Оператор связи персональные данные

Предлагаем к прочтению статью. Если вы не найдете ответа по теме "Оператор связи персональные данные" или захотите актуализировать данные на 2020 год, то задавайте вопросы дежурному специалисту.

Кто является оператором персональных данных?

Кто является оператором персональных данных?

Согласно ст. 3 Закона N 152-ФЗ оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона N 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона N 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

обрабатываемых в соответствии с трудовым законодательством;

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

сделанных субъектом персональных данных общедоступными;

включающих в себя только фамилии, имена и отчества субъектов персональных данных;

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание! Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических — от 15 000 до 30 000 руб.

К сведению. В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

>
Рекомендации по составлению Политики
Содержание
Политика оператора персональных данных (В.В. Данилова, журнал «Отдел кадров государственного (муниципального) учреждения».

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 54 рубля или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

Купить документ Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/77714269/741609f9002bd54a24e5c49cb5af953b/

Оператор связи персональные данные

В соответствии пунктом 2 статьи 3 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом указанные органы и лица являются операторами независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Другие вопросы по теме

Официальный интернет-ресурс Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации. Свидетельство о регистрации СМИ Эл № ФС77-32622 от 22 июля 2008 г.

Источник: http://digital.gov.ru/ru/appeals/faq/402/

Обязанности оператора при обработке персональных данных

Andrey_Popov / Shutterstock.com

Работа с персональными данными накладывает на оператора ряд обязанностей. Рассмотрим несколько наиболее существенных из них.

Уведомить Роскомнадзор о начале обработки персональных данных (ст. 22 закона о персональных данных). Такое уведомление необходимо направить в ведомство до начала обработки данных, указав в нем:

СОДЕРЖАНИЕ

При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно. Это, например, обработка работодателем данных работников, получение оператором данных клиента при заключении с ним договора (если эта информация не предоставляется третьим лицам без согласия на то субъекта и используется исключительно для исполнения указанного договора), обработка общедоступных персональных данных, оформление лицу однократного пропуска на территорию оператора, использование только ФИО субъекта и др. (ч. 2 ст. 22 закона о персональных данных).

Обеспечить конфиденциальность персональных данных. Это значит, что распространять их без согласия на то субъекта нельзя (ст. 7 закона о персональных данных). Данная обязанность лиц, получивших доступ к персональным данным, является одной из основных. В частности, при передаче персональных данных работников работодатель обязан:

Принимать меры для обеспечения безопасности персональных данных (ст. 18.1 закона о персональных данных). Для этого организации следует назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 закона о персональных данных). Такое лицо обязано осуществлять внутренний контроль за соблюдением оператором и его работниками требований к защите персональных данных, доводить до сведения работников положения закона о персональных данных, локальных актов по вопросам обработки персональных данных, а также организовывать прием и обработку обращений и запросов субъектов персональных данных. Кроме того, в этих же целях следует применять технические меры по обеспечению безопасности обработки, а также издать документы, определяющие политику компании в отношении обработки персональных данных, и др.

Читайте так же:  Помощь в оформлении анкеты загранпаспорта

БЛАНКИ

Должностная инструкция ответственного за организацию обработки персональных данных
Уведомление об обработке персональных данных
Политика обработки персональных данных
Положение о защите, хранении, обработке и передаче персональных данных работников
Другие бланки

При этом политику обработки персональных данных организация должна сделать публичной (ч. 2 ст. 18.1 закона о персональных данных). Наиболее оптимальным способом является размещение документа на сайте оператора. Но в том случае, когда это невозможно, достаточно установить «кармашек» с политикой на бумажном носителе в любом доступном для посетителей организации месте. Исключение составляют операторы, собирающие персональные данные непосредственно через Интернет, – им необходимо опубликовать политику именно на сайте и обеспечить возможность доступа к указанному документу. На официальном сайте Роскомнадзора можно ознакомиться с рекомендациями по составлению политики в отношении обработки персональных данных.

Не стоит путать политику, распространяющуюся в основном на третьих лиц (контрагентов, клиентов и др.), с Положением о защите, хранении, обработке и передаче персональных данных работников – этот документ в отличие от политики является локальным нормативным актом, поэтому делать его публичным не нужно, а вот ознакомить с ним под роспись работников следует обязательно (ст. 22 ТК РФ).

МАТЕРИАЛЫ ПО ТЕМЕ

О том, с какими проблемами может столкнуться оператор при соблюдении требований о локализации персональных данных и как их наиболее эффективно их решить, читайте в нашем материале «Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса».

Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (ч. 5 ст. 18 закона о персональных данных). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало вопросов. Среди них отсутствие ясности, на какие именно персональные данные будет распространяться данное требование, каких операторов это затронет, допускается ли обработка персональных данных одновременно на российском и иностранном сервере, как определить гражданство субъекта и т. д. На большую часть этих вопросов Роскомнадзор ответил еще до вступления новых требований закона в силу. Так, например, ведомство предоставило операторам право самостоятельно решать вопрос определения гражданства лица, чьи данные обрабатываются, либо применять требование о локализации к персональным данным всех субъектов. Кроме того, Роскомнадзор уточнил, что в том случае, когда при сборе персональные данные были записаны в российскую базу данных, в дальнейшем они могут обрабатываться и в электронной базе, находящейся за пределами страны.

И в политике обработки персональных данных, и в Положении о защите, хранении, обработке и передаче персональных данных работников следует прописать, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России, а также указать место нахождения такой базы данных.

Своевременно прекратить обработку персональных данных. Если цель обработки персональных данных достигнута или субъект отозвал свое согласие на их обработку, оператор должен прекратить обработку этих данных и удалить их в 30-дневный срок, если иной срок не определен в соглашении (ч. 4-5 ст. 21 закона о персональных данных).

Источник: http://www.garant.ru/actual/persona/obyazannosti/

Управление Роскомнадзора по ЦФО провело семинар для операторов связи 18

25 июля в Доме Правительства Московской области, при участии представителей ФСБ и Россвязи, состоялся семинар Управления Роскомнадзора по ЦФО. В ходе семинара были рассмотрены следующие вопросы:

  1. Взаимодействие операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность.
  2. Взаимодействие операторов связи с Федеральным агентством связи.
  3. Особенности предоставления операторами связи уведомлений об обработке персональных данных

«Яровая» и «СОРМ-3»

Ожидаемо, особенно актуальным и живым получилось обсуждение вопросов и проблем реализации СОРМ-3 и Закона «Яровой».

Представитель 12 Центра ФСБ России подразделения телематики и передачи данных отметил, что на данный момент у Службы нет ответа на вопрос о том, как реализовывать Постановление Правительства РФ № 445 от 12.04.2018 г. в части правил хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео-, иных сообщений пользователей услугами связи, так как до сих пор нет требований Минкомсвязи. Тем не менее, с 1 октября данные за месяц хранить надо, «видимо своими силами на своих устройствах».

Кроме того, было отмечено, что при проведении оперативно-розыскных мероприятий сотрудников ФСБ мало интересует тяжелый трафик (мультимедиа контент, фильмы и т.п.). В то же время, согласно Закону «Яровой» хранить надо все. Поэтому в каждом отдельном случае надо согласовывать с куратором, какие данные хранить необходимо, а какие — нет.

По информационным системам баз данных об абонентах и оказываемых им услугах – ИСБД (СОРМ-3) требования Минкомсвязи также отсутствуют, хотя производители уже и подготовили «железо». Тем не менее реализовывать СОРМ-3, пока нет сертифицированного оборудования, надо своими силами по согласованию с куратором, отметил представитель ФСБ. К примеру, для абонентов – физических лиц, это можно сделать предоставив ФСБ удаленный доступ к базе данных в соответствии с Постановлением Правительства РФ от 27.08.2005 г. Если же абонентами являются юридические лица, с периодичностью 2 раза в год предоставлять ФСБ данные о них на устройствах накопления информации (диски, флешки и т.п.).

Наконец, раз в квартал операторы обязаны предоставлять информацию об оконечных пользователях абонента-юридического лица. Если такую информацию юридическое лицо не дает, то «надо отключать»

Дополнительно было отмечено, что в настоящее время на утверждении в Минюсте находится Приказ об отмене Приказа Минкомсвязи № 83 от 16.04.2014 г. (кольцевой буфер). Поэтому при реализации СОРМ-2 закупать оборудование лучше без кольцевого буфера, при этом потратив деньги на реализацию ИСБД.

Прозвучали и хорошие новости для операторов, которые предоставляют в аренду каналы связи. Требований по реализации СОРМ под лицензию на услуги связи по предоставлению каналов связи нет и не предвидится. В связи с этим было непонятно, как легализовать такую услугу. Но было найдено простое решения для реализации данной лицензии – если канал связи арендует юридическое лицо, то пускать трафик надо на СОРМ-2. В Московском регионе уже есть несколько подписанных актов СОРМ под данный вид лицензии.

Представитель 12 Центра ФСБ России подразделения, занимающегося голосовой информацией в своем выступлении рассказала о реализации ФЗ «Яровой» для операторов телефонной связи:

  • Правила применения оборудования и хранения голосовой информации утверждены Приказом Минкомсвязи от 26.02.2018 г. № 86. В настоящее время разрабатывается план внедрения систем накопления информации для ФЗ «Яровой». На его полную разработку для Московского региона потребуется еще несколько месяцев.
  • Пока нет сертифицированного оборудования, санкций со стороны ФСБ не будет. Когда будет сертифицированное оборудование и план внедрения систем накопления информации для ФЗ «Яровой» не будет выполнен, ФСБ будет обращаться в Роскомнадзор для проведения ими внеплановых проверок в связи с несоблюдением лицензионных требований.
Читайте так же:  Госпошлина арбитр суд

Подытожив выступления представителей 12 Центра ФСБ России, можно сделать следующие выводы:

  • Обязать ставить несертифицированное оборудование никто не может;
  • Есть требования законодательства, которые надо, до появления сертифицированного оборудования, реализовывать своими силами по согласованию с куратором.

Напомним, что в ответе Минкомсвязи «О реализации требований Федерального закона от 6 июля 2016 г. № 374-ФЗ», полученном коллегами, указано, что по мнению ФСБ России после сертификации оборудования и прохождения иных предусмотренных законом процедур, «финансовые затраты операторов связи не повлекут за собой значительного роста тарифов на услуги связи, который может составить не более 10 процентов» (ответ прилагаю).

Отчетность в Россвязь

Представители Россвязи в своём выступлении затронули тему взаимодействия с операторами связи, рассказали о видах отчетности (их – три: об обязательных отчислениях в резерв универсального обслуживания, о технологических возможностях сетей связи, об использовании ресурса нумерации), способах подачи отчётности и некоторых технических моментах работы личного кабинета Россвязи. В настоящий момент в личном кабинете Россвязи зарегистрировано всего около 900 операторов связи. При обсуждении, почему в век цифровых технологий операторы избегают пользования личным кабинетом, стало понятно, что личный кабинет корректно работает только в устаревшем браузере Mozilla, который в некоторых компаниях вообще запрещен к использованию. Сотрудник компании, обслуживающей личный кабинет, обещал в скором времени наладить нормальную работу личного кабинета в других браузерах, однако конкретных сроков не назвал.

Присутствующие обратили внимание также на то, что в запросах Россвязи по сведениям о технологических возможностях сетей связи многие обратили внимание на фразу, что данный запрос является запросом за текущий и последующие годы. Юридическая служба Россвязи посчитала, что такая формулировка соответствует законодательству РФ и если вы получили такой запрос, например, в текущем году, то такие сведения надо не забывать подавать каждый последующий год не позднее 1 марта во избежание штрафов от Роскомнадзора.

В завершение выступления сотрудники Россвязи попросили операторов не откладывать на последний день подачу ежеквартальной отчетности об обязательных отчислениях в резерв универсального обслуживания, а также внимательно проверять реквизиты для перечисления 1.2%.

Обработка персональных данных операторами связи

Представитель Роскомнадзора подробно разобрал особенности заполнения уведомления об обработке персональных данных. Согласно ст. 22 Закона о персональных данных оператор персональных данных до начала обработки обязан уведомить надзорный орган о своих намерениях обрабатывать персональные данные. На основании такого уведомления Роскомнадзор вносит оператора в Реестр операторов персональных данных. Это, в свою очередь, может повысить требования к оператору (систематически обновлять сведения о себе и о своей деятельности в Реестре), вплоть до риска попасть под плановую проверку.

Несмотря на то, что в ч. 2 ст. 22 Закона о персональных данных законодатель предусмотрел исключения, т.е. условия, при которых можно не подавать уведомление и не включаться в указанный реестр, по мнению представителя Роскомнадзора уведомление, даже, если вы попадаете под исключения «лучше подать, чем не подать».

В целом, семинар прошел достаточно продуктивно. Операторы связи получили ответы на все свои вопросы, а представители госорганов, в свою очередь, уверили, что они на стороне операторов связи и привлекать к ответственности за какие-либо нарушения им очень не хочется, но закон есть закон, а у каждого своя работа и соответствующие задачи.

Источник: http://nag.ru/articles/article/101776/upravlenie-roskomnadzora-po-tsfo-provelo-seminar-dlya-operatorov-svyazi.html

Как стать оператором персональных данных в реестре Роскомнадзора

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства — в разделе «Электронные формы заявлений».

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .
Читайте так же:  Сколько делается загранпаспорт ребенку до года

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Видео (кликните для воспроизведения).

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Источник: http://ppt.ru/art/personal-data/reestr

Оператор связи персональные данные

Пункт 1 части 1 статьи 6 Закона о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 Закона о персональных данных.

К таким случаям, в частности, относится:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Источник: http://digital.gov.ru/ru/appeals/faq/410/

Когда пользователь ККТ – оператор персональных данных клиента

Автор: Е. Е. Каравайкина

Являются ли абонентский номер и адрес электронной почты, передаваемые клиентом до момента расчета пользователю ККТ, его персональными данными? Нужно ли на их обработку получать согласие клиента? Какие иные требования должен соблюдать пользователь ККТ в части работы с указанными данными?

По новым правилам, если покупатель до момента расчета предоставляет пользователю онлайн-кассы абонентский номер (номер телефона) или адрес электронной почты, кассовый чек или бланк строгой отчетности в электронной форме должен быть направлен клиенту на этот номер или адрес[1]. (Фискальный документ (кассовый чек или БСО) направляется на адрес электронной почты покупателя при наличии на то у пользователя ККТ технической возможности.) Являются ли абонентский номер и адрес электронной почты персональными данными клиента? Нужно ли на их обработку получать согласие клиента? Какие иные требования должен соблюдать пользователь ККТ в части работы с указанными данными?

Абонентский номер и адрес электронной почты – персональные данные?

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Основные понятия, в том числе определение термина «персональные данные», используемые в указанном законе, приведены в ст. 3.

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Аналогичное определение представлено в Конвенции о защите физических лиц при автоматизированной обработке персональных данных[2]: персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).

Как видим, в Федеральном законе № 152-ФЗ не конкретизировано, какую именно информацию следует считать персональными данными физического лица (на этом заострили внимание и судьи АС УО в Постановлении от 16.06.2017 № Ф09-2601/17 по делу № А76-31031/2015). В свою очередь, Роскомнадзор подчеркнул: принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (см. Письмо от 20.01.2017 № 08АП-6054).

В связи с этим, как разъяснил Минкомсвязи в Письме от 07.07.2017 № П11-15054-ОГ, абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Соответственно, абонентский номер или адрес электронной почты, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.

Читайте так же:  Патент на работу перечень документов

Пользователь ККТ – оператор персональных данных?

Тот факт, что абонентский номер и адрес электронной почты могут являться персональными данными клиента – физического лица, означает, что пользователь ККТ, по сути, признается оператором персональных данных.

Оператор персональных Государственный (муниципальный) орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции),

Нужно ли согласие клиента на обработку персональных данных при расчетах?

Что следует понимать под обработкой персональных данных, также указано в ст. 3 Федерального закона № 152-ФЗ.

Обработка персональных

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

В силу п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных. В то же время в п. 2 – 11 ч. 1 указанной статьи перечислены случаи, когда допускается обработка персональных данных без согласия. Один из таких случаев – это когда обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Обязанность пользователя ККТ при осуществлении расчета направить покупателю фискальный документ в электронной форме на предоставленный им абонентский номер либо адрес электронной почты квалифицируется как осуществление и выполнение возложенных законодательством РФ на оператора персональных данных функций, полномочий и обязанностей в соответствии с п. 2 ч. 1 ст. 6 Федерального закона № 152-ФЗ. Следовательно, пользователю ККТ (выступающему в роли оператора персональных данных) при предоставлении покупателем – физическим лицом номера телефона (адреса электронной почты) не нужно получать от него согласия на обработку персональных данных.

Обработка персональных данных при расчетах – уведомительное действие?

По общему правилу, закрепленному в ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (таковым является Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Из этого правила есть случаи-исключения, перечисленные в ч. 2 указанной статьи. В частности, оператор вправе осуществлять без уведомления уполномоченного органа обработку персональных данных:

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения названного договора и заключения договоров с субъектом персональных данных;

включающих в себя только фамилии, имена и отчества субъектов персональных данных;

обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и соблюдению прав субъектов персональных данных[3].

Наш случай исключением не является, поэтому пользователь ККТ как оператор персональных данных должен поставить в известность территориальный орган Роскомнадзора по месту своей регистрации в налоговом органе о намерении производить обработку персональных данных. (Порядок заполнения формы[4] уведомления об обработке (о намерении осуществлять обработку) персональных данных разъяснен в рекомендациях по заполнению указанной формы, утвержденных Роскомнадзором 29.01.2016.) Если все в порядке, в течение 30 дней сведения, приведенные в уведомлении (перечислены в ч. 3 ст. 22 Федерального закона № 152-ФЗ), вносятся уполномоченным органом в реестр операторов.

Уведомление об обработке (о намерении осуществлять обработку)
персональных данных

(полное и сокращенное наименования, фамилия, имя, отчество оператора)

(адрес местонахождения и почтовый адрес оператора)

Источник: http://www.audit-it.ru/articles/account/assets/a15/919459.html

5 мифов о персональных данных

Пару месяцев назад поднялся хайп по поводу изменения законодательства о персональных данных. Находчивые юристы стали наперебой убеждать, что любая форма обратной связи или виджет заказа обратного звонка на сайте свидетельствует об обработке персональных данных пользователей, Роскомнадзор уже штрафует за нарушения и нужно срочно вставать на учет.

Вся эта шумиха основана на мифах о персональных данных. Давайте разберемся, что произошло на самом деле, чем это грозит и как этого избежать.

Правила обработки персональных данных не изменились. В июле 2017 года вступили в силу поправки в КоАП РФ, ужесточающие ответственность за нарушение законодательства о персональных данных. Введены новые составы правонарушений и суммы штрафов повышены до 75 000 рублей. Это правда.

Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц. Максимальный штраф в 75 тыс. руб. установлен для юридических лиц по одному их 7 составов. В остальных случаях максимальный штраф колеблется от 30 до 50 тыс. руб.

Из неприятного – штрафы по различным составам частично могут складываться. Среди возможных нарушений в частности перечислены:

  • обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора персональных данных;
  • обработка персональных данных при отсутствии письменного согласия субъекта;
  • неисполнение обязанности по опубликованию политики по обработке персональных данных.

Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о персональных данных. Чтоб оценить риски привлечения к ответственности рассмотрим 5 наиболее популярных мифов о персональных данных, блуждающих в умах интернет-сообщества.

1. Персональные данные — это любые сведения о физическом лице

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).

Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.

Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.

Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

Если у вас остались сомнения в такой трактовке нормы, можно ознакомиться с первоисточником на сайте Роскомнадзора. Дословно норма Конвенции о защите физических лиц при автоматизированной обработке персональных данных звучит так:

«Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (»субъекта данных»)» (ст.2 Конвенции).

«Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».

Если форма обратной связи не предполагает предоставление помимо номера телефона или электронного адреса дополнительных сведений, идентифицирующих пользователя, такая информация не относится к персональных данным. Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными, т.к. имя не идентифицирует гражданина.

«Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая (ч.1 ст.19 ГК РФ)».

Поэтому с точки зрения гражданского законодательства просто имени не достаточно для возникновения юридических последствий. Как минимум, необходимы еще отчество и фамилия.

Читайте так же:  Нарушения прав садоводов выявленные факты проведенного собрания

Аналогичным образом не относятся к ПДн сведения об IP, cookie, и прочие данные, собираемые в автоматическом режиме в связи с активностью на сайте или в приложении пользователя, не прошедшего полную идентификацию.

2. Оператор по обработке персональных – это лицо, осуществляющее их обработку

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).

Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.

На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.

Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.

Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.

3. Все сайты должны опубликовать Политику конфиденциальности

«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).

Однако не забывайте о возможных исключениях из данного правила.

Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).

Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).

В-третьих, сам ФЗ «О персональных данных» не возлагает на физических лиц (в том числе ИП) обязанность издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы должны издаваться только юридическими лицами (пп.2 ч.1 ст.18.1).

4. На обработку персональных данных требуется письменное согласие

Действительно, в качестве первого условия обработки ПДн названо согласие субъекта персональных данных на обработку его персональных данных (пп.1 ч.1 ст.6 ФЗ «О ПДн»).Но при этом не всегда обязательно оформлять согласие на бумаге за собственноручной подписью субъекта ПДн. Есть ряд дополнительных или взаимоисключающих правил.

1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)

2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:

  • в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
  • к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).

Таким образом в случае принятия пользовательского соглашения достаточно уведомить пользователя об обработке его персональных данных.

3. Согласие может быть дано оператору в иной форме

«Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (ч.1 ст.9).

Другими словами, если федеральный закон не требует получения согласия строго в письменной форме, оно может быть дано любым иным способом, в том числе путем совершения запрашиваемых действий. Например, такими действиями могут признаваться направление проверочного кода, указанного в СМС, переход по ссылке, направленной на электронную почту пользователя при регистрации в аккаунте и т.п.

4. Согласие в письменной форме может быть подписано электронной подписью

«Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе» (ч.4 ст.9)

Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»).

5. Каждый оператор ПДн должен быть включен в реестр Роскомнадзора

«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (ч.1 ст.22).

Однако при этом забывают, что в той же статье закона предусмотрены исключения из данного правила. К рассматриваемой ситуации обработки ПДн частным интернет-сервисом относятся минимум два основания освобождения от обязанности подачи уведомления.

В частности оператор вправе осуществлять без уведомления Роскомнадзора обработку следующих персональных данных:

«полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22)
«сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22)

1) В первом случае для обработки ПДн без уведомления Роскомнадзора достаточно предложить пользователю принять пользовательское соглашение, которое по сути является договором. Для получения сообщений на номер телефона и адрес электронной почты в любом случае необходимо получать согласие пользователя, поэтому принятие пользовательского соглашение решает две задачи одновременно: с одной стороны вы легально используете данные без уведомления Роскомнадзора, с другой – получаете согласие на обращение к пользователю по указанным номерам и адресам, включая при необходимости рекламную рассылку.

2) Второе исключение из правил касается общедоступных данных. Это основание может пригодиться социальной сети, доске объявлений или сайту поиска работы, где пользователи самостоятельно делают доступной информацию о себе. В таком случае нет необходимости не только уведомлять Роскомнадзор об обработки данной категории ПДн, но и получать дополнительное согласие пользователя на их обработку.

3) Помимо этого вспомните, что не все лица, осуществляющие обработку ПДн считаются операторами. Некоторые из них действуют по поручению оператора (см. миф 2 выше). Поэтому им не нужно направлять уведомление в Роскомнадзор об обработке ПДн, предоставленных оператором.

4) Отдельного упоминания заслуживает регомендация встать на учет «как бы чего не вышло». Это во всех отношениях вредный совет, т.к. Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр. И тогда вам простая политика конфиденциальности не поможет: спросят все внутренние регламенты по информационной безопасности и проверят фактическое выполнение!

Обращайте внимание на детали – в них кроется юрист дьявол.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Видео (кликните для воспроизведения).

Источник: http://habr.com/post/337354/

Оператор связи персональные данные
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here