руб.
  • Для должностных лиц: от 8 000 до 20 000 руб.
  • Для юрлиц: от 50 000 до 100 000 руб.
  • Для ИП: от 20 000 до 40 000 руб.
Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД

Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст

13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

  • организующие и (или) осуществляющие обработку ПД;
  • определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

  • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
  • Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
  • В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Что такое аккредитация пунктов технического осмотра

Проведением технических осмотров автомобилей занимаются различные организации, однако правом выдачи официальных документов для оформления ОСАГО обладают только определенные пункты ТО, аккредитованные в РСА.

Аккредитация от Российского союза автостраховщиков подтверждает, что конкретный сервис имеет необходимое помещение, оборудование, специалистов, отчего выдаваемые заключения будут максимально объективными.

В дальнейшем организация должна ежегодно подтверждать свое соответствие установленным требованиям в сфере технического осмотра.

Поскольку для оформления страхового полиса ОСАГО подходят только официальные заключения, перед обращением в организацию следует проверить оператора техосмотра по базе РСА. Иначе есть риск получить талон ТО, который не принимают страховые компании.

Уведомление об обработке ПДн

Одним из основных требований Роскомнадзора к операторам персональных данных, является подача уведомления о начале обработки ПДн. В данном уведомлении нужно указать следующую информацию:

  1. Полное название компании или Ф.И.О. лица, которые будут осуществлять обработку данных.
  2. Адрес регистрации оператора.
  3. Категории собираемых сведений.
  4. Категории лиц, сведения о которых обрабатываются.
  5. С какой целью осуществляется получение информации.
  6. Правовое основание.
  7. Перечень мер защиты, которые будут использоваться при обработке полученных сведений, предусмотренных статьями 18.1 и 19 Закона № 152-ФЗ.
  8. Дата начала деятельности оператора.
  9. Сроки или условия прекращения обработки данных.
  10. Сведения о трансграничной передаче информации в процессе обработки.
  11. Данные о точном месте нахождения базы (страна, адрес).

Во время проверки Роскомнадзор производит проверку соответствия по каждому вышеперечисленному пункту.

Мы не рекомендуем самостоятельно оформлять документы. Экономьте время – обращайтесь к нашим юристам по телефонам:

8 (800) 350-14-90

О том, что нужно знать об обработке и хранении персональных данных в России, читайте тут.

Кто может осуществлять сбор, обработку информации?

Реестр операторов персональных данных – это общая федеральная база, куда Роскомнадзор вносит сведения о юридических и физических лиц, осуществляющих сбор и обработку подобной информации.

Так называемыми «операторами» могут быть как органы власти: федеральной, субъектов федерации или муниципальной, так и коммерческие структуры, банки, торговые сети, выдающие карты клиентов, и прочие.

В последних правках, внесенных в 2017 году, законодатели уделили особое внимание Интернет-ресурсам, имеющим формы для регистрации пользователей. Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22

Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22.

Цель создания по закону

Закон декларирует свою цель как обеспечение защиты прав и свобод человека, неприкосновенности личной жизни и семейной тайны. Реестр предоставляет всем заинтересованным сторонам информацию о том, кто, в каких целях и какие данные граждан собирает, обрабатывает и хранит. Это позволяет более эффективно бороться с правонарушениями в данной области.

Кроме того, наличие ответственности за манипуляции со сбором персональных данных стимулирует операторов тщательно подходить к вопросам информационной безопасности. В 2015 году законодатель потребовал хранить данные только на серверах, размещенных на территории России, что, очевидно, было реакцией на ухудшение международной обстановки. Хранение данных на серверах направлено на усиление защиты персональной информации россиян от внешних посягательств.

Кто вносит изменения в перечень?

Изменения в реестр вносит Роскомнадзор на основании уведомления операторов. На рассмотрение представленной информации ведомству отводится 30 дней.

Сведения об операторах общедоступны, за исключением описания средств и мер безопасности, которые оператор применяет для защиты своих баз.

Что делать владельцу сайта, чтобы избежать штрафов

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности

Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании

Минимизируйте риски: убедитесь, что персональные данные защищены в соответствии с ФЗ-152

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  • ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
  • цель обработки ПД;
  • перечень ПД, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
  • срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПД.

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.

Политика обработки персональных данных: как составить документ

Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Случаи, когда уведомление Роскомнадзора не требуется

Уведомлять Роскомнадзор не нужно, если ПД:

относятся к субъектам, которых связывают с оператором трудовые отношения;

Персональные данные сотрудника: как с ними работать

  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными;
  • включают только ФИО субъектов ПД;
  • нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Как проверить, есть ли на портале сведения об организации?

Для того чтобы проверить, есть ли запись в реестре операторов, осуществляющих обработку ПДн персональных данных, необходимо выполнить следующие действия:

  1. Зайти на портал персональных данных уполномоченного органа по защите прав субъектов персональных данных.
  2. Заполнить поисковую форму и указать ИНН организации.
  3. Если не знаете ИНН – произвести поиск по названию, при этом достаточно указать только оригинальную часть наименования, без спецсимволов и сокращений.
  4. Подождать результат поиска.

Для быстрого поиска лучше избегать часто встречающихся слов в названиях, таких как: «Федеральный», «Общество», «Российский» и т.п.

Кто должен быть внесен в реестр?

Если компания или физическое лицо, а также государственный или муниципальный орган, проводят сбор, хранение или обработку личной информации, и являются оператором персональных данных, то наличие регистрации в реестре Роскомнадзора является обязательным условием для их деятельности.

Важно. В настоящее время позиция Роскомнадзора такова, что уведомление о регистрации нужно подавать практически всем юридическим лицам, так как во многих организациях ведётся кадровый учёт со сбором личных данных сотрудников, а зачастую и их близких родственников

Физические лица и ИП также должны быть внесены в реестр. Оказывая услуги или занимаясь продажей, многие предприниматели, как правило, предлагают заполнить анкеты с личными данными для получения бонусных карт или акционных рассылок. Интернет-порталы не являются исключением, если на них существует форма подписки или обратной связи, где нужно оставить свою персональную информацию. О защите персональных данных в интернете мы рассказывали тут.

Кому можно не регистрироваться?

Согласно п. 2 ст. 22 № 152-ФЗ, существует ряд условий, при котором оператор вправе осуществлять обработку без уведомления в Роскомнадзор. Исключением когда нет необходимости о регистрации в реестре является:

  1. Публичность либо общедоступность сведений.
  2. Трудовые отношения, относится только к тем сведениям, которые необходимы при составлении трудового и коллективного договора в рамках трудового законодательства.
  3. Сбор информации, которая содержит в себе только фамилию, имя, отчество.
  4. Получение данных для однократного использования.
  5. Обработка информации только на бумажном носителе, без использования автоматизированных средств (компьютеров).
  6. Оформление организацией потребительского договора, одной из сторон которого является сам субъект ПДн, при условии, что данные будут использоваться только для выполнения условий договора, и не будут распространены широкому кругу.
  7. Приём сведений участников общественных объединений и религиозных общин, если данные не будут обнародованы без согласия в письменном виде лиц, чья информация собиралась.
  8. Получение информации организациями, которые сотрудничают с транспортным комплексом для обеспечения безопасности в транспортной сфере.

Важно. Для уточнения, существует ли необходимость в регистрации, можно обратиться в компетентный территориальный орган за разъяснениями

“Письмо счастья” от Роскомнадзора

Поскольку большинство компаний не стремились и не стремятся направлять уведомления, Роскомнадзор в свое время начал активно пополнять реестр операторов путем направления таких вот писем.

Уведомление Роскомнадзора о необходимости включения в реестр операторов персональных данных

В чем смысл таких действий в целом понятен из текста. Выборка компаний делается по ОКВЭДам, и та деятельность, которая потенциально связана с обработкой персданных физических лиц, является поводом для направления письма. 

РКН вроде как и не заставляет включаться в реестр, но в противном случае просит предоставить пояснение с указанием правовых оснований обработки ПД без направления уведомления. Для принятия решения предоставляется 30 дней.

Оставить без внимания такое письмо нельзя: нужно включиться в реестр или написать, что деятельность компании попадает под исключения, предусмотренные статьей 22 Закона “О персональных данных”.

В случае игнорирования может последовать привлечение к административной ответственности по статье 19.7 КоАП “Непредставление сведений (информации)”. Штраф, конечно, невелик (до 5 000 руб. на юрлицо), но потенциально игнор — это повод для последующего проведения внеплановой проверки* и вынесения предписания об устранении нарушения законодательства. 

За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.

*Справка: поводы, основания, сроки и т.п. моменты, связанные с проведением проверок в сфере персональных данных, установлены Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных (утв.Постановлением Правительства РФ от 13 февраля 2019 г. № 146).

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

  • Учредительная документация (ИНН, устав и прочее).
  • Уведомление о том, что фирма работает с ПД.
  • Перечень ПД, сбор которых осуществляется.
  • Перечень работников, у которых есть доступ к данным.
  • Приказ о допуске таких сотрудников к ПД.
  • Инструкции для специалистов, которые работают с данными.
  • Положение об ответственности сотрудников за разглашение ПД.
  • Документ об обработке ПД.
  • Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
  • Соглашение о неразглашении ПД.
  • Письменное согласие лиц на обработку.
  • Журналы инструктажей относительно мер безопасности.
  • Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Кто такой оператор персональных данных

Закон под понятием оператора персональных данных понимает государственный орган или иное лицо, юридическое или физическое, которое:

  • собирает или получает персональные данные граждан;
  • определяет цели получения этой информации;
  • самостоятельно определяет ее состав;
  • вправе осуществлять с информацией какие-либо действия (обработку).

На практике к операторам относятся не только образовательные или медицинские учреждения, социальные сети, мобильные операторы, банки, которые получают персональные данные тысяч лиц, но иногда ими становятся и обычные компании, которые эти сведения получают в процессе заполнения анкеты для устройства на работу и копирования трудовой книжки. Закон ставит перед такими организациями задачу обеспечить сохранность этих сведений от утечек и иных угроз, возникающих в процессе обработки персональных данных.

При этом закон не уточняет, какие именно сведения относятся к персональным данным, предполагая, что это все категории информации, связанные с конкретным физическим лицом: от даты выдачи паспорта до номера автомобиля. Попадая в руки злоумышленников, такие данные могут помочь им обнаружить имущество конкретного лица, причинить вред ему или его семье, поэтому сведения подлежат строгой охране. При том, что на теневом рынке сбыта информации спрос на большие объемы персональных данных велик, степень их защиты и качество применяемых для этого информационных технологий должны быть максимально возможными для каждого конкретного оператора.

О согласиях на обработку персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

 Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников. 

Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо  предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

 Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в  чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в  частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Кто такие операторы ПДн и чем они занимаются?

Справка. Оператор персональных данных (далее Оператор) – это физическое или юридическое лицо, которое занимается обработкой личной информации, полученной от действующих или потенциальных сотрудников или клиентов.

Форма собственности и род деятельности при этом никакого значения не имеют. То есть любой, кто запрашивает персональные данные, является оператором, начиная от сайтов с заполнением личных данных и заканчивая банками и другими учреждениями.

Персональные данные (ПДн) – любая информация, которая относится к физическому лицу, при помощи которой он может быть идентифицирован.

Заключение

  1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
  2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
  3. Назначить ответственных.
  4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
  5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
  6. Ознакомить всех причастных сотрудников с разработанной документацией.
  7. Заполнить журналы.
  8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
  9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Вывод

Без лишней необходимости направлять в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных не нужно, но и сопротивляться и уклоняться от этого никакого смысла нет. Безусловно, каждая ситуация индивидуальна и эта статья написана мной исключительно для помощи в принятии самостоятельного решения, правильного конкретно для вас.

Обязательно прочитайте материал о том, как Роскомнадзор будет применять законодательство о персональных данных в 2021 году

Остаюсь с вами на связи. Все вопросы по статье можно задать в чате Телеграм или в Я.Дзене. Следить за обновлениями контента удобнее в основном Телеграм-канале

Поделитесь в соцсетях