Кто является оператором персональных данных
Invest82.ru

Институт финансов

Кто является оператором персональных данных

Кто является оператором персональных данных?

Кто является оператором персональных данных?

Согласно ст. 3 Закона N 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона N 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона N 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

обрабатываемых в соответствии с трудовым законодательством;

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

сделанных субъектом персональных данных общедоступными;

включающих в себя только фамилии, имена и отчества субъектов персональных данных;

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание! Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.

К сведению. В целях ограничения доступа к информации в сети “Интернет”, обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система “Реестр нарушителей прав субъектов персональных данных”. Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 N 149-ФЗ “Об информации, информационных технологиях и о защите информации”).

>
Рекомендации по составлению Политики
Содержание
Политика оператора персональных данных (В.В. Данилова, журнал “Отдел кадров государственного (муниципального) учреждения”.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 75 рублей или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

Купить документ Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Как стать оператором персональных данных в реестре Роскомнадзора

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

  • разъяснять субъекту ПД, какие данные и для чего собирают, а также получать его предварительное согласие на обработку личной информации. Такое согласие запрашивают в письменной форме: человеку предлагают подписать специальную бумагу, где уточняется, что сбор информации производится по правилам закона № 152-ФЗ и она будет соответствующим образом храниться, использоваться, а позже — уничтожаться. Хотя чаще всего согласие «прячется» в самом конце подписываемого соглашения и выглядит как галочка, рядом с которой надо поставить свою подпись, существует и специальная форма такого согласия. Вот бланк, которым предлагает пользоваться Роскомнадзор (скачать форму можно в конце статьи):
  • разработать и публично представлять политику в отношении обработки ПД. Обнародовать такой документ можно любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений;
  • обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Как правило, речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
  • уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели. Согласно статье 21 закона N152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя. Запрос обязательно подается в письменной форме, и отреагировать на него оператор должен в сроки, прописанные в законе. Рекомендованный образец такого обращения доступен на сайте Роскомнадзора;
  • блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя). Это не значит, что оператор полностью удаляет имеющуюся информацию, но он не может ею пользоваться.

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

  • работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
  • компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
  • общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
  • организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
  • любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
  • системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
  • граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687 ;
  • организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.
Читать еще:  Как сменить страховую компанию омс

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства — в разделе «Электронные формы заявлений».

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Кто такой оператор персональных данных, кто может и должен им стать

Всем знакома ситуация, когда мы оставляем электронную почту, телефон и другие личные данные на сайте или в анкете в офлайне. Всё это — персональные данные или данные о нашей частной жизни, право на неприкосновенность которой регулируется международными конвенциями, конституцией и федеральными законами. Поэтому все, кто берёт эти сведения, обязаны гарантировать использование персональных данных исключительно в целях, разрешённых законодательством. О том, кому следует официально оформить статус оператора персональных данных, как это сделать и что будет, если Роскомнадзор обнаружит нарушения, рассказывает медиаюрист Маргарита Ледовских.

Оператором персональных данных по закону может быть лицо с любым юридическим статусом, которое собирает персональные данные, — физическое лицо, юридическое лицо или индивидуальный предприниматель. Все операторы персональных данных (далее — ОПД) должны быть внесены в реестр ОПД , который ведёт Рокомнадзор.

Если вы хотите узнать, внесла ли себя в этот реестр организация, где вы только что оставили свой телефон, внесите её данные в строки поиска на сайте Роскомнадзора.

Для чего нужно регулировать работу операторов персональных данных

Ваши данные — это элемент частной жизни, и первоначально их необходимо было защищать от государства. Но сейчас угроза для нашей частной жизни исходит не только от государства, но и со стороны компаний и частных лиц. В связи с быстрым распространением баз данных, развитием Интернета, технических возможностей для сбора и обработки больших объёмов информации угроза эта с каждым днём растёт.

Кому не нужно входить в этот реестр операторов персональных данных

Как говорилось выше, если вы обрабатываете персональные данные, вы уже оператор. Но не все обязаны уведомлять Роскомнадзор об этом и входить в реестр.

Не требуется внесения в реестр ОПД, когда персональные данные обрабатываются вами в рамках договорных отношений и только в целях выполнения обязательств по договору. Например, для оказания услуги вам нужно взять телефон, электронную почту клиента, скайп-ник и так далее. В этом случае Роскомнадзор можно не уведомлять.

Сложности, связанные с этим вариантом:

  • трудности с идентификацией ситуаций, когда обработка производиться только для договорных отношений;
  • использование персональных данных оператором не только в договорных отношениях, даже если они первоначально собирались и использовались с этой целью;
  • если сайт идёт по этому пути, пытается закрыть публичной офертой все возможные варианты взаимодействия с клиентами — это некий эксперимент для владельца сайта, так как сейчас нет сложившейся практики применения этого варианта.

Если владелец сайта всё-таки на это идёт, он должен разместить на сайте публичную оферту, где указано, как те или иные персональные данные собираются и используются в рамках договорных отношений.

Например, возможность оставить комментарий может трактоваться как безвозмездная услуга, но это должно быть прописано в пользовательском соглашении, которое также является публичной офертой. Тогда в случае проверки можно апеллировать к тому, что персональные данные собирались в рамках договорных отношений.

Кто должен вступать в реестр операторов персональных данных

Закон говорит о том, что до начала обработки персональных данных должно быть направлено уведомление в Роскомнадзор.

В обязательном порядке направляют уведомление юридические лица, поскольку они всегда являются ОПД — как минимум, в части сбора персональных данных работников и соискателей на вакантные должности.

Все остальные — физические лица и индивидуальные предприниматели — направляют уведомление, когда сами считают, что они начали обработку персональных данных.

Роскомнадзор достаточно лояльно относится к тем, кто уже какое-то время обрабатывает данные, а в реестр решил встать сильно позже. Дату начала обработки данных ставят реальную. Наказывать за это никто не будет, если, конечно, встать в реестр до того, как Роскомнадзор предъявил какие-то претензии.

Как оформиться в качестве оператора персональных данных

Чтобы вступить в реестр операторов персональных данных, на сайте Роскомнадзора заполняется онлайн-форма . После этого генерируется файл, который надо распечатать и по почте отправить в Роскомнадзор заказным письмом с описью вложения.

Как оформить согласие на обработку персональных данных

Каждый ОПД обязан взять у пользователя согласие на обработку персональных данных. Для этого разрабатывает форма, позволяющая это согласие зафиксировать.

Согласие не обязательно публиковать на сайте, так чтобы оно было доступно на каждой странице, но его необходимо брать в тот момент, когда персональные данные собираются.

В форме должно быть чётко прописано, кому и для чего даётся это согласие. Можно это оформить в виде кнопки, например, с надписью “Нажимая на кнопку, вы даёте согласие на обработку персональных данных”. При этом со слов “согласие на обрабоку персональных данных” должна идти гиперссылка на сам текст согласия. Но предпочтительнее использовать чек-бокс — возможность поставить галочку и таким образом своё согласие подтвердить.

Когда персональные данные собираются без заполнения форм

Роскомнадзор относит к сбору персональных данных и те случаи, когда данные собираются с помощью сервисов аналитики. Здесь согласие тоже необходимо. Обычно это делается с помощью всплывающих окон с уведомлением о том, что используются файлы cookies.

Технически невозможно запустить сервисы аналитики одним только нажатием на кнопку согласия со стороны пользователя: они либо работают с самого начала, либо вообще отключены. Поэтому пользователя просто уведомляют, хотя он уже находится на сайте, а значит его данные уже какое-то время собираются.

Офлайн-сбор персональных данных

Бывают ситуации, когда, например, магазин просит клиента заполнить анкету для выдачи персональной бонусной карты. В этой анкете также должно быть взято согласие на обработку персональных данных с помощью заранее разработанной шаблонной формы.

Политика конфиденциальности

Роскомнадзор следит, чтобы ваши данные использовались только в целях, для которых вы их предоставили, поэтому ОПД обязательно прописывает цели сбора данных в политике конфиденциальности — положении, которое обосновывает сбор и обработку персональных данных.

Политика конфиденциальности на сайте должна быть обязательно опубликована, даже если оператор не направлял уведомление в Роскомнадзор.

Посетителю сайта предоставляется возможность с любой страницы сайта зайти на страницу с политикой. Чаще всего ссылку на политику конфиденциальности размещают в подвале сайта.

Частые ошибки при составлении политики конфиденциальности
  • Не прописаны чётко цели обработки персональных данных или прописаны не полностью.
  • Не проработаны и не указаны все возможные варианты сбора и обработки данных, которые ОПД планирует делать.
  • Не указаны в каких случаях и кому ОПД передает персональные данные.
Читать еще:  Неудачная попытка вручения что значит почта россии

Основные нарушения при обработке персональных данных

  • Персональные данные обрабатываются совсем не для тех целей, которые заявлены в политике конфиденциальности.

Часто предприниматели берут в сети шаблоны политик и не вникают в цели, которые прописывают, а на практике выходят за эти границы.

  • Отсутствует согласие пользователя или клиента на ОПД.
  • Отсутствует или не опубликована политика конфиденциальности.

Наказания за нарушение обработки персональных данных

Нарушения ОПД получают в виде штрафов: от 700 до 5 000 рублей — для физических лиц, от 3 000 до 20 000 рублей — для должностных лиц, от 5 000 до 20 000 рублей — для индивидуальных предпринимателей и от 15 000 до 75 000 рублей — для юридических лиц.

Размер штрафов зависит от вида нарушения и определяется ст. 13.11 КоАП РФ .

Итак, мы должны заботиться о защите данные, которые берём у клиентов, — за этим строго следят государственные органы. Остались вопросы? Задавайте в комментариях.

Маргарита Ледовских, медиаюрист, руководитель проекта о правовом регулировании медиа и Интернета «Право в сети»

И ещё важные юридические вопросы:

Объявляю вас оператором персональных данных

Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.

Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.

Кто относится к операторам персональных данных

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Збагойно: 152-ФЗ — в «Деле»

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

  • электронная почта;
  • телефон,
  • имя и фамилия;
  • дата рождения;
  • адрес;
  • ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные своих клиентов другим компаниям:

  • временные метки;
  • деперсонализированный идентификатор useid;
  • адреса страниц, к которым было обращение;
  • адреса, с которых был переход;
  • информацию о браузере и устройстве, с которого был запрос;
  • IP-адрес.

По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.

Суд с компанией не согласился и назначил штраф 30 000 рублей.

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю. «Вконтакте» выиграл суд.

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

    обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

  • обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
  • использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.
  • Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

    Проверка Роскомнадзора

    Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

    В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

    Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

    Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

    Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

    Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

    • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
    • карт лояльности;
    • рекламных рассылок;
    • оказания услуг;
    • регистрации на сайтах;
    • звонков потенциальным клиентам.

    Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

    Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.

    Персональные данные: что это такое и кто является их оператором? Разбираемся в вопросе

    Закон о защите персональных данных содержит несколько базовых определений, одним из которых является термин “оператор персональных данных”.

    В этой статье мы рассмотри: кто это? какие есть права и обязанности? кто не является оператором персональных данных?

    Сможем узнать о том, какая информация является личной.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-59-45 . Это быстро и бесплатно !

    Кто это?

    Оператором ПД выступает юридическое или физическое лицо, государственное или муниципальное учреждение, которое производит получение и обработку персональной информации, определяет цели и перечень действий с предоставленными данными.

    Оператор может самостоятельно осуществлять манипуляции с персональной информацией, а может привлекать к работе третьих лиц – они тоже автоматически подпадают под определение “оператор”.

    О политике оператора в отношении обработки персональных данный читайте здесь.

    Какая информация относится к личной?

    Закон исчерпывающего списка не предоставляет. Чаще всего это паспортная информация, идентификационный номер (ИНН), место проживания и регистрации, трудовой стаж, место работы, образование, состав семьи, в некоторых случаях – информация о состоянии здоровья, льготах и т. п.

    По факту оператором ПД выступает любое учреждение, которое принимает от физического лица персональную информацию, как минимум ту, которая содержится в паспорте.

    Интернет-ресурсы, запрашивающие информацию о подписчике, банки, работающие со сведениями налогоплательщиков и держателей карт, турагенства, принимающие документы на оформление визы, магазины, оформляющие бонусные карты, поликлиники, имеющие доступ к медкартам – все они являются операторами ПД. И список можно продолжить.

    Что такое реестр таких сведений?

    Реестр операторов персональных данных – это специальная база (список) Роскомнадзора, куда включаются юридические или физические лица, подпадающие под определение оператора.

    Читать еще:  Потерял СНИЛС: как восстановить что делать, куда обращаться

    Такое лицо обязано самостоятельно заявить о себе органам Роскомнадзора путем подачи уведомления в особой форме – бумажным или электронным письмом, либо на фирменном бланке организации. Подробно процедура описана в Приказе Минкомсвязи России от 21.12.2011 N 346.

    Обо всех изменениях, касающихся перечня операций с ПД или целей их обработки, оператор должен уведомлять Роскомнадзор. Роскомнадзор в свою очередь осуществляет контроль за работой объектов в сфере обработки ПД и проводит их проверку.

    Список госреестра является общедоступным и представлен на официальном сайте федеральной службы rkn.gov.ru.

    Подробнее о регистрации в Роскомнадзоре оператора ПД рассказано в этой статье.

    Права и обязанности

    В соответствии с Федеральным законом РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» операторы ПД имеют ряд обязательств перед государством и лицом, чьи данные взяты в обработку. Они должны:

    1. Обеспечить безопасность обработки ПД, использовать различные методы для защиты конфиденциальной информации от неправомерных действий или случайного доступа, в том числе копирование, уничтожение, передача третьим лицам, корректировка и блокировка.
    2. Уведомить федеральный орган Роскомнадзор о начале работы с личной информацией субъектов для внесения в единый государственный реестр.
    3. При сборе ПД получить у субъекта письменное согласие на обработку данных.

    Последний пункт имеет исключения, закрепленные законодательно, когда согласия субъекта на операции с персональными данными не требуется.

  • По требованию субъекта предоставлять данные о нем, корректировать имеющуюся информацию в случае изменения данных, уничтожать недостоверные сведения по требованию субъекта.
  • Предоставлять в уполномоченный государственный орган (по требованию) ПД, необходимые для работы госслужбы.
  • Что касается прав оператора, то они довольно ограничены и заключаются в праве получать информацию об изменениях в законодательстве, касающихся сферы обработки ПД.

    Что подлежит включению в базу Роскомнадзора?

    Предпринимать меры по уведомлению Роскомнадзора для включения в список придется:

    • Интернет-ресурсам (соцсетям, форумам, порталам), которые проводят регистрацию пользователей с указанием ПД даже в минимальной форме (Ф.И.О. и электронный адрес).
    • Онлайн-магазинам, принимающим от покупателей информацию об обратном звонке, адресе доставки товара.
    • Сайтам, публикующим информацию о субъекте или отправляющим ее на электронный ящик, а также тем, которые уже содержат конфиденциальные данные.

    Выступает ли им работодатель ?

    Как следует из списка, представленного выше, любой работодатель, нанимающий сотрудников, потенциально может быть оператором ПД. Он получает от соискателей и сотрудников сведения, и обязан создавать систему защиты полученной информации, разрабатывать специальные меры, предотвращающие неправомерное ее использование.

    Однако существует ряд исключений, согласно которым работодатель не считается оператором ПД, и может не уведомлять Роскомнадзор в процессе работы с персональными данными. В частности, это работодатели, которые собирают и хранят сведения, необходимые исключительно для составления договора о трудовых отношениях, внутренних приказов, в соответствии с трудовым законодательством.

    Кто не является?

    Некоторые юридические лица и учреждения могут не подпадать под определение оператора ПД:

    1. телефонные компании, которые имеют доступ к сведениям абонента и используют их исключительно для оказания услуг связи;
    2. общественные или религиозные организации, использующие сведения своих членов для реализации целей, указанных в учредительных документах;
    3. лица и учреждения, которые используют ПД, раскрытые субъектом самостоятельно и добровольно;
    4. компании с пропускными системами, оформляющие одноразовые пропуска;
    5. госсистемы ПД, созданные в сфере защиты государства и сохранения общественного порядка;
    6. организации, которые обрабатывают данные без привлечения автоматизированных систем;
    7. транспортные компании, получающие сведения для оформления проездных билетов.

    Следует учесть, что Роскомнадзор может прийти с проверкой не только в компанию, внесенную в госреестр, но и в любую другую, которая в списке не значится. Следовательно, с объекта, который не подпадает под термин “оператор”, не снимается ответственность по защите конфиденциальных сведений и деятельности в соответствии с российским законодательством.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас:

    +7 (499) 938-59-45 Это быстро и бесплатно !

    Как определить у лица статус оператора персональных данных?

    Что такое персональные данные?

    В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон о персональных данных) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    К ним относятся в частности:

    – фамилия, имя, отчество;

    – изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);

    – образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

    – семейное положение, наличие детей, родственные связи;

    – факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

    – финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);

    – прочие сведения, которые могут идентифицировать человека.

    В соответствии со ст. 3 Закона о персональных данных Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    Формально под это определение подпадают почти все физические и юридические лица, государственные и муниципальные органы.

    Вместе с тем, пункт 2 статьи 1 Закона о персональных данных устанавливает, что действие указанного закона не распространяется на отношения, возникающие при:

    1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

    2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

    3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

    Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением следующих персональных данных:

    1) обрабатываемых в соответствии с трудовым законодательством;

    2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

    3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

    4) сделанных субъектом персональных данных общедоступными;

    5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

    6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

    7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

    8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

    9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

    За нарушение порядка обработки персональных данных предусмотрена ответственность по ст. 13.11. КоАП РФ – нарушение законодательства Российской Федерации в области персональных данных.

    Необходимо отметить, что на сегодняшний день, не существует четкого перечня мер, которые необходимо предпринять оператору персональных данных, для обеспечения их безопасного хранения.

    Меры по хранению персональных данных:

    Вместе с тем, исходя из практики, можно выделить два раздела мер по хранению и обработке персональных данных: создание комплекса документации по хранению и обработке персональных данных и меры технического характера.

    В указанной статье нами будет рассмотрена именно документальный раздел обеспечения обработки и хранения персональных данных.

    В перечень документации по хранению и обработке персональных данных необходимо включить следующее:

    1) приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных). Вы можете назначить любого работника вашего учреждения, например специалиста отдела по управлению персоналом. Главное, чтобы этот работник смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.

    2) положение о защите персональных данных работников учреждения или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных).

    3) приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников учреждения. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.

    Рекомендуется у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных с учетом абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных;

    4) Иные необходимые документы (например – журнал учета ключей от помещения, в котором расположен сервер с персональными данными, в том случае, если такое помещение существует)

    Из вышеизложенного можно сделать вывод о том, что лицо осуществляющее хранение и обработку персональных данных, за исключением случаев, установленных действующим законодательством, является оператором персональных данных и, как следствие, несет установленную законом ответственность за нарушение установленного порядка обработки и хранения персональных данных.

    Ссылка на основную публикацию
    Adblock
    detector