Главная - Лицензирование - Как узнать что предприятие отправило уведомление в роскомнадзор

Как узнать что предприятие отправило уведомление в роскомнадзор


Как узнать что предприятие отправило уведомление в роскомнадзор

Кто такие операторы персональных данных и чем они занимаются


Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может.

Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ: Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации. Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  1. определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.
  2. самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги?

Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

ПОРТРЕТ ОФИЦИАЛЬНОГО ЛИЦА

Юлия Сергеевна ЗАБУДЬКОС 2003 по 2007 год помощник прокурора прокуратуры Богучарского района Воронежской области. Затем главный специалист-эксперт, заместитель начальника юридического отдела Управления Федеральной службы по надзору в сфере связи по Москве и Московской области. С 2008 года – начальник отдела судебно-претензионной работы в области защиты прав субъектов персональных данных Правового управления Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия.

В марте 2011 года назначена на должность заместителя начальника Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.Заместитель председателя Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных.

Специализируется в области защиты конституционных прав человека на неприкосновенность частной жизни. Принимает активное участие и выступает на конференциях, в том числе международных, научно-практических семинарах по вопросам информационной безопасности и защиты персональных данных, рабочих группах по совершенствованию законодательства Российской Федерации в области персональных данных.Все ли работодатели обязаны направлять в Роскомнадзор уведомление об обработке персональных данных?— Сначала хотелось бы отметить, что Роскомнадзор удивил факт такого пристального внимания к .
Принимает активное участие и выступает на конференциях, в том числе международных, научно-практических семинарах по вопросам информационной безопасности и защиты персональных данных, рабочих группах по совершенствованию законодательства Российской Федерации в области персональных данных.Все ли работодатели обязаны направлять в Роскомнадзор уведомление об обработке персональных данных?— Сначала хотелось бы отметить, что Роскомнадзор удивил факт такого пристального внимания к . Федеральным законом «О персональных данных», вступившим в силу в январе 2007 года, уже предусматривалось, что работодатель должен направить в Роскомнадзор уведомление об обработке персональных данных.

В 2008 году был издан приказ, утверждающий форму уведомления и рекомендации по ее заполнению. И лишь после этого был издан , отражающий те изменения, которые были внесены в Закон в июле этого года. И хотя тема не нова, поток звонков в территориальные управления Роскомнадзора с вопросами по заполнению уведомления в последнее время не прекращается.Возвращаясь к вопросу, поясню, что в перечислены основания, при которых работодатель вправе осуществлять обработку персональных данных без уведомления Роскомнадзора ().

Например: если они обрабатываются в соответствии с трудовым законодательством; если данные получены в связи с заключением гражданско-правового договора с работником (при условии, что персональные данные не предоставляются третьим лицам без согласия работника и используются работодателем исключительно для исполнения договора) и т. п.Чтобы четко понять, нужно ли уведомлять Роскомнадзор, рекомендую не только внимательно изучить закон, но и свои учредительные документы, локальные нормативные акты — в них закрепляются направления деятельности юридического лица и цель предполагаемой обработки персональных данных.Иногда работодателю все же сложно определить, обязательно ли направлять уведомление.

Об этом свидетельствуют многочисленные звонки в наш Справочно-информационный центр и письменные обращения граждан и юридических лиц — мы разбираемся с каждым конкретным случаем.

Например, наиболее распространенный вопрос: нужно ли направлять уведомление, если в компании обрабатываются лишь персональные данные работников в соответствии с трудовым законодательством. Ответ: нет. Однако если предполагается передавать их персональные данные по программе добровольного медицинского страхования или для оформления зарплатной карты, уведомление отправлять обязательно, потому что эти отношения выходят за рамки трудового законодательства.Обращаю ваше внимание: если организация вправе не уведомлять Роскомнадзор, она, тем не менее, должна выполнять все требования по защите персональных данных, особенно при трансграничной передаче персональных данных.

Практика показывает, что многие фирмы в настоящее время взаимодействуют со своими иностранными партнерами и передают персональные данные граждан Российской Федерации (работников, клиентов) на территорию иностранного государства. Работодатель должен понимать: в этой ситуации должны быть обеспечены особые условия защиты их персональных данных.В какой форме — бумажной или электронной — нужно направлять уведомление? Как правильно его составить?— Если организация обязана уведомить Роскомнадзор, она вправе сделать это двумя способами.

Первый — самостоятельно составить уведомление в бумажной форме и направить его по почте. И второй — более удобный — заполнить уведомление в электронной форме на Портале персональных данных, а затем распечатать. Второй способ более удобен потому, что на портале опубликована типовая форма документа с рекомендациями, как ее заполнить.

Вашими помощниками будут всплывающие подсказки, которые поясняют каждую графу.

После того как уведомление составлено, необходимо нажать кнопку

«Отправить электронное уведомление и подготовить форму к распечатке»

. При этом совершаются два действия — электронный документ уходит непосредственно в нашу базу данных и преобразуется в форму, которую нужно распечатать на фирменном бланке. После этого необходимо подписать бумажный вариант у руководителя организации, поставить печать и отправить в территориальное управление Роскомнадзора.

Их адреса опубликованы на главной странице нашего интернет-портала .В ближайшее время появится возможность в полном объеме пользоваться Единым порталом государственных и муниципальных услуг, откуда можно будет подать уведомление в электронной форме, не используя бумажный вариант. Для этого нужно зайти на портал через Личный кабинет (физического или юридического лица) и заполнить уведомление. Документ отправится в локальную сеть Роскомнадзора, а затем в соответствующее территориальное управление для обработки.

В дальнейшем эта версия будет снабжаться электронной подписью. Сегодня во время регистрации вы также проходите необходимый этап идентификации, указав ИНН компании.

Таким образом, подтверждается, что уведомление поступает от конкретного лица.Уведомление, поступившее в территориальное управление, проверяется на соответствие требованиям закона и, при положительном решении, сведения об организации включаются в Реестр операторов, осуществляющих обработку персональных данных. Реестр также размещен на нашем сайте, причем ведется он с 2008 года.

Любой кадровик может убедиться, что его уведомление дошло до Роскомнадзора и сведения внесены реестр. Для этого наберите в нужных строках название компании и ИНН.Если вы хотите документально подтвердить, что состоите в Реестре операторов, отправьте

«Заявление о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных»

. Можно просто написать письмо в территориальное управление с просьбой предоставить выписку.

В последнее время некоторые граждане обращаются в Роскомнадзор с вопросом — занесена ли в реестр та или иная компания? От этого будет зависеть, обратятся ли они в эту компанию за какой-либо услугой, будут ли с ней взаимодействовать в дальнейшем.

То есть потенциальному клиенту важно знать, каким образом там защищают и защищают ли вообще персональные данные.

Соблюдение всех требований действующего законодательства благоприятно отражается на деловой репутации организации.Назовите, пожалуйста, самые распространенные ошибки в уведомлении. Что делать, если они допущены?— Одна из самых распространенных ошибок — отражение неполных и (или) недостоверных данных, то есть когда не все пункты уведомления оказались заполненными или в них представлена недостоверная информация.Вопросы возникают и с перечнем действий с персональными данными — сбором, хранением, систематизацией, накоплением, изменением, а также со способом обработки. Существуют три способа обработки — автоматизированная, неавтоматизированная и смешанная, когда данные обрабатываются в автоматизированном режиме, но при этом дублируются бумажными формами.

Часто работодатель из-за невнимательности забывает указать нужный способ.Еще одна системная ошибка — определение срока начала и окончания обработки персональных данных.

Датой начала считается тот день, когда вы непосредственно начали их обрабатывать. Как правило, это начало деятельности юридического лица, а не день заполнения уведомления.

А срок и основания прекращения — дата ликвидации фирмы или дата, когда прекращается обработка персональных данных и они уничтожаются, если не передаются в архив.

Когда вы не можете определить точную дату окончания обработки персональных данных, можно в уведомлении указать предполагаемую, а потом, когда станет известна точная дата, заполнить «Форму заявления о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» на Портале персональных данных.
Когда вы не можете определить точную дату окончания обработки персональных данных, можно в уведомлении указать предполагаемую, а потом, когда станет известна точная дата, заполнить

«Форму заявления о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных»

на Портале персональных данных.

Если нет доступа в Интернет, необходимо отправить письмо в территориальное управление с просьбой внести изменения в конкретный пункт. Эти же действия нужно совершить, если вы допустили ошибку в уведомлении.Когда Роскомнадзор может прийти в организацию с проверкой?— Действующий закон о защите юридических лиц и индивидуальных предпринимателей предусматривает как плановые, так и внеплановые проверки. Например, основанием для плановой проверки может быть истечение трех лет со дня государственной регистрации юридического лица или индивидуального предпринимателя или окончания последней плановой проверки.

Истечение срока исполнения работодателем ранее выданного предписания об устранении нарушения или поступление в Роскомнадзор (его территориальные органы) информации о нарушении прав граждан при обработке их персональных данных также являются основаниями для проведения внеплановой проверки.Незаконная обработка персональных данных без согласия работника, незаконное их распространение неограниченному кругу лиц — например, когда в Интернете появляется информация о должниках или нарушителях дисциплины — одни из наиболее распространенных нарушений. Так, на сайте одной организации были размещены сведения о человеке (фамилия, имя, отчество и место жительства), который совершил дисциплинарный проступок.

Тем самым был нарушен закон о персональных данных, что стало причиной внеплановой проверки.Нужно ли работодателю писать заявление об исключении сведений из Реестра операторов?— Разумеется, если работодатель по каким-либо причинам прекращает обрабатывать персональные данные.

Например, в случае ликвидации или реорганизации компании, окончания срока обработки данных, указанного в уведомлении, и т. д. Поэтому работодатель обязан прислать заявление в территориальное управление Роскомнадзора с просьбой исключить его из реестра, а также обоснования, почему это следует сделать.

д. Поэтому работодатель обязан прислать заявление в территориальное управление Роскомнадзора с просьбой исключить его из реестра, а также обоснования, почему это следует сделать. Обращаю ваше внимание, что такое заявление — это не простая формальность, а прямое доказательство ответственного отношения к своим обязанностям.Беседовала Елена Ильина, эксперт журнала «Кадровое дело» «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

«О персональных данных» (далее — ).

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (). . .

«О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

.

Информационная справка

Правила защиты в сфере обработки персональных данных обязуют всех, кто ими оперирует, проходить регистрацию в качестве оператора персональных данных.

Эти вопросы находятся в юрисдикции Роскомнадзора (РКН), который в случае неисполнения закона вводит штрафные санкции против юридического лица или ИП. Ведя деятельность в сфере обработки персональных данных, необходимо руководствоваться следующими нормативными актами:

  1. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) ;
  2. Приложение 2 к приказу Минкомсвязи России от 21 декабря 2011 г. .
  3. ;

Персональные данные можно представить в виде информации, по которой легко устанавливается личность того или иного человека.

В перечень входят:

  1. идентификационные данные общего порядка;
  2. семейное положение;
  3. образование и не только.

Регистрация в качестве оператора происходит через отправку уведомления об обработке в РКН. При этом перед обработкой персональных данных предприниматель должен убедиться, что документ принят контролирующим органом. Согласно закону, базы персональных данных должны храниться только на территории России в бумажном или электронном виде.

Принятие мер по защите данных в процессе обработки ложится целиком и полностью на оператора. Также он обязан:

  1. прекращать хранение персональной информации после потери ею актуальности или по факту не востребованности.
  2. получить согласие на обработку данных от лица, предоставляющего их;

За все нарушения, связанные с обработкой персональных данных и выявленные в результате проверок, Роскомнадзор наложит финансовые взыскания.

Необходимо ли уведомлять Роскомнадзор о начале обработки персональных данных?

Здравствуйте! Разъясните, пожалуйста, ситуацию с Федеральным законом «О персональных данных». Есть сайт с базой зарегистрированных фрилансеров, которым выплачиваются гонорары по договору оферты.

При регистрации собираются персональные данные фрилансеров (для выплаты денег): паспортные данные, ФИО, год рождения и т.д. Персональные данные в дальнейшем никуда не передаются (за исключением органов исполнительной власти, по официальному запросу), никак не распространяются и хранятся в зашифрованном виде в базе данных проекта. Необходимо ли в этом случае уведомить Роскомнадзор о начале обработки персональных данных и регистрировать проект как оператора персональных данных?

21 Июля 2016, 19:46, вопрос №1322168 Николай, г. Москва

    ,

600 стоимость вопросавопрос решён Свернуть Консультация юриста онлайн Ответ на сайте в течение 15 минут Ответы юристов (6) получен гонорар 100% 7,8 Рейтинг Правовед.ru 11177 ответов 6937 отзывов эксперт Общаться в чате Бесплатная оценка вашей ситуации Юрист, г. Москва Бесплатная оценка вашей ситуации

  1. 7,8рейтинг
  2. эксперт

Здравствуйте.

Тогда не нужно, если данные никуда не уходят, не распространяются, так как: Статья 22.

Уведомление об обработке персональных данных1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.2.

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 21 Июля 2016, 19:55 1 0 7,2 Рейтинг Правовед.ru 1886 ответов 430 отзывов Общаться в чате Бесплатная оценка вашей ситуации Юрист, г.

Екатеринбург Бесплатная оценка вашей ситуации

  1. 7,2рейтинг

Здравствуйте! На вопрос отвечает: Юлия Забудько, заместитель начальника Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Все ли работодатели обязаны направлять в Роскомнадзор уведомление об обработке персональных данных?

Возвращаясь к вопросу, поясню, что в Законе перечислены основания, при которых работодатель вправе осуществлять обработку персональных данных без уведомления Роскомнадзора (ч.

вторая ст. 22). Например: если они обрабатываются в соответствии с трудовым законодательством; если данные получены в связи с заключением гражданско-правового договора с работником (при условии, что персональные данные не предоставляются третьим лицам без согласия работника и используются работодателем исключительно для исполнения договора). Источник:- 21 Июля 2016, 20:28 0 0 10,0 Рейтинг Правовед.ru 14387 ответов 6492 отзыва эксперт Общаться в чате Бесплатная оценка вашей ситуации Юрист Бесплатная оценка вашей ситуации

  1. 10,0рейтинг
  2. эксперт

Здравствуйте Николай.

Порядок обработки и защиты персональных данных регулируется соответствующим федеральным законом, которым устанавливается также обязанность подачи уведомления в Роскомнадзор и случаи, когда подача такого уведомления необязательна. Уведомление Роскомнадзора об обработке персональных данныхВопрос: Пришло письмо о том, что наша организация не представила уведомление о намерении осуществлять обработку персональных данных от Роскомнадзора.

Уведомление Роскомнадзора об обработке персональных данныхВопрос: Пришло письмо о том, что наша организация не представила уведомление о намерении осуществлять обработку персональных данных от Роскомнадзора.

Согласно п.п. 2 п.2 ст.22 ФЗ от 27.07.06 № 152-ФЗ «О персональных данных»:2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;т.е. наша организация не должна высылать уведомление?При приеме на работу и заключении трудового договора мы берем письменное согласие на обработку данных, при получении банковской карты берем согласие на представление информации третьим лицам.

Достаточно ли этих документов?

Ответ: Действительно, п.2 ст.22 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» содержит ряд условий, при которых работодатель-оператор персональных данных может не подавать уведомление об обработке персональных данных в Роскомнадзор.С каждым отдельным случаем следует разбираться конкретно.
Ответ: Действительно, п.2 ст.22 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» содержит ряд условий, при которых работодатель-оператор персональных данных может не подавать уведомление об обработке персональных данных в Роскомнадзор.С каждым отдельным случаем следует разбираться конкретно. Зачастую руководители поспешно относят деятельность своих организаций к исключениям, предусмотренным ст.

22 Закона. Детальный же анализ деятельности организаций практически всегда показывает иные виды работы с персональными данными. Например, ведение базы потенциальных или бывших клиентов с целью информирования о деятельности организации или ведение базы данных кадрового резерва организации, а также хранение сведений об уволенных в архивах.Если в компании обрабатываются лишь персональные данные работников в соответствии с трудовым законодательством, подавать уведомление не нужно. Однако, если предполагается передавать их персональные данные по программе добровольного медицинского страхования или для оформления зарплатной карты, уведомление отправлять обязательно, потому что эти отношения выходят за рамки трудового законодательства.

В настоящий момент позиция регулятора (Роскомнадзор) такова — уведомление в Роскомнадзор необходимо подавать всем организациям, так как, во всех организациях ведется как минимум кадровый учет, в рамках которого, как правило, идет сбор данных не только о работнике, но и о его ближайших родственниках. Кроме того, проще подать уведомление и избавить себя от лишнего беспокойства, в случае осуществления проверки Роскомнадзором, который уполномочен осуществлять:привлечение к административной ответственности;направление дела в суд;направление заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о приостановлении действия или аннулированию соответствующей лицензии;направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных делОтветственность за нарушения в области персональных данных:Любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ – штраф для юридических лиц от 5000 до 10000 рублей.

При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно.Обязанности работодателя по хранению и использованию персональных данных закреплены также в Трудовом кодексе РФ, а любое нарушение законодательства о труде и об охране труда влечет за собой ответственность по ст.

5.27 КоАП – штраф для юридических лиц от 30000 до 50000 рублей или административное приостановление деятельности на срок до 90 суток. Каждое нарушение также рассматривается отдельно.Непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ – штраф для юридических лиц до 5 000 рублей.Для сотрудников организации: разглашение информации с ограниченным доступом – штраф для физических лиц от 500 до 1000 рублей.Помимо прочего существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст.

137 УК РФ предусматривает наказание в виде лишения свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет. 21 Июля 2016, 20:33 0 0 4979 ответов 2522 отзыва Общаться в чате Бесплатная оценка вашей ситуации Болтунова Марина Юрист, г. Москва Бесплатная оценка вашей ситуации

  1. 2522отзыва
  2. 4979ответов

Есть сайт с базой зарегистрированных фрилансеров, которым выплачиваются гонорары по договору оферты.

При регистрации собираются персональные данные фрилансеров (для выплаты денег): паспортные данные, ФИО, год рождения и т.д.

Персональные данные в дальнейшем никуда не передаются (за исключением органов исполнительной власти, по официальному запросу), никак не распространяются и хранятся в зашифрованном виде в базе данных проекта.НиколайЗдравствуйте Николай, а указанные данные предоставляются клиентам с которыми заключаются договора на оказание услуг или при заключении договора подряда, либо клиенты могут видет на сайте с кем именно он может заключить договор. Если предоставляете или они могут видеть указанные данные, то тогда Вы обязаны известить Роскомнадзор.

21 Июля 2016, 20:42 0 0 792 ответа 192 отзыва Общаться в чате Бесплатная оценка вашей ситуации Юрист, г. Краснодар Бесплатная оценка вашей ситуации Согласно п. 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред.

от 21.07.2014) «О персональных данных» Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Вы обязаны уведомлять Роскомнадзор, поскольку публично осуществляете и храните персональные данные. 22 Июля 2016, 07:58 0 0 10,0 Рейтинг Правовед.ru 13456 ответов 4724 отзыва эксперт Общаться в чате Бесплатная оценка вашей ситуации Адвокат, г.

Москва Бесплатная оценка вашей ситуации

  1. эксперт
  2. 10,0рейтинг

Добрый день.

Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных. Основные требования:1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований.

Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать: 1.1. Перечень персональных данных, которые Вы обрабатываете.1.2.

Сведения о способах обработки персональных данных.1.3.

Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.1.4. Цели использования персональных данных.1.5.

Принципы обработки персональных данных, которыми Вы руководствуетесь.1.6.

Меры, применяемые для защиты персональных данных.1.7.

Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике.

Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать.

С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.1.8.

Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.1.9.

Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы.

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают.

Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно.

Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно: 3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности.

Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст.

3 152-ФЗ).4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников.

Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его

«Положение о коммерческой тайне и обработке персональных данных»

и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных.

Что касается требований к содержанию положения, то оно должно включать в себя:4.1. Информацию о том, какие данные сотрудников обрабатываются.4.2.

Цели обработки персональных данных.4.3. Порядок ознакомления сотрудников компании с положением.4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.4.5.

Меры по защите персональных данных.4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.4.7.

Порядок хранения персональных данных.4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст.

8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании.

2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ). 5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст.

22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.6.

Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).Уведомление направляется по онлайн форме — и плюс должно быть продублировано в письменном виде по обычной почте. Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных.

Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора.

Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза

«О защите физических лиц при обработке персональных данных и о свободном обращении таких данных»

General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г.

Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR.

В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children’s Online Privacy Protection Act (COPPA).

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис. 8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст.

18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать. Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье).

При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток. Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст.

19.7 КоАП РФ. Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст.

137 УК РФ.Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта). (!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных.

Буду рад помочь. С Уважением, Васильев Дмитрий.

07 Сентября 2020, 12:22 0 0 Все услуги юристов в Москве Гарантия лучшей цены – мы договариваемся с юристами в каждом городе о лучшей цене.

Похожие вопросы 11 Января 2020, 14:13, вопрос №1868195 19 Февраля 2020, 14:43, вопрос №1913203 02 Марта 2020, 16:44, вопрос №1924449 05 Марта 2017, 11:03, вопрос №1561143 25 Мая 2020, 11:39, вопрос №2006147 Смотрите также

Какие персональные данные можно обрабатывать без уведомления:

  • данные, сделанные субъектом персональных данных общедоступными;
  • данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  • данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
  • данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  • данные, которые обрабатываются в соответствии с трудовым законодательством;
  • данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
  • данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать. Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные.

Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных.

К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями.

Согласно в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных.

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора. В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ.

Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные.

Они могут быть доступны только работникам, которые имеют допуск к их обработке. Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц.

То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны.

Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется.


proffbuhuslugi.ru © 2020
Наверх