Оператор сбора персональных данных

Предлагаем к прочтению статью. Если вы не найдете ответа по теме "Оператор сбора персональных данных" или захотите актуализировать данные на 2020 год, то задавайте вопросы дежурному специалисту.

Статья 18. Обязанности оператора при сборе персональных данных

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 18 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 18 . Обязанности оператора при сборе персональных данных

ГАРАНТ:

См. комментарии к статье 18 настоящего Федерального закона

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

Информация об изменениях:

Федеральным законом от 21 июля 2014 г. N 242-ФЗ статья 18 настоящего Федерального закона дополнена частью 5, вступающей в силу с 1 сентября 2015 г.

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Источник: http://base.garant.ru/12148567/a573badcfa856325a7f6c5597efaaedf/

Кто является оператором персональных данных?

Кто является оператором персональных данных?

Согласно ст. 3 Закона N 152-ФЗ оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона N 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона N 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

обрабатываемых в соответствии с трудовым законодательством;

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

сделанных субъектом персональных данных общедоступными;

включающих в себя только фамилии, имена и отчества субъектов персональных данных;

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание! Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических — от 15 000 до 30 000 руб.

Читайте так же:  Мировое соглашение налог на прибыль

К сведению. В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

>
Рекомендации по составлению Политики
Содержание
Политика оператора персональных данных (В.В. Данилова, журнал «Отдел кадров государственного (муниципального) учреждения».

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 54 рубля или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

Купить документ Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/77714269/741609f9002bd54a24e5c49cb5af953b/

Обязанности оператора при обработке персональных данных

Andrey_Popov / Shutterstock.com

Работа с персональными данными накладывает на оператора ряд обязанностей. Рассмотрим несколько наиболее существенных из них.

Уведомить Роскомнадзор о начале обработки персональных данных (ст. 22 закона о персональных данных). Такое уведомление необходимо направить в ведомство до начала обработки данных, указав в нем:

СОДЕРЖАНИЕ

При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно. Это, например, обработка работодателем данных работников, получение оператором данных клиента при заключении с ним договора (если эта информация не предоставляется третьим лицам без согласия на то субъекта и используется исключительно для исполнения указанного договора), обработка общедоступных персональных данных, оформление лицу однократного пропуска на территорию оператора, использование только ФИО субъекта и др. (ч. 2 ст. 22 закона о персональных данных).

Обеспечить конфиденциальность персональных данных. Это значит, что распространять их без согласия на то субъекта нельзя (ст. 7 закона о персональных данных). Данная обязанность лиц, получивших доступ к персональным данным, является одной из основных. В частности, при передаче персональных данных работников работодатель обязан:

Принимать меры для обеспечения безопасности персональных данных (ст. 18.1 закона о персональных данных). Для этого организации следует назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 закона о персональных данных). Такое лицо обязано осуществлять внутренний контроль за соблюдением оператором и его работниками требований к защите персональных данных, доводить до сведения работников положения закона о персональных данных, локальных актов по вопросам обработки персональных данных, а также организовывать прием и обработку обращений и запросов субъектов персональных данных. Кроме того, в этих же целях следует применять технические меры по обеспечению безопасности обработки, а также издать документы, определяющие политику компании в отношении обработки персональных данных, и др.

БЛАНКИ

Должностная инструкция ответственного за организацию обработки персональных данных
Уведомление об обработке персональных данных
Политика обработки персональных данных
Положение о защите, хранении, обработке и передаче персональных данных работников
Другие бланки

При этом политику обработки персональных данных организация должна сделать публичной (ч. 2 ст. 18.1 закона о персональных данных). Наиболее оптимальным способом является размещение документа на сайте оператора. Но в том случае, когда это невозможно, достаточно установить «кармашек» с политикой на бумажном носителе в любом доступном для посетителей организации месте. Исключение составляют операторы, собирающие персональные данные непосредственно через Интернет, – им необходимо опубликовать политику именно на сайте и обеспечить возможность доступа к указанному документу. На официальном сайте Роскомнадзора можно ознакомиться с рекомендациями по составлению политики в отношении обработки персональных данных.

Не стоит путать политику, распространяющуюся в основном на третьих лиц (контрагентов, клиентов и др.), с Положением о защите, хранении, обработке и передаче персональных данных работников – этот документ в отличие от политики является локальным нормативным актом, поэтому делать его публичным не нужно, а вот ознакомить с ним под роспись работников следует обязательно (ст. 22 ТК РФ).

МАТЕРИАЛЫ ПО ТЕМЕ

О том, с какими проблемами может столкнуться оператор при соблюдении требований о локализации персональных данных и как их наиболее эффективно их решить, читайте в нашем материале «Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса».

Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (ч. 5 ст. 18 закона о персональных данных). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало вопросов. Среди них отсутствие ясности, на какие именно персональные данные будет распространяться данное требование, каких операторов это затронет, допускается ли обработка персональных данных одновременно на российском и иностранном сервере, как определить гражданство субъекта и т. д. На большую часть этих вопросов Роскомнадзор ответил еще до вступления новых требований закона в силу. Так, например, ведомство предоставило операторам право самостоятельно решать вопрос определения гражданства лица, чьи данные обрабатываются, либо применять требование о локализации к персональным данным всех субъектов. Кроме того, Роскомнадзор уточнил, что в том случае, когда при сборе персональные данные были записаны в российскую базу данных, в дальнейшем они могут обрабатываться и в электронной базе, находящейся за пределами страны.

И в политике обработки персональных данных, и в Положении о защите, хранении, обработке и передаче персональных данных работников следует прописать, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России, а также указать место нахождения такой базы данных.

Своевременно прекратить обработку персональных данных. Если цель обработки персональных данных достигнута или субъект отозвал свое согласие на их обработку, оператор должен прекратить обработку этих данных и удалить их в 30-дневный срок, если иной срок не определен в соглашении (ч. 4-5 ст. 21 закона о персональных данных).

Источник: http://www.garant.ru/actual/persona/obyazannosti/

Как стать оператором персональных данных в реестре Роскомнадзора

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Читайте так же:  Апостиль на оригинале свидетельства о рождении

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства — в разделе «Электронные формы заявлений».

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Источник: http://ppt.ru/art/personal-data/reestr

Когда пользователь ККТ – оператор персональных данных клиента

Автор: Е. Е. Каравайкина

Являются ли абонентский номер и адрес электронной почты, передаваемые клиентом до момента расчета пользователю ККТ, его персональными данными? Нужно ли на их обработку получать согласие клиента? Какие иные требования должен соблюдать пользователь ККТ в части работы с указанными данными?

По новым правилам, если покупатель до момента расчета предоставляет пользователю онлайн-кассы абонентский номер (номер телефона) или адрес электронной почты, кассовый чек или бланк строгой отчетности в электронной форме должен быть направлен клиенту на этот номер или адрес[1]. (Фискальный документ (кассовый чек или БСО) направляется на адрес электронной почты покупателя при наличии на то у пользователя ККТ технической возможности.) Являются ли абонентский номер и адрес электронной почты персональными данными клиента? Нужно ли на их обработку получать согласие клиента? Какие иные требования должен соблюдать пользователь ККТ в части работы с указанными данными?

Абонентский номер и адрес электронной почты – персональные данные?

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Читайте так же:  Вск возмещение убытков

Основные понятия, в том числе определение термина «персональные данные», используемые в указанном законе, приведены в ст. 3.

Персональные данные

Видео (кликните для воспроизведения).

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Аналогичное определение представлено в Конвенции о защите физических лиц при автоматизированной обработке персональных данных[2]: персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).

Как видим, в Федеральном законе № 152-ФЗ не конкретизировано, какую именно информацию следует считать персональными данными физического лица (на этом заострили внимание и судьи АС УО в Постановлении от 16.06.2017 № Ф09-2601/17 по делу № А76-31031/2015). В свою очередь, Роскомнадзор подчеркнул: принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (см. Письмо от 20.01.2017 № 08АП-6054).

В связи с этим, как разъяснил Минкомсвязи в Письме от 07.07.2017 № П11-15054-ОГ, абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Соответственно, абонентский номер или адрес электронной почты, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.

Пользователь ККТ – оператор персональных данных?

Тот факт, что абонентский номер и адрес электронной почты могут являться персональными данными клиента – физического лица, означает, что пользователь ККТ, по сути, признается оператором персональных данных.

Оператор персональных Государственный (муниципальный) орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции),

Нужно ли согласие клиента на обработку персональных данных при расчетах?

Что следует понимать под обработкой персональных данных, также указано в ст. 3 Федерального закона № 152-ФЗ.

Обработка персональных

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

В силу п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных. В то же время в п. 2 – 11 ч. 1 указанной статьи перечислены случаи, когда допускается обработка персональных данных без согласия. Один из таких случаев – это когда обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Обязанность пользователя ККТ при осуществлении расчета направить покупателю фискальный документ в электронной форме на предоставленный им абонентский номер либо адрес электронной почты квалифицируется как осуществление и выполнение возложенных законодательством РФ на оператора персональных данных функций, полномочий и обязанностей в соответствии с п. 2 ч. 1 ст. 6 Федерального закона № 152-ФЗ. Следовательно, пользователю ККТ (выступающему в роли оператора персональных данных) при предоставлении покупателем – физическим лицом номера телефона (адреса электронной почты) не нужно получать от него согласия на обработку персональных данных.

Обработка персональных данных при расчетах – уведомительное действие?

По общему правилу, закрепленному в ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (таковым является Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Из этого правила есть случаи-исключения, перечисленные в ч. 2 указанной статьи. В частности, оператор вправе осуществлять без уведомления уполномоченного органа обработку персональных данных:

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения названного договора и заключения договоров с субъектом персональных данных;

включающих в себя только фамилии, имена и отчества субъектов персональных данных;

обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и соблюдению прав субъектов персональных данных[3].

Наш случай исключением не является, поэтому пользователь ККТ как оператор персональных данных должен поставить в известность территориальный орган Роскомнадзора по месту своей регистрации в налоговом органе о намерении производить обработку персональных данных. (Порядок заполнения формы[4] уведомления об обработке (о намерении осуществлять обработку) персональных данных разъяснен в рекомендациях по заполнению указанной формы, утвержденных Роскомнадзором 29.01.2016.) Если все в порядке, в течение 30 дней сведения, приведенные в уведомлении (перечислены в ч. 3 ст. 22 Федерального закона № 152-ФЗ), вносятся уполномоченным органом в реестр операторов.

Уведомление об обработке (о намерении осуществлять обработку)
персональных данных

(полное и сокращенное наименования, фамилия, имя, отчество оператора)

(адрес местонахождения и почтовый адрес оператора)

Источник: http://www.audit-it.ru/articles/account/assets/a15/919459.html

Оператор сбора персональных данных

Реестр операторов, осуществляющих обработку персональных данных

В настоящее время в реестре содержатся сведения о 403 721 операторах персональных данных
(по состоянию на 06.02.2020)

Результат поискового запроса отображает информацию не более чем о 100 операторах.

Для наиболее точного и быстрого поиска в реестре достаточно указать ИНН организации. В случае, если Вы не знаете точный ИНН, можно произвести поиск по наименованию. При этом достаточно указать только оригинальную его часть (одно или несколько слов, которые отличают данную организацию от других) без указания организационно-правовой формы, спецсимволов, кавычек и сокращений. Если наименование состоит из двух и более слов, в том числе разделенных дефисом, достаточно указать только одно из этих слов. Советуем избегать часто встречающихся в наименовании организации слов, например, таких как: «Российский», «Федеральный», «Общество» и т.п.

Источник: http://pd.rkn.gov.ru/operators-registry/operators-list/

Как стать оператором, осуществляющим обработку персональных данных

В данной статье публикуем инструкцию, как стать оператором связи, осуществляющим обработку персональных данных.

В соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ (ред. от 04.06.2014) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Выполняя свои функции, компания затрагивает персональные данные не только своих сотрудников, акционеров, учредителей и т.п., но и своих контрагентов (индивидуальные предприниматели, сотрудники контрагентов-организаций и тап.). Ею осуществляется взаимодействие с клиентами по необезличенным номерам телефонов и адресам электронной почты.

Поэтому компании должны зарегистрироваться в системе Роскомнадзора в качестве оператора, осуществляющего обработку персональных данных. Оператор обязан обеспечивать конфиденциальность персональных данных.

Читайте так же:  Судебные издержки потерпевшего

Источник: http://targetsms.ru/blog/867-kak-stat-operatorom-osushchestvlyayushchim-obrabotku-personalnykh-dannykh

Оператор сбора персональных данных

Регистрация операторов, осуществляющих обработку персональных данных

Консультацию по заполнению формы уведомления, информационных писем, заявлений о предоставлении выписки из реестра и о внесении в реестр операторов сведений о прекращении обработки персональных данных можно получить у сотрудников Управления по телефонам: (342) 258-15-37 (доб. 547 или доб. 534), 258-15-36 (доб. 533 или доб. 532 или доб. 531) понедельник — четверг с 09.00 до 18.00, пятница с 09.00 до 16.45, перерыв на обед с 12.00 до 12.45.

В соответствии с требованиями части 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных») оператор – это государственный или муниципальный орган, юридическое или физическое лицо, организующее или осуществляющее обработку персональных данных с определенными целями.

В соответствии со статьей 22 Федерального закона «О персональных данных» операторы, осуществляющие обработку персональных данных, обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Уполномоченным органом по защите прав субъектов персональных данных (далее Уполномоченный орган), на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (часть 1 статьи 23 Федерального закона «О персональных данных»).

Согласно части 4 статьи 25 Федерального закона «О персональных данных» операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление), предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Федеральный закон «О персональных данных» регулирует отношения, связанные с обработкой персональных данных и не может служить операторам основанием для обработки персональных данных субъектов персональных данных, в связи с чем, Управление рекомендует не включать в уведомление уполномоченного органа основание для обработки персональных данных — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

В соответствии со ст. 24 Федерального закона «О персональных данных» лица, виновные в нарушении требований настоящего Федерального Закона, несут гражданскую, дисциплинарную, административную, уголовную и иную ответственность, предусмотренную законодательством Российской Федерации.

Вниманию руководителей государственных, муниципальных органов, предприятий и организаций, индивидуальным предпринимателям, осуществляющих обработку персональных данных!

Во исполнение Федерального закона «О персональных данных» с октября 2007 года Управление Роскомнадзора по Пермскому краю приступило к приему уведомлений об обработке персональных данных.

В соответствии со статьями 22, 25 Федерального Закона от 27 июля 2006 года №152-ФЗ «О персональных данных» организациям, осуществляющим обработку персональных данных, надлежит направить в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Пермскому краю уведомление об обработке (о намерении осуществлять обработку) персональных данных.

Пункт 1 ст. 22 ФЗ «О персональных данных» обязывает оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Операторы, которые вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных, указаны в части 2 данной статьи.
Операторы, которые осуществляют обработку персональных данных до дня вступления в силу ФЗ «О персональных данных» и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных ч.2 ст.22, уведомление об обработке персональных данных, не позднее 1 января 2008 года — п.4 ст.25 ФЗ «О персональных данных».

Согласно п. 3 ст. 23 уполномоченный орган по защите прав субъектов персональных данных имеет право направлять заявление в орган, осуществляющий лицензирование деятельности оператора для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке.

Наличие организации в Реестре операторов, осуществляющих обработку персональных данных, возможно по ссылке: http://rkn.gov.ru/personal-data/register/

Информация для операторов о внесении изменений в сведения об операторе, содержащиеся в реестре операторов, осуществляющих обработку персональных данных

Сообщаем, что в случае внесения изменений в сведения об операторе, содержащиеся в реестре операторов, осуществляющих обработку персональных данных, следует руководствоваться следующим:

1. В случае изменения сведений, содержащихся в представленном ранее Уведомлении об обработке персональных данных, оператор обязан уведомить территориальное управление Службы об изменениях в течение десяти рабочих дней с даты возникновения таких изменений.

2. Заявление об изменении сведений предоставляется оператором в территориальное управление Службы с обязательной регистрацией в делопроизводстве оператора в виде информационного письма с указанием основания (причин) внесения изменений. Поля, отмеченные звездочкой (*) подлежат обязательному заполнению, прочие поля заполняются ТОЛЬКО в случае внесения в них изменений.

3. Информационное письмо с изменёнными сведениями оператор предоставляет в территориальное управление Службы в письменной форме, подписанное уполномоченным лицом или в электронной форме, подписанное электронной цифровой подписью, с указанием сведений в соответствии с частью 3 статьи 22 Федерального закона от 26.07.2006 года № 152-ФЗ «О персональных данных». К заявлению прилагается документ (основание), подтверждающий произошедшие изменения в ранее представленных сведениях.

Информация для операторов о порядке их исключения из реестра операторов, осуществляющих обработку персональных данных.

1. В случае прекращения оператором обработки персональных данных в полном объёме (согласно п. 7 с. 22 Федерального закона от 26.07.2006 года № 152-ФЗ «О персональных данных») оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней с даты прекращения обработки персональных данных.

2. Заявление об исключении из реестра операторов, осуществляющих обработку персональных данных, оператор предоставляет в территориальное управление Службы в письменной форме, подписанное уполномоченным лицом или в электронной форме, подписанное электронной цифровой подписью. К заявлению прилагается документ (основание), подтверждающий причину прекращения обработки персональных данных.

Информация для операторов о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных.

Для предоставления выписки из реестра операторов, осуществляющих обработку персональных данных необходимо представить в адрес Управления Роскомнадзора по Пермскому краю заявления о предоставлении выписки.

Время публикации: 07.12.2015 14:54
Последнее изменение: 30.12.2019 15:12

Источник: http://59.rkn.gov.ru/directions/p18637/

Политика обработки персональных данных: как составить документ

Разрабатывая Политику обработки персональных данных, обязательно пропишите в документе шесть компонентов.

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

Читайте так же:  Создание технических условий для нарушения авторских прав

Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

Структура Политики обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

  • Общие положения
  • Цели сбора персональных данных
  • Правовые основания обработки персональных данных
  • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  • Порядок и условия обработки персональных данных
  • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

  • из анализа правовых актов, регламентирующих деятельность оператора;
  • из целей фактически осуществляемой оператором деятельности;
  • из деятельности, которая предусмотрена учредительными документами оператора;
  • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

Что указывается в этом разделе:

  • перечень действий, совершаемых с персональными данными;
  • способы обработки персональных данных;
  • сроки обработки персональных данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:


  • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
  • указать наименование и местонахождение третьих лиц;
  • обозначить цели передачи данных и их объем;
  • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики обработки персональных данных в офисе и на сайте

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Видео (кликните для воспроизведения).

Источник: http://kontur.ru/articles/4871

Оператор сбора персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here