Регистрация операторов осуществляющих обработку персональных данных. Зачем нужен портал с персональными данными от роскомнадзора

Работа с персональными данными накладывает на оператора ряд обязанностей. Рассмотрим несколько наиболее существенных из них.

Уведомить Роскомнадзор о начале обработки персональных данных (). Такое уведомление необходимо направить в ведомство до начала обработки данных, указав в нем:

• наименование (ФИО), адрес оператора;
• цель обработки персональных данных;
• категории персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
• меры защиты персональных данных;
• ФИО физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
• дату начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• данные о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• информацию о месте нахождения базы данных информации, содержащей персональные данные россиян;
• сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ (речь, в частности, идет об персональных данных в зависимости от угроз безопасности, персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, а также о и технологиям хранения таких данных вне информационных систем персональных данных).

При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно. Это, например, обработка работодателем данных работников, получение оператором данных клиента при заключении с ним договора (если эта информация не предоставляется третьим лицам без согласия на то субъекта и используется исключительно для исполнения указанного договора), обработка общедоступных персональных данных, оформление лицу однократного пропуска на территорию оператора, использование только ФИО субъекта и др. ().

Обеспечить конфиденциальность персональных данных. Это значит, что распространять их без согласия на то субъекта нельзя (). Данная обязанность лиц, получивших доступ к персональным данным, является одной из основных. В частности, при передаче персональных данных работников работодатель обязан:

• не сообщать персональные данные работника третьей стороне без его письменного согласия (за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в других предусмотренных законом случаях – например, при передаче данных в ФСС, ПФР, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ и др.);
• предупредить лиц, получающих персональные данные работника, что эта информация может быть использована лишь в целях, для которых она сообщена – более того, работодатель даже может требовать от таких лиц подтверждения того, что это правило соблюдено;
• осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись;
• разрешать доступ к персональным данным работников только специально уполномоченным лицам, причем они должны иметь право получать лишь те данные работника, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
• ограничивать информацию, передаваемую представителям работников, лишь теми данными работника, которые необходимы для выполнения указанными представителями их функций ().

Принимать меры для обеспечения безопасности персональных данных (). Для этого организации следует назначить лицо, ответственное за организацию обработки персональных данных (). Такое лицо обязано осуществлять внутренний контроль за соблюдением оператором и его работниками требований к защите персональных данных, доводить до сведения работников положения , локальных актов по вопросам обработки персональных данных, а также организовывать прием и обработку обращений и запросов субъектов персональных данных. Кроме того, в этих же целях следует применять технические меры по обеспечению безопасности обработки, а также издать документы, определяющие политику компании в отношении обработки персональных данных, и др.

При этом политику обработки персональных данных организация должна сделать публичной (). Наиболее оптимальным способом является размещение документа на сайте оператора. Но в том случае, когда это невозможно, достаточно установить "кармашек" с политикой на бумажном носителе в любом доступном для посетителей организации месте. Исключение составляют операторы, собирающие персональные данные непосредственно через Интернет, – им необходимо опубликовать политику именно на сайте и обеспечить возможность доступа к указанному документу. На официальном сайте Роскомнадзора можно ознакомиться с рекомендациями по составлению политики в отношении обработки персональных данных .

Не стоит путать политику, распространяющуюся в основном на третьих лиц (контрагентов, клиентов и др.), с Положением о защите, хранении, обработке и передаче персональных данных работников – этот документ в отличие от политики является локальным нормативным актом, поэтому делать его публичным не нужно, а вот ознакомить с ним под роспись работников следует обязательно ().

МАТЕРИАЛЫ ПО ТЕМЕ

О том, с какими проблемами может столкнуться оператор при соблюдении требований о локализации персональных данных и как их наиболее эффективно их решить, читайте в нашем материале " ".

Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало . Среди них отсутствие ясности, на какие именно персональные данные будет распространяться данное требование, каких операторов это затронет, допускается ли обработка персональных данных одновременно на российском и иностранном сервере, как определить гражданство субъекта и т. д. На большую часть этих вопросов Роскомнадзор ответил еще до вступления новых требований закона в силу. Так, например, ведомство предоставило операторам право самостоятельно решать вопрос определения гражданства лица, чьи данные обрабатываются, либо применять требование о локализации к персональным данным всех субъектов. Кроме того, Роскомнадзор уточнил, что в том случае, когда при сборе персональные данные были записаны в российскую базу данных, в дальнейшем они могут обрабатываться и в электронной базе, находящейся за пределами страны.

И в политике обработки персональных данных, и в Положении о защите, хранении, обработке и передаче персональных данных работников следует прописать, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России, а также указать место нахождения такой базы данных.

Своевременно прекратить обработку персональных данных. Если цель обработки персональных данных достигнута или субъект отозвал свое согласие на их обработку, оператор должен прекратить обработку этих данных и удалить их в 30-дневный срок, если иной срок не определен в соглашении ().

С момента принятия в 2006 году Федерального Закона «О персональных данных», некоторые его положения и понятия до сих пор остаются неясными для сотрудников операторов. Кажущаяся неясность формулировок иногда становится предметом спекуляций для отдельных активных граждан, поставивших своей целью доказывание абсурдности или несостоятельности Закона.

Манипулируя некоторыми формулировками Закона (порой, вырванными из контекста), опираясь на принципы формальной логики (не всегда справедливой, когда речь идет о праве как науке), моделируя возможные коллизии, некоторые аналитики приходят к неожиданным и неправильным выводам.

Опасность этих выводов — в дезориентации участников информационных правоотношений, а также в том, что принятие на вооружение сомнительных утверждений сдерживает работу операторов по приведению своей деятельности в соответствие с Законом и создает условия для нарушения ими требований Закона.

Числу таких проблемных вопросов относится определение оператора персональных данных. Оператор — это государственный, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и содержание обработки персональных данных (ст. 3 ФЗ 152). Это, казалось бы, очевидное и не допускающее вольного толкования определение на практике порой вводит операторов в заблуждение. Суть этого заблуждения в следующем: «лицо, осуществляющее обработку, не всегда является оператором». Причина же заблуждения — в словосочетании «а также». В этом «а также» некоторыми и видится то самое зерно истины, которое позволит отдельным операторам избежать обязанности исполнять требования ФЗ 152. Парадоксально, но многие операторы все еще уверены в том, что они операторами не являются. Для обоснования этого утверждения приводятся следующие доводы: необходимость обработки ПДн определена федеральным законом (или «установлена вышестоящими организациями»), следовательно, цели обработки самостоятельно не определяются или не должны определяться лицом, осуществляющим обработку (в определении целей нет необходимости, либо отсутствуют полномочия).

Попробуем разобраться с этой проблемой, суть которой заключается в вопросе: определение цели обработки ПДн — признак или обязанность оператора?

Итак, существует мнение, что оператор — это только и исключительно тот, кто одновременно отвечает следующим двум критериям:
Это лицо должно само либо организовывать, либо фактически осуществлять обработку ПДн (или же — и то, и другое одновременно);
Это лицо должно само определять цели и содержание обработки ПДн.

Таки образом, требование об определении цели обработки ПДн рассматривается в качестве основного признака оператора.

В ходе подготовки настоящей статьи филологами был проведен лингвистический анализ рассматриваемого определения. Результаты анализа приведены ниже.

Определение цели не может быть основной функцией, так как эта функция названа в ряду однородных членов предложения и замыкает его. Более того, этот однородный член предложения присоединяется союзом «а также», который имеет присоединительное значение, например: Я наслаждался мирно своим трудом, успехом, славой, также трудами и успехами друзей" (П). — см. Валгина Н.С., Розенталь Д.Э., Фомина М.Н. Современный русский язык. Учебник.: М., Логос, 2006.

Об этом же значении пишет и Русская грамматика (М, 1980,т. II):

§ 2079. Присоединительные отношения основываются на соединительных: второй член ряда имеет добавочный характер; он часто выделяется в отдельную синтагму; порядок членов ряда строго обязателен. Присоединительные отношения (с оттенками добавления или усиления) выражаются составными союзами и сочетаниями союза с конкретизатором: а также и, да еще, и притом (притом): В коляске сидела пожилая барыня, да еще молодая девушка (Тын.); Сводки доставлены в полном порядке и притом в срок (газ.).

Примечание. Союзы а также, как... так и обладают способностью выражать градационные и присоединительные отношения, но часто используются в более широком значении — соединительном или сопоставительном: Этот Вьюн необыкновенно почтителен, и ласков, одинаково умильно смотрит как на своих, так и на чужих, но кредитом не пользуется (Чех.); Завод достиг высоких показателей как по количеству, так и по качеству выпускаемой продукции (газ.); Воспитанники музыкального училища часто выступают с концертами в школах, дворцах культуры, а также в цехах предприятий (газ.).

А вот союзы «и (или)», указанные вместе означают, что члены однородного ряда, соединяемые ими, могут как сосуществовать вместе («организующее и осуществляющее обработку»), так и быть выбраны (один из ряда: «организующее или осуществляющее обработку»).

Приведенный лингвистический анализ показывает неосновательность утверждения о том, что определение цели обработки ПДн является непременным признаком оператора. В тоже время указанный анализ является не единственным доказательством порочности этого утверждения.

Из содержания различного рода публикаций и, исходя из складывающейся правоприменительной практики, можно сделать вывод и об отношении органа, уполномоченного по защите прав субъектов ПДн (далее — Роскомнадзор) к рассматриваемой проблеме. Роскомнадзор считает, что оператор — это тот, кто, прежде всего, совершает какие-либо операции с ПДн. Одновременно, в силу самого факта обработки у «обработчика» возникает и обязанность определения целей такой обработки. Т.е. по сути, определение цели обработки является скорее следствием обработки, или необходимости в таковой, неотъемлемой составляющей обработки, первейшей обязанностью, проистекающей из обработки ПДн, а не «основным признаком оператора».

Справедливость изложенного мнения подтверждается и системным анализом норм ФЗ № 152. Начать следует со статьи 1 Закона, в которой определена сфера его действия. Названная статья гласит, что закон регулирует отношения, связанные с обработкой ПДн, осуществляемой различными органами, юридическими и физическими лицами. Понятие обработки дано в п.3 ст.3 ФЗ 152. Это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных. Из изложенного следует, что, если конкретное лицо осуществляет какие-либо из перечисленных действий, то оно априори становится участником общественных отношений, являющихся предметом регулирования ФЗ № 152 (если только не подпадает под исключения, предусмотренные ч.2 ст.1 Закона). Как же следует именовать это лицо в терминах ФЗ «О персональных данных»? Выбор невелик. Это лицо следует именовать оператором.

Итак, некое лицо осуществляет (либо намеревается осуществлять) обработку ПДн. Согласно ст.5 ФЗ 152 обработка ПДн должна осуществляться в соответствии с определенными Законом принципами. Анализ содержания принципов приводит к выводу о том, что фундаментальной основой обработки ПДн является определение целей обработки. Даже не вникая в суть каждого принципа, а просто при беглом прочтении ст.5 в каждом пункте статьи мы видим термин «цель» («законности целей», «соответствие целям», «достаточность для целей» и т.д.). Такая концентрация внимания применена законодателем не случайно. От лица, осуществляющего обработку ПДн, Законом требуется уведомление о целях обработки субъектов ПДн органа, уполномоченного по защите прав субъектов ПДн. Закон стремится сделать деятельность, связанную с обработкой ПДн, прозрачной и понятной как для человека — носителя защищаемых Законом конституционных прав и свобод, так и для государственных органов, обеспечивающих реализацию механизмов защиты прав человека как субъекта ПДн. Красной нитью проведена в Законе идея о недопустимости «бесцельной» обработки ПДн (обработки ПДн «просто так», «для своих неопределенных нужд», для «общего развития», «для себя» и т.д.).

Согласно второму принципу, продекларированному в ст.5 Закона, если лицо имеет намерение обрабатывать ПДн, цели такой обработки должны быть заранее (до начала обработки) определены и заявлены. Обратная логическая цепь рассуждений приводит к выводу о том, что осуществление каких-либо действий с ПДн в отсутствие определенной цели обработки является нарушением принципов обработки, и, следовательно, нарушением Закона, предпосылкой к нарушению конституционных прав и свобод человека и гражданина.

Толкование нормы, изложенной в п.2. ст.3 ФЗ 152 в том контексте, что определение цели является не обязанностью оператора, а идентифицирующим его в этом качестве неотъемлемым признаком, неизбежно влечет за собой следующий парадоксальный вывод. Из сферы действия закона выпадают такие органы, как Пенсионный фонд РФ, Фонд обязательного медицинского страхования, Федеральная налоговая служба, Федеральная миграционная служба и многие другие государственные структуры, чьи обязанности напрямую определены и детализированы федеральным законодательством, в том числе и в контексте совершения операций с ПДн. Рассматриваемая предпосылка также приводит к заключению о том, что и операторы связи не являются операторами ПДн, поскольку цель сбора ПДн абонентов предусмотрена в Законе «О связи» и подзаконных нормативно-правовых актах — т.е. определена государством, а не конкретным лицом, предоставляющим услуги связи. То же относится и к кредитным учреждениям, страхов ым и другим организациям, которые осуществляют сбор и другие действия с ПДн в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, т.е. в целях прямо предусмотренных Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем», а не самими этими организациями. Список можно продолжать бесконечно, абсолютизируя всего лишь одну норму закона и доходя до абсурда в попытках примерить буквальное ее толкование на реальные общественные отношения.

В ст.18 ФЗ № 152 установлены обязанности оператора при сборе ПДн. К их числу относится, в первую очередь, обязанность оператора предоставить субъекту ПДн по его просьбе информацию (ст.14 ФЗ 152), в т.ч., о целях обработки его ПДн. При установлении этой обязанности Закон не делает исключения для операторов, обрабатывающих ПДн на основании каких-либо федеральных законов.

Таким образом, с учетом изложенного выше, становится понятным, что в контексте Закона определение цели обработки ПДн в действительности является скорее обязанностью лица, осуществляющего обработку ПДн, нежели одним из признаков, обладание которым делает это лицо оператором.

Что же такое «определение» цели? Уяснение смысла слова «определение» имеет важное значение для уяснения содержания нормы права, без чего является невозможным правоприменение этой нормы. Поскольку в самом Законе законодатель не счел необходимым раскрыть понятие «определение цели», обратимся к одному из признанных в теории права способов толкования — лексическому (языковому) толкованию.

Согласно толковому словарю русского языка под редакцией проф. Д.Н.Ушакова, определить значит
С точностью выяснить, привести в известность;
Дать научную, логическую характеристику, формулировку какого-нибудь понятия, раскрыть его содержание;
Постановить, вынести решение о чем-нибудь;
Послужить причиной для развития, образования чего-нибудь, предопределить, обусловить;
Назначить, указать.

Следовательно, под определением цели обработки ПДн можно понимать ее выяснение, выбор, вычленение из множества возможных целей, ее постановку или назначение в качестве таковой, указание на эту конкретную цель (цели) в качестве причины для обработки ПДн.

Контекстный анализ содержания ФЗ 152, выявление его смысловых связей с другими источниками права позволяет сделать вывод о том, что для отдельных операторов ПДн и(или) относительно отдельных категорий субъектов ПДн цели обработки ПДн могут быть фактически предопределены или даже прямо указаны в законах либо подзаконных актах (Трудовой кодекс, например, конкретно указывает работодателям на цели обработки ПДн работников). Цель обработки тех или иных ПДн другими операторами проистекает из их обязанностей, возникших из договорных обязательств. В отдельных случаях цели обработки ПДн могут одновременно быть обусловлены и содержанием коммерческой деятельности оператора, и предписаниями закона (операторы связи в целях осуществления собственной уставной деятельности, направленной на извлечении прибыли, обрабатывают ПДн в целях оказания услуг связи и во исполнение Закона «О связи»).

Таким образом, первичной задачей лица, осуществляющего обработку ПДн, является именно вербализация целей обработки ПДн, уяснение для себя самого чем именно обусловлена конкретно для него обработка ПДн физических лиц. Формулирование ответа на этот вопрос фактически и будет являться определением цели обработки ПДн.

В разрезе проблемы, рассматриваемой в настоящей статье, представляется интересным мнение Правительства РФ, выраженное по поводу поправок в ФЗ 152. 5 мая 2010 года был в первом чтении принят законопроект, внесенный на рассмотрении в Государственную думу ее депутатом В.М.Резником. В числе прочего, данным законопроектом предложена новая формулировка понятия «оператора», а именно:

«оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющие обработку персональных данных, а также определяющие цели, содержание и порядок обработки персональных данных». Как видим, из ныне действующей формулировки исключено слово «организующие». В своем официальном отзыве на данный законопроект Правительство РФ указывает, что «такое изменение не может быть поддержано, поскольку лица, осуществляющие обработку персональных данных, но не определяющие цели и содержание обработки, не смогут считаться операторами». Из приведенного замечания Правительства РФ следует, что на сегодняшний день (когда редакция закона еще не изменена) по мнению Правительства РФ оператором является любое лицо, осуществляющее обработку ПДн вне зависимости от наличия или отсутствия факта определения им целей такой обработки.

Итак, проведенный в настоящей статье анализ позволяет сделать несколько выводов.
Определение цели обработки ПДн — это обязанность оператора, а не обязательный идентифицирующий признак оператора.
Определение цели обработки ПДн — это процесс осмысления, уяснения, конкретизации и вербализации цели обработки ПДн оператором, в том числе и в случаях, когда такие цели предопределены и (или) проистекают из положений закона или полномочий, возложенных на оператора.

Деятельность любой организации неизбежно подразумевает обработку персональных данных в информационной системе (ИСПДн). Каждое предприятие, использующее конфиденциальную информацию о сотрудниках, клиентах, партнерах и других физлицах, обязано пройти регистрацию в качестве оператора персональных данных.

Порядок хранения и защиты персональных данных

Организация защиты конфиденциальных сведений проходит в несколько этапов:

• Проверка начальных работ по обработке персональных данных (ревизия локальной нормативной базы, анализ информационных потоков ПДн и ИСПДн в целом, выявление недостатков и угроз безопасности информационной системы, внесение предложений по исправлению недостатков, улучшению систем защиты персональных данных).
• Разработка нормативной базы по защите ПДн. Данный этап включает в себя классификацию ИСПДн и регистрацию в качестве оператора персональных данных в Роскомнадзоре.
• Проектирование системы защиты ПДн – выбор способов, мер и классов средств защиты ПДн, разработка технической документации на создание СЗПДн, а также разработка конкретных мероприятий по защите информации в каждой конкретной ИСПДн.
• Внедрение СЗПДн – ввод в действие систем защиты ПДн и настройка существующих средств защиты ИСПДн.
• Оценка соответствия ИСПДн, в рамках которой проводятся оценочные испытания ИСПДн и выдается соответствующий Аттестат.

Регистрации в качестве оператора персональных данных в Реестре Роскомнадзора является частью общего процесса организации обработки и защиты ПДн.

Этапы регистрации оператора ИСПДн в Роскомнадзоре

Регистрация оператора ИСПДн включается в себя следующие этапы:

• Разработка и принятие нормативной базы по обработке и защите ПДн.
• Заполнение формы уведомления о намерении осуществлять обработку персональных данных на сайте территориального органа Роскомнадзора.
• Отправка уведомления в информационную систему Уполномоченного органа по защите прав субъектов персональных данных.
• Печать заполненной формы с подписями.
• Направление распечатанной формы уведомления в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.

Предлагаем вам составить документы, необходимые для регистрации в качестве оператора персональных данных, с помощью нашего онлайн-сервиса. На этой странице представлены акты, инструкции, положения, журналы, уведомления и другие документы.

Регистрация оператора персональных данных внутреннего пользования

п. 4 - обязательно это нужно делать каждому юр. лицу или ИП, если он предполагает обработку перс данных сотрулников и клиентов?

мы компания, которая создала и обсуживает систему где присутствуют персональные данные клиентов заказчика, набор этих документов нам не подходит, больше подходит когда работадатель данные сотрудников своих обрабатывает, но то же не совсем.

Здравствуйте! есть несколько вопросов по настройке шаблонов. 1) Скажите пожалуйста, как настроить шаблоны системы ИСПДн, чтобы классифицировать систему под актуальные угрозы 1 типа и необходимость обеспечения 1-го уровня защищенности. Будут ли в этом случае, предлагаемые шаблоны согласованы между собой? 2.) Возможно ли предзаполнение всех документов системы (28 документов) первоначально вводимыми данными (наименование юр. лица, категории персональных данных), или требуется их вводить каждый раз при заполнении отдельного документа системы?

Уточните, пожалуйста, какой минимально возможный уровень защищенности ПДн можно оформить на базе Ваших шаблонов? (мы заинтересованы в минимизации расходов на систему. обрабатываться будут ПДн работников и контрагентов. Специальные категории ПДн и биометрические данные не обрабатываем)

Здравствуйте! Мы заинтересованы использовать механизм ведения и учёта заданий в рамках трудовых обязанностей своих работников, путём регистрации учётной записи (личного кабинета) с именем работника (имя пользователя) и предоставления уникальных идентификатора (логина) и пароля к данной записи, как рекомендуется в Вашем шаблоне «Регламент интеллектуальной собственности», п. 6.2. При этом, в п. 6.4 упомянутого Регламента интеллектуальной собственности указывается, что все адреса корпоративной электронной почты и все логины или имена пользователей в Программных инструментах указываются в особом внутреннем документе, утверждаемом Генеральным директором Общества, который обновляется и доводится до сведения всех сотрудников Общества по мере необходимости, т.е. данные раскрываются другим лицам. Просим разъяснить следующие вопросы: 1.) относятся ли к персональным данным (и если да, то к какой категории), данные учётной записи (личного кабинета) с именем работника (именем пользователя) и уникального идентификатора (логина) и пароля работника во внутренней системе Оператора, адрес электронной почты работника во внутренней системе Оператора? 2.) если такие данные относятся к персональным данным, то будут ли особенности использования их в Ваших шаблонах по ИСПДн (не повлечет ли это необходимости приобретения криптографических средств защиты и т.п.)?

Здравствуйте! Согласно законодательства не надо уведомлять регулятора при обработке персональных данных, обрабатываемых в соответствии с трудовым законодательством. А как быть с кандидатами, не принятыми на работу? Их данные остались, мы их имеем право хранить без уведомления регулятора? Например, если кандидат не выдержал испытательный срок(здесь очевидные трудовые отношения). Или, к примеру, даже не был допущен к испытанию? Просто эти данные нам сегодня не нужны, а завтра мы подняли анкету, пригласили человека и трудоустроили. Будет ли это диспозиция 86 статьи ТК в части "обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве" и соответственно может осуществляться без ведома регулятора?

Здравствуйте. Пакет документов по обработке данных разработан для работников или контрагентов?

А заполнять документы нужно онлайн или после скачивания просто в ВОРДЕ?

Здравствуйте! Если вы обрабатываете ПДн своих сотрудников или клиентов, то защитить их нужно обязательно. Нужно разработать правильный комплекс локальных нормативных актов, представленных в процедуре, а также обеспечить технические меры, если обработка осуществляется в автоматизированном или частично автоматизированном режиме, и организационные. Исключение касается только подачи уведомления в Роскомнадзор для регистрации в качестве оператора персональных. Все эти исключения прописаны в статье 22 п.2 152-ФЗ. Самые часто встречающиеся исключения - это обработка ПДн сотрудников в рамках трудового законодательства, обработка ПДн клиентов в рамках исполнения договора (например, чтобы поставить товар клиенту нужно знать его адрес, данные паспорта).

Здравствуйте! Согласно п. 2 ст. 3 Закона № 152-ФЗ, под оператором персональных данных понимается, в частности, юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).Таким образом, если при выполнении Вами работ по обслуживанию сайта Вы осуществляете какое-либо одно или совокупность действий перечисленных выше, - согласно закону Вы являетесь оператором персональных данных, со всеми вытекающими отсюда обязанностями. Закон не делает исключений для тех операторов, которые не осуществляли сбор ПДн непосредственно от субъектов, а получили ПДн от другого оператора. Оператор – тот, кто осуществляет обработку, т.е. любое лицо, осуществляющее хотя бы одно из указанных в ст. 3 ФЗ № 152 действий с ПДн. И в таком случае рекомендуем придерживаться процедуры: http://www..Благодарим Вас за использование сервиса!

Здравствуйте! Вам необходимо ответить на вопросы опросного листа в левой части страницы – пакет необходимых документов сформируется автоматически. Если введенное в каком-либо документе значение – идентично для другого документа в общем пакете, то оно автоматически заполниться в этом документе. Шаблоны документов подойдут для обеспечения 1-го уровня защищенности ПД. Обращаем Ваше внимание на то, что помимо разработки документации, необходимо также разработать и внедрить технические меры защиты. Состав и содержание таких «базовых» мер определен в приказе ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».Благодарим за использование нашего сервиса!

см. ответ ниже

Здравствуйте!Персональными данными является любая информации, позволяющая безошибочно идентифицировать физическое лицо (по смыслу ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"). В данном случае, отдельно взятые адреса корпоративной электронной почты и логины или имена пользователей являются персональными данными работников, которые необходимы работодателю в связи с трудовыми отношениями, что само по себе не влечет за собой особенностей применения специального режима защиты (с учетом соблюдений требований, установленных главой 14 ТК РФ). Рекомендуем Вам ознакомиться с процедурой, расположенной по ссылке: http://www.. Благодарим за использование нашего сервиса!

Здравствуйте. Работодатель вправе без уведомления Роскомнадзора обрабатывать персональные данные кандидатов на должности, сохранять их резюме, формируя как бумажную, так и электронную базу соискателей, если имеется их письменное согласие. Данный вывод основан на том, что согласно п.1 ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», без уведомления уполномоченного органа может производиться обработка данных, обрабатываемых в соответствии с трудовым законодательством.Персональные данные соискателей могут храниться в базе у работодателя, если на то дано письменное согласие кандидата и указан срок такого хранения. Что касается бывших работников (как не выдержавших испытание), полагаем, что если ТК РФ или иными законами на работодателя не возлагается обязанность обрабатывать данные бывших работников, то такая обработка должна осуществляться только с уведомлением Роскомнадзора (если отсутствуют иные основания для обработки персональных данных без подачи уведомления, например, обработка персональных данных без использования средств автоматизации). Рекомендуем уточнить этот вопрос в уполномоченном органе. Благодарим за ваше обращение.

22 статья 152-ФЗ почитали. Но поскольку не со всеми соискателями, ПДн которых мы собираем, мы вступаем в трудовые отношения(принимаем на испытание или хотя бы приглашаем на собеседования), Роскомнадзор уведомлять все-таки надо в этом случае

Здравствуйте. Обработка персональных данных соискателей тоже ведется в рамках трудового законодательства. Согласно позиции Четвертого арбитражного апелляционного суда, основание, предусмотренное п.1 ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», распространяется и на деятельность по подбору персонала (Постановление от 07.02.2018 N 04АП-127/2018 по делу N А19-17054/2017). Это связано с тем, что трудовое законодательство регулируется не только Трудовым кодексом РФ, но и иными нормативными актами. Так, Федеральным законом от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации" предусмотрено, что работодатели содействуют политике занятости, в частности, путем трудоустройства. Полагаем, что письменного согласия соискателя на хранение определенных его данных в течение оговоренного в согласии срока будет достаточно для соблюдения законности в данной сфере. Уведомлять Роскомнадзор нет необходимости. Тем не менее, во избежание споров, рекомендуем все же уточнить этот вопрос в уполномоченном органе. Благодарим за ваше обращение.

Спасибо! Почитал судебное решение. Вопрос скользкий. Это судебное решение говорит о том, что позиция Роскомнадзора-уведомлять, но АС Иркутской области вместе с апелляцией встали на сторону юрлица. Учитывая известность позиции Роскомнадзора встанет ли АС нашего региона на нашу сторону неизвестно. Поэтому-таки направили письмо с вопросом.

Здравствуйте. Благодарим за ваш отклик. Было бы интересно и полезно увидеть итог вашего обращения на странице нашего обсуждения. С уважением, компания FreshDoc.

Я обязательно отпишусь, как они ответят! Ваши советы очень помогли мне в выработке правовой позиции по этому вопросу)

Написал. Как Вы думаете что ответили? Ни-че-го! То есть конечно, ответили, но ни о чем. Суть письма сводится к тому, что решать вам подавать уведомление или нет. Я хотел добиться, чтобы на случай проверки у меня был их ответ, но не получилось. А прикрываться решением суда другой области.. У нас пока что не англо-саксонская правовая система, а континентальная и для меня основной вывод из мотивировочной части решения суда, это видение Роскомнадзора, а встанет ли наш краевой суд на нашу стороу, как встал в Иркутске неизвестно

Здравствуйте. Спасибо за ваш отклик. Наличие ответа Роскомнадзора не является гарантированной защитой от привлечения к ответственности. Для суда мнение ведомства, каково бы оно ни было, также не имеет решающего значения. Рекомендуем составить свое мотивированное мнение, и по возможности, заручиться подходящими ко случаю судебными актами. С уважением, компания FreshDoc.

В любом случае хоть Уведомление, хоть нет, а требования статей 18.1, 19 ФЗ-152 обязан исполнять любой оператор при обработке ПДн: назначать ответственное лицо, разрабатывать и утверждать политику и положение о ПДн и т.д. Тем более, Роскомнадзор проводит Плановые проверки в отношении всех операторов, а не только в отношении включенных в реестр Роскомнадзора по Уведомлению

Здравствуйте. Да, принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных", возлагается на оператора ПДн в независимости от наличия/отсутствии его в реестре операторов (направления в Роскомнадзор уведомления). При этом для выполнения требований, предусмотренных ст. 22 ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных", оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн, в противном случае ему грозит штраф, предусмотренный ст. 19.7 КоАП РФ.

Здравствуйте. Круг субъектов персональных данных установлен в разделе 3 «Персональные данные, обрабатываемые в ИСПДн» Положения об обработке и защите персональных данных, которое входит в пакет документов и находится по ссылке https://www.сайт/?oid=7086347. В нем, в частности, установлено, что обрабатываются данные следующих субъектов: сотрудники Оператора; акционеры/учредители Оператора, лица связанные с сотрудниками, акционерами, учредителями (дети, в отношении которых выплачиваются алименты, жены, и т.д.); клиенты (потребители услуг Оператора); индивидуальные предприниматели - контрагенты Оператора; клиенты организаций, контрагентов Оператора (обслуживание корпоративных клиентов). Также установлено, что данный перечень может пересматриваться. Благодарим вас за обращение.

Заполнить документы можно прямо на сайте.

Требования закона к оператору персональных данных

Оператор обязан обеспечивать конфиденциальность персональных данных. В статье 7 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее ФЗ-152) написано, что оператор не обязан защищать персональные данные, если они являются обезличенными или общедоступными. Оператор персональных данных не имеет права обрабатывать данные без согласия субъекта персональных данных , то есть человека, кому эти данные принадлежат. Однако, в ст. 6 ч.2 ФЗ-152 предусмотрен ряд случаев, когда согласие субъекта не требуется.
В частности, не требуется согласие субъекта, если его персональные данные обрабатываются на основании Федерального закона, определяющего цель и содержание такой обработки (ст. 6, п.2, ч.2). Например, согласно Федеральному закону № ФЗ-3266-1 «Об образовании», у выпускников средних общеобразовательных учреждений не обязательно брать согласие на обработку их персональных данных для допуска к ЕГЭ. Органы и организации, привлекаемые к проведению ЕГЭ, осуществляют «…передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена <…> персональных данных обучающихся, участников единого государственного экзамена <…> в соответствии с требованиями законодательства Российской Федерации в области персональных данных без получения согласия этих лиц на обработку их персональных данных» (ст. 15, п. 5.1). В апрельском номере журнала «Персональные данные» есть большой материал , посвященный именно этой проблеме.
Еще один случай, когда для обработки персональных данных не требуется согласие субъекта: исполнение договора, одной из сторон которого является субъект персональных данных. Для примера подойдет любой договор компании с физическим лицом на оказание услуг. Массу полезной информации по этой теме можно найти в специализированной прессе. Оператор также должен обеспечивать необходимые организационные и технические меры для пресечения попытки незаконного доступа к персональным данным.

Необходимые документы

Каждый оператор персональных данных обязан иметь пакет документов, подтверждающих защищенность Пдн сотрудников и клиентов.

Перечень необходимых документов может меняться в зависимости от специфики обработки персональных данных, орг.структуры и других особенностей каждого отдельно взятого предприятия.

В соответствии с данным пакетом документов на предприятии должны быть внедрены технические средства защиты персональных данных.

Подготовка документов, необходимых для защиты персональных данных

Существует несколько способов подготовить документы в соответствии с требованиями 152-ФЗ «О персональных данных» :

Средства защиты

Практически в каждой организации имеется информационная система персональных данных (сокращённо ИСПДн), которая может содержать, например, фамилию, имя работника, его паспортные данные, ИНН и т. д. С этой информационной системой работает оператор. В зависимости от того, какие данные содержатся в ИСПДн конкретной организации, эта ИСПДн может относится к одному из четырёх классов, каждый из которых предусматривает различные средства для защиты персональных данных.

См. также

Ссылки

• www.rsoc.ru Реестр операторов, осуществляющих обработку персональных данных
• www.pd.rsoc.ru Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных
• www.privacy-journal.ru Информационно-аналитический журнал "Персональные данные"

Wikimedia Foundation . 2010 .

Смотреть что такое "Оператор персональных данных" в других словарях:

Оператор персональных данных - 2) оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки… … Официальная терминология

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,… … Википедия

Субъект персональных данных физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Содержание 1 Взаимодействие с субъектом персональных данных … Википедия

Комплекс мероприятий технического, организационного и организационно технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных… … Википедия

Эта статья или раздел описывает ситуацию применительно лишь к одному региону. Вы можете помочь Википедии, добавив информацию для других стран и регионов. Содержание 1 Определение … Википедия

Номер: 152 ФЗ Принятие: Государственной думой 26 июля 2006 года Вступление в силу: 26 января 2007 г. Федеральный закон РФ от 27 июля 2006 года № 152 ФЗ «О персональных данных» федеральный закон, регулирующий деятельность по обработке (использ … Википедия

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) - Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… …

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ПРИНЯТИИ РЕШЕНИЙ НА ОСНОВАНИИ ИСКЛЮЧИТЕЛЬНО АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, заключаются в запрещении принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении… …

оператор - 4.22 оператор (operator): Какой либо объект, осуществляющий работу системы. Примечание 1 Роль оператора и роль пользователя могут возлагаться одновременно или последовательно на одно и то же лицо или организацию. Примечание 2 В контексте данного… … Словарь-справочник терминов нормативно-технической документации

ОПЕРАТОР - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и/или осуществляющие обработку персональных данных, а также определяющие цели … Делопроизводство и архивное дело в терминах и определениях

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства . В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

• При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
• При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
• При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье