Которая оказалась наиболее важной и в бухгалтерском учете, и при рассмотрении заявок на кредит и т.п.

Но что это такое и кто все-таки имеет право обрабатывать подобные сведения, а кто нет, об этом упоминается редко, даже с неохотой.

В результате иногда сложно понять, кто является оператором персональных данных.

– это информация о человеке, которая характеризует его как определенную личность, не является обобщенной, ее нельзя применить к группе лиц. В большинстве случаев речь идет о фамилии, имени, отчестве, дате рождения, адресе, где человек зарегистрирован и проживает, семейном положении и т.п.

Понятие персональных данных введено в деловой оборот после принятия в 2006 году «О персональных данных». Там же было введено разграничение информации на ряд категорий, которые позволяют определять уровни разрешения обработки для различных ситуаций.

1. Информация о расе и национальности, религиозных убеждениях, состояние здоровья и подробности интимной жизни гражданина.
2. Сведения, которые позволяют помимо идентификации гражданина, еще и получить про него разные сведения, например, номер телефона, место проживания и т.п.
3. Информация, благодаря которой один человек выделяется среди других – фамилия, имя и полная дата рождения.
4. Общедоступные сведения, как правило, они обезличены, но иногда и те, которые обязаны быть публичными по законодательству, например, доходы представителей органов власти. Отдельной категорией идут те данные, на предоставление которых сам гражданин дал согласие, например, адрес и номер телефона в справочной службе 09.

В целом закон «О персональных данных» призван обеспечивать право каждого гражданина на неприкосновенность личной жизни и защиту в случае наличия нарушений. Исходя из выше приведенной классификации, предъявляются разнообразные требования по обеспечению сохранности сведений. Для первой категории требования жестче, чем ко всем остальным.

Кто является оператором персональных данных

Оператор персональных данных – юридическое лицо, которое в силу своей деятельности занимается информации о действующих и потенциальных клиентов и сотрудниках. Размеры организации при этом никакого значения не имеют, как и форма ее собственности.

На практике оператором является любая организация, в которой есть наемный труд. Ведь трудоустройство невозможно без заполнения анкеты с довольно подробным перечнем сведений о себе, а также подачи личных документов, причем со всех снимаются копии, информация вносится в бухгалтерские программы и т.д.

Главное требование законодательства РФ, предъявляемое к операторам, это обеспечение сохранности тех данных, которые получила организация в процессе деятельности.

Нормы, согласно которым обеспечивается охрана, установлены в упомянутом законе, также могут уточняться нормативными актами, так называемых регуляторов

Существует определенный порядок, который регламентирует случаи, когда организация получает право работать с персональными данными без уведомления в :

• если предприятие обрабатывает только те сведения, которые нужны для трудовых отношений;
• когда обработке подвергаются данные общедоступного характера;
• если обрабатываются только фамилия, имя, отчество;
• когда они используются один раз, например, для выписки пропуска;
• если для обработки не применяется компьютерная техника.

Все остальные организации обязаны становиться на учет, в результате чего они получают уникальный регистрационный номер, под которым вносятся в специальный реестр.

В нем всегда можно уточнить, имеет ли право конкретное юридическое лицо запрашивать или хранить персональные данные.

Например, часто такие вопросы возникают в отношении кредитных организаций, операторов сотовой связи и т.п.

Поэтому принято называть «оператором обработки персональных данных» организации, которые в силу профессиональной деятельности собирают и обрабатывают не только общедоступные сведения, но и такие как серия, номер паспорта, адрес проживания и т.д.

Получение права на обработку персональных данных

Для обеспечения безопасности хранения и передачи персональных данных предусмотрена процедура аттестации и получения лицензии для организаций занимающихся сбором и хранением такой информации.

Чтобы получить лицензию предприятию приходится не только обучать сотрудников, но и приобретать технические средства защиты.

Процедура состоит из нескольких этапов, из которых можно выделить наиболее важные.

• уведомить соответствующие органы о намерении обрабатывать данные с помощью средств (компьютеры);
• пройти предварительное обследование имеющихся информационных систем;
• спроектировать систему защиты с учетом инфраструктуры компьютерной техники и других средств автоматизации;
• приобрести и внедрить средства защиты;
• привести все помещения в соответствие требованиям по пожарной безопасности, охране, электропитанию и т.д.
• провести повышение квалификации сотрудников в области защиты персональных данных и их аттестация.

В результате можно гарантировать наличие действующей системы защиты сведений при их и передаче через коммуникационные линии.

Стоит отметить, что все действия, описанные выше, могут быть применены только к обработке персональных данных в электронном виде, что является потенциально небезопасным для хранящейся или передаваемой информации.

Проверка деятельности операторов персональных данных

Работа всех операторов персональных данных не только регулируется законодательными актами, но еще и подвергается регулярным проверкам, как плановым, так и выборочным, например, по заявлению пострадавшего от их деятельности граждан.

Контролем над соблюдением закона о защите персональных данных должны заниматся многие надзорные и силовые ведомства, но в силу специфики работы выделяются лишь три из них (их и называют регуляторами):

• Роскомнадзор – в его функции входит проверка соблюдения любых нормативных требований законодательства, а также проведение проверок;
• ФСТЭК (Федеральная служба по техническому и экспортному контролю) – в ее задачи входит в первую очередь защита данных находящихся в компьютерах самой организации, так и каналов их передачи, когда они хранятся и передаются без шифрования;
• ФСБ (Федеральная служба безопасности) – контролирует применение шифрующих средств обработки и передачи персональных информации, в том числе разработку и их распространение.

Проверить отношение конкретной организации к операторам персональных сведений можно и самостоятельно.

На сайте Роскомнадзора имеется доступ к реестру операторов, осуществляющих обработку персональных данных, он доступен по этой ссылке.

Для просмотра информации достаточно внести в соответствующее поле наименование или регистрационный номер интересующего предприятия, либо его идентификационный номер налогоплательщика (ИНН).

Так можно выяснить, законно запрашивались данные или нет. Если организации в списке нет, то возможно этим надо заняться Роскомнадзору и либо включить ее в реестр, либо запретить незаконный сбор информации о гражданах.

Проверка операторов персональных данных осуществляется либо по заявлениям граждан, либо по инициативе, например, прокуратуры, которая может обратиться в Роскомнадзор в рамках проверки деятельности организации.

За нарушения в обработке сведений граждан предусмотрена ответственность. В зависимости от степени тяжести совершенных поступков может быть административное, дисциплинарное или уголовное наказание.

В целом, прежде чем давать разрешение на обработку персональных данных в кредитной или иной организации, запрашивающей такое право, лучше сначала убедиться в том, что она зарегистрирована в качестве оператора, а значит, имеет все для их безопасного хранения.

Особенно это может относиться к небольшим предприятиям, например, предоставляющим мелкие займы.

Конечно, без предоставления такого согласия подобные организации обычно отказывают в услугах, но в этом ничего страшного нет, т.к. конкуренция достаточно высока, и всегда можно найти другой подходящий вариант.

21 февраля 2014 в 23:45

А может не уведомлять об обработке персональных данных?

• Информационная безопасность

Частью первой ст 22 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее в статье - Закон) предусмотрена обязанность оператора, осуществляющего обработку персональных данных, уведомить орган Роскомнадзора до начала обработки. Сразу же (во второй части статьи) Закон предлагает основания, по которым оператор имеет право об обработке не уведомлять. Случаи эти довольно распространены. Но поскольку Закон не запрещает уведомлять даже если есть такие случаи, ряд операторов выбирают пойти по пути уведомления. Возможно, стоит не направлять уведомление, или даже подумать, как попасть под «исключения». На это есть, как минимум, 3 причины.

Сложно ответит на вопрос «Почему?» за всех принявших решение отправить уведомление в орган Роскомнадзора если можно было этого не делать. Конечно, нельзя исключить маркетинговые походы (имидж, открытость). Все же, в ряде случаев уведомляют по незнанию или исходя из позизии «Лучше перебдеть». Хотелось бы обратить внимание на известное право операторов, осуществляющих обработку персональных данных, не уведомлять органы Роскомнадзора об обработке и вот для этого несколько причин.

1. Лицу, подавшему уведомление об обработке персональных данных, необходимо нести бремя по постоянной актуализации поданных сведений. Эта обязанность предусмотрена ч.7. ст. 22 Закона. Если оператор, осуществляющий обработку персональных данных, не подаст уведомление об изменении сведений (изменение адреса оператора, изменение категорий ПДн, которые обрабатываются, смена ответсвенного за обработку ПДн и его контактов и т.д.), то может быть привлечен к административной ответственности. Казалось бы, что сложного: поменялось что-то в организации, взял и отправил письмишко. Как показывает практика, в большинстве случаев об этом забывается. Например, те кто встал в Реестр (в Реестр включаются все, подавшие уведомление об обработке) операторов, осуществляющих обработку персональных данных до 1 июля 2011 года обязаны были до 1 января 2013 года дополнительно дослать сведения, предусмотренные пунктами 5, 7.1, 10 и 11 части 3 статьи 22 Закона (правовое основание обработки персональных данных, ФИО ответственного и т.д.). Как видно из реестра операторов персональных данных Роскомнадзора, больше половины операторов этого не сделали по настоящее время. Мысль о том, что у всех этих организаций никаких внутренних изменений, связанных с обработкой персональных данных, не происходило, тоже сомнительна. Предлагаю и Вам подумать, будете ли Вы своевременно отслеживать в долгосрочной перспективе актуальность записей в Реестре, если есть возможность этого не делать вообще?
2. Органы Роскомнадзора осуществляют планирование проверок операторов, осуществляющих обработку персональных данных, с использованием ведомственной единой информационной системы – ЕИС . Все операторы, подавшие уведомления уже находятся в ней, в связи с чем, вероятность попадания в план проверок многократно возрастает. Организации, проверяемые Роскомнадзором по другим направлениям (услуги связи, РЭС, СМИ, вещание) автоматически проверяются на предмет соблюдения законодательства в сфере персональных данных, если уведомили Роскомнадзор об обработке.
3. Если оператор персональных данных принял решение уведомить орган Роскомнадзора об обработке, хотя имел право этого не делать, то исключиться из Реестра по причине того, что мог вообще не уведомлять, не получиться. Такая возможность не предусмотрена ни Законом, ни соответствующим Административным Регламентом. Вернее, предусмотрена только по общим основаниям.

Если Вы собирались направлять уведомление, но вышеуказанное чем-то зацепило Вас, общие рекомендации просты.

1. Внимательно прочитать (осознать) ч.2 ст. 22 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2. Посмотреть какие персональные данные и в связи с чем обрабатываются у Вас.
3. В некоторых случаях, возможно потребуется скорректировать Вашу работу с носителями персональных данных. Дам пример, что бы было понятно, что я имею ввиду.

Одна из возможностей не уведомлять об обработке персональных данных предусмотренная п. 2 ч. 2 ст. 22 Закона звучит так

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных

Так вот, Вы заключили договор , с физическим лицом на какую-то услугу. Взяли у человека номер мобильного телефона, что бы сообщить о готовности услуги. В большинстве случаев номер мобильного телефона не нужен для целей исполнения договора. Если берется у клиента номер мобильного телефона, нужно дополнительно его согласие на обработку персональных данных. Однако, в этом случае, Вы не попадаете под исключение в Законе, которое позволяет не уведомлять об обработке персональных данных.
Если в договоре с этим физлицом прописать необходимость наличия номера мобильного телефона для целей исполнения договора, то уже претендуете на право попасть под исключение.
Обыграть необходимость наличия номера мобильного телефона для целей исполнения договора можно примерно так «Организация обязуется уведомить клиента по телефону № х… х о готовности...».

Деятельность любой организации неизбежно подразумевает обработку персональных данных в информационной системе (ИСПДн). Каждое предприятие, использующее конфиденциальную информацию о сотрудниках, клиентах, партнерах и других физлицах, обязано пройти регистрацию в качестве оператора персональных данных.

Порядок хранения и защиты персональных данных

Организация защиты конфиденциальных сведений проходит в несколько этапов:

• Проверка начальных работ по обработке персональных данных (ревизия локальной нормативной базы, анализ информационных потоков ПДн и ИСПДн в целом, выявление недостатков и угроз безопасности информационной системы, внесение предложений по исправлению недостатков, улучшению систем защиты персональных данных).
• Разработка нормативной базы по защите ПДн. Данный этап включает в себя классификацию ИСПДн и регистрацию в качестве оператора персональных данных в Роскомнадзоре.
• Проектирование системы защиты ПДн – выбор способов, мер и классов средств защиты ПДн, разработка технической документации на создание СЗПДн, а также разработка конкретных мероприятий по защите информации в каждой конкретной ИСПДн.
• Внедрение СЗПДн – ввод в действие систем защиты ПДн и настройка существующих средств защиты ИСПДн.
• Оценка соответствия ИСПДн, в рамках которой проводятся оценочные испытания ИСПДн и выдается соответствующий Аттестат.

Регистрации в качестве оператора персональных данных в Реестре Роскомнадзора является частью общего процесса организации обработки и защиты ПДн.

Этапы регистрации оператора ИСПДн в Роскомнадзоре

Регистрация оператора ИСПДн включается в себя следующие этапы:

• Разработка и принятие нормативной базы по обработке и защите ПДн.
• Заполнение формы уведомления о намерении осуществлять обработку персональных данных на сайте территориального органа Роскомнадзора.
• Отправка уведомления в информационную систему Уполномоченного органа по защите прав субъектов персональных данных.
• Печать заполненной формы с подписями.
• Направление распечатанной формы уведомления в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.

Предлагаем вам составить документы, необходимые для регистрации в качестве оператора персональных данных, с помощью нашего онлайн-сервиса. На этой странице представлены акты, инструкции, положения, журналы, уведомления и другие документы.

С этим шаблоном часто используют: Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных Согласие на передачу персональных данных третьим лицам Перечень персональных данных, подлежащих защите в ИСПДн Защита персональных данных в образовательных учреждениях

Популярные документы и процедуры:

Регистрация оператора персональных данных внутреннего пользования

п. 4 - обязательно это нужно делать каждому юр. лицу или ИП, если он предполагает обработку перс данных сотрулников и клиентов?

мы компания, которая создала и обсуживает систему где присутствуют персональные данные клиентов заказчика, набор этих документов нам не подходит, больше подходит когда работадатель данные сотрудников своих обрабатывает, но то же не совсем.

Здравствуйте! есть несколько вопросов по настройке шаблонов. 1) Скажите пожалуйста, как настроить шаблоны системы ИСПДн, чтобы классифицировать систему под актуальные угрозы 1 типа и необходимость обеспечения 1-го уровня защищенности. Будут ли в этом случае, предлагаемые шаблоны согласованы между собой? 2.) Возможно ли предзаполнение всех документов системы (28 документов) первоначально вводимыми данными (наименование юр. лица, категории персональных данных), или требуется их вводить каждый раз при заполнении отдельного документа системы?

Уточните, пожалуйста, какой минимально возможный уровень защищенности ПДн можно оформить на базе Ваших шаблонов? (мы заинтересованы в минимизации расходов на систему. обрабатываться будут ПДн работников и контрагентов. Специальные категории ПДн и биометрические данные не обрабатываем)

Здравствуйте! Мы заинтересованы использовать механизм ведения и учёта заданий в рамках трудовых обязанностей своих работников, путём регистрации учётной записи (личного кабинета) с именем работника (имя пользователя) и предоставления уникальных идентификатора (логина) и пароля к данной записи, как рекомендуется в Вашем шаблоне «Регламент интеллектуальной собственности», п. 6.2. При этом, в п. 6.4 упомянутого Регламента интеллектуальной собственности указывается, что все адреса корпоративной электронной почты и все логины или имена пользователей в Программных инструментах указываются в особом внутреннем документе, утверждаемом Генеральным директором Общества, который обновляется и доводится до сведения всех сотрудников Общества по мере необходимости, т.е. данные раскрываются другим лицам. Просим разъяснить следующие вопросы: 1.) относятся ли к персональным данным (и если да, то к какой категории), данные учётной записи (личного кабинета) с именем работника (именем пользователя) и уникального идентификатора (логина) и пароля работника во внутренней системе Оператора, адрес электронной почты работника во внутренней системе Оператора? 2.) если такие данные относятся к персональным данным, то будут ли особенности использования их в Ваших шаблонах по ИСПДн (не повлечет ли это необходимости приобретения криптографических средств защиты и т.п.)?

Здравствуйте! Согласно законодательства не надо уведомлять регулятора при обработке персональных данных, обрабатываемых в соответствии с трудовым законодательством. А как быть с кандидатами, не принятыми на работу? Их данные остались, мы их имеем право хранить без уведомления регулятора? Например, если кандидат не выдержал испытательный срок(здесь очевидные трудовые отношения). Или, к примеру, даже не был допущен к испытанию? Просто эти данные нам сегодня не нужны, а завтра мы подняли анкету, пригласили человека и трудоустроили. Будет ли это диспозиция 86 статьи ТК в части "обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве" и соответственно может осуществляться без ведома регулятора?

Здравствуйте. Пакет документов по обработке данных разработан для работников или контрагентов?

А заполнять документы нужно онлайн или после скачивания просто в ВОРДЕ?

Здравствуйте! Если вы обрабатываете ПДн своих сотрудников или клиентов, то защитить их нужно обязательно. Нужно разработать правильный комплекс локальных нормативных актов, представленных в процедуре, а также обеспечить технические меры, если обработка осуществляется в автоматизированном или частично автоматизированном режиме, и организационные. Исключение касается только подачи уведомления в Роскомнадзор для регистрации в качестве оператора персональных. Все эти исключения прописаны в статье 22 п.2 152-ФЗ. Самые часто встречающиеся исключения - это обработка ПДн сотрудников в рамках трудового законодательства, обработка ПДн клиентов в рамках исполнения договора (например, чтобы поставить товар клиенту нужно знать его адрес, данные паспорта).

Здравствуйте! Согласно п. 2 ст. 3 Закона № 152-ФЗ, под оператором персональных данных понимается, в частности, юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).Таким образом, если при выполнении Вами работ по обслуживанию сайта Вы осуществляете какое-либо одно или совокупность действий перечисленных выше, - согласно закону Вы являетесь оператором персональных данных, со всеми вытекающими отсюда обязанностями. Закон не делает исключений для тех операторов, которые не осуществляли сбор ПДн непосредственно от субъектов, а получили ПДн от другого оператора. Оператор – тот, кто осуществляет обработку, т.е. любое лицо, осуществляющее хотя бы одно из указанных в ст. 3 ФЗ № 152 действий с ПДн. И в таком случае рекомендуем придерживаться процедуры: http://www..Благодарим Вас за использование сервиса!

Здравствуйте! Вам необходимо ответить на вопросы опросного листа в левой части страницы – пакет необходимых документов сформируется автоматически. Если введенное в каком-либо документе значение – идентично для другого документа в общем пакете, то оно автоматически заполниться в этом документе. Шаблоны документов подойдут для обеспечения 1-го уровня защищенности ПД. Обращаем Ваше внимание на то, что помимо разработки документации, необходимо также разработать и внедрить технические меры защиты. Состав и содержание таких «базовых» мер определен в приказе ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».Благодарим за использование нашего сервиса!

см. ответ ниже

Здравствуйте!Персональными данными является любая информации, позволяющая безошибочно идентифицировать физическое лицо (по смыслу ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"). В данном случае, отдельно взятые адреса корпоративной электронной почты и логины или имена пользователей являются персональными данными работников, которые необходимы работодателю в связи с трудовыми отношениями, что само по себе не влечет за собой особенностей применения специального режима защиты (с учетом соблюдений требований, установленных главой 14 ТК РФ). Рекомендуем Вам ознакомиться с процедурой, расположенной по ссылке: http://www.. Благодарим за использование нашего сервиса!

Здравствуйте. Работодатель вправе без уведомления Роскомнадзора обрабатывать персональные данные кандидатов на должности, сохранять их резюме, формируя как бумажную, так и электронную базу соискателей, если имеется их письменное согласие. Данный вывод основан на том, что согласно п.1 ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», без уведомления уполномоченного органа может производиться обработка данных, обрабатываемых в соответствии с трудовым законодательством.Персональные данные соискателей могут храниться в базе у работодателя, если на то дано письменное согласие кандидата и указан срок такого хранения. Что касается бывших работников (как не выдержавших испытание), полагаем, что если ТК РФ или иными законами на работодателя не возлагается обязанность обрабатывать данные бывших работников, то такая обработка должна осуществляться только с уведомлением Роскомнадзора (если отсутствуют иные основания для обработки персональных данных без подачи уведомления, например, обработка персональных данных без использования средств автоматизации). Рекомендуем уточнить этот вопрос в уполномоченном органе. Благодарим за ваше обращение.

22 статья 152-ФЗ почитали. Но поскольку не со всеми соискателями, ПДн которых мы собираем, мы вступаем в трудовые отношения(принимаем на испытание или хотя бы приглашаем на собеседования), Роскомнадзор уведомлять все-таки надо в этом случае

Здравствуйте. Обработка персональных данных соискателей тоже ведется в рамках трудового законодательства. Согласно позиции Четвертого арбитражного апелляционного суда, основание, предусмотренное п.1 ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», распространяется и на деятельность по подбору персонала (Постановление от 07.02.2018 N 04АП-127/2018 по делу N А19-17054/2017). Это связано с тем, что трудовое законодательство регулируется не только Трудовым кодексом РФ, но и иными нормативными актами. Так, Федеральным законом от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации" предусмотрено, что работодатели содействуют политике занятости, в частности, путем трудоустройства. Полагаем, что письменного согласия соискателя на хранение определенных его данных в течение оговоренного в согласии срока будет достаточно для соблюдения законности в данной сфере. Уведомлять Роскомнадзор нет необходимости. Тем не менее, во избежание споров, рекомендуем все же уточнить этот вопрос в уполномоченном органе. Благодарим за ваше обращение.

Спасибо! Почитал судебное решение. Вопрос скользкий. Это судебное решение говорит о том, что позиция Роскомнадзора-уведомлять, но АС Иркутской области вместе с апелляцией встали на сторону юрлица. Учитывая известность позиции Роскомнадзора встанет ли АС нашего региона на нашу сторону неизвестно. Поэтому-таки направили письмо с вопросом.

Здравствуйте. Благодарим за ваш отклик. Было бы интересно и полезно увидеть итог вашего обращения на странице нашего обсуждения. С уважением, компания FreshDoc.

Я обязательно отпишусь, как они ответят! Ваши советы очень помогли мне в выработке правовой позиции по этому вопросу)

Написал. Как Вы думаете что ответили? Ни-че-го! То есть конечно, ответили, но ни о чем. Суть письма сводится к тому, что решать вам подавать уведомление или нет. Я хотел добиться, чтобы на случай проверки у меня был их ответ, но не получилось. А прикрываться решением суда другой области.. У нас пока что не англо-саксонская правовая система, а континентальная и для меня основной вывод из мотивировочной части решения суда, это видение Роскомнадзора, а встанет ли наш краевой суд на нашу стороу, как встал в Иркутске неизвестно

Здравствуйте. Спасибо за ваш отклик. Наличие ответа Роскомнадзора не является гарантированной защитой от привлечения к ответственности. Для суда мнение ведомства, каково бы оно ни было, также не имеет решающего значения. Рекомендуем составить свое мотивированное мнение, и по возможности, заручиться подходящими ко случаю судебными актами. С уважением, компания FreshDoc.

В любом случае хоть Уведомление, хоть нет, а требования статей 18.1, 19 ФЗ-152 обязан исполнять любой оператор при обработке ПДн: назначать ответственное лицо, разрабатывать и утверждать политику и положение о ПДн и т.д. Тем более, Роскомнадзор проводит Плановые проверки в отношении всех операторов, а не только в отношении включенных в реестр Роскомнадзора по Уведомлению

Здравствуйте. Да, принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных", возлагается на оператора ПДн в независимости от наличия/отсутствии его в реестре операторов (направления в Роскомнадзор уведомления). При этом для выполнения требований, предусмотренных ст. 22 ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных", оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн, в противном случае ему грозит штраф, предусмотренный ст. 19.7 КоАП РФ.

Здравствуйте. Круг субъектов персональных данных установлен в разделе 3 «Персональные данные, обрабатываемые в ИСПДн» Положения об обработке и защите персональных данных, которое входит в пакет документов и находится по ссылке https://www.сайт/?oid=7086347. В нем, в частности, установлено, что обрабатываются данные следующих субъектов: сотрудники Оператора; акционеры/учредители Оператора, лица связанные с сотрудниками, акционерами, учредителями (дети, в отношении которых выплачиваются алименты, жены, и т.д.); клиенты (потребители услуг Оператора); индивидуальные предприниматели - контрагенты Оператора; клиенты организаций, контрагентов Оператора (обслуживание корпоративных клиентов). Также установлено, что данный перечень может пересматриваться. Благодарим вас за обращение.

Заполнить документы можно прямо на сайте.

Требования закона к оператору персональных данных

Оператор обязан обеспечивать конфиденциальность персональных данных. В статье 7 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее ФЗ-152) написано, что оператор не обязан защищать персональные данные, если они являются обезличенными или общедоступными. Оператор персональных данных не имеет права обрабатывать данные без согласия субъекта персональных данных , то есть человека, кому эти данные принадлежат. Однако, в ст. 6 ч.2 ФЗ-152 предусмотрен ряд случаев, когда согласие субъекта не требуется.
В частности, не требуется согласие субъекта, если его персональные данные обрабатываются на основании Федерального закона, определяющего цель и содержание такой обработки (ст. 6, п.2, ч.2). Например, согласно Федеральному закону № ФЗ-3266-1 «Об образовании», у выпускников средних общеобразовательных учреждений не обязательно брать согласие на обработку их персональных данных для допуска к ЕГЭ. Органы и организации, привлекаемые к проведению ЕГЭ, осуществляют «…передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена <…> персональных данных обучающихся, участников единого государственного экзамена <…> в соответствии с требованиями законодательства Российской Федерации в области персональных данных без получения согласия этих лиц на обработку их персональных данных» (ст. 15, п. 5.1). В апрельском номере журнала «Персональные данные» есть большой материал , посвященный именно этой проблеме.
Еще один случай, когда для обработки персональных данных не требуется согласие субъекта: исполнение договора, одной из сторон которого является субъект персональных данных. Для примера подойдет любой договор компании с физическим лицом на оказание услуг. Массу полезной информации по этой теме можно найти в специализированной прессе. Оператор также должен обеспечивать необходимые организационные и технические меры для пресечения попытки незаконного доступа к персональным данным.

Необходимые документы

Каждый оператор персональных данных обязан иметь пакет документов, подтверждающих защищенность Пдн сотрудников и клиентов.

Перечень необходимых документов может меняться в зависимости от специфики обработки персональных данных, орг.структуры и других особенностей каждого отдельно взятого предприятия.

В соответствии с данным пакетом документов на предприятии должны быть внедрены технические средства защиты персональных данных.

Подготовка документов, необходимых для защиты персональных данных

Существует несколько способов подготовить документы в соответствии с требованиями 152-ФЗ «О персональных данных» :

Средства защиты

Практически в каждой организации имеется информационная система персональных данных (сокращённо ИСПДн), которая может содержать, например, фамилию, имя работника, его паспортные данные, ИНН и т. д. С этой информационной системой работает оператор. В зависимости от того, какие данные содержатся в ИСПДн конкретной организации, эта ИСПДн может относится к одному из четырёх классов, каждый из которых предусматривает различные средства для защиты персональных данных.

См. также

Ссылки

• www.rsoc.ru Реестр операторов, осуществляющих обработку персональных данных
• www.pd.rsoc.ru Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных
• www.privacy-journal.ru Информационно-аналитический журнал "Персональные данные"

Wikimedia Foundation . 2010 .

Смотреть что такое "Оператор персональных данных" в других словарях:

Оператор персональных данных - 2) оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки… … Официальная терминология

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,… … Википедия

Субъект персональных данных физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Содержание 1 Взаимодействие с субъектом персональных данных … Википедия

Комплекс мероприятий технического, организационного и организационно технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных… … Википедия

Эта статья или раздел описывает ситуацию применительно лишь к одному региону. Вы можете помочь Википедии, добавив информацию для других стран и регионов. Содержание 1 Определение … Википедия

Номер: 152 ФЗ Принятие: Государственной думой 26 июля 2006 года Вступление в силу: 26 января 2007 г. Федеральный закон РФ от 27 июля 2006 года № 152 ФЗ «О персональных данных» федеральный закон, регулирующий деятельность по обработке (использ … Википедия

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) - Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… …

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ПРИНЯТИИ РЕШЕНИЙ НА ОСНОВАНИИ ИСКЛЮЧИТЕЛЬНО АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, заключаются в запрещении принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении… …

оператор - 4.22 оператор (operator): Какой либо объект, осуществляющий работу системы. Примечание 1 Роль оператора и роль пользователя могут возлагаться одновременно или последовательно на одно и то же лицо или организацию. Примечание 2 В контексте данного… … Словарь-справочник терминов нормативно-технической документации

ОПЕРАТОР - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и/или осуществляющие обработку персональных данных, а также определяющие цели … Делопроизводство и архивное дело в терминах и определениях

Закон о персональных данных № 152-ФЗ от 27.07.2006 обязует пройти регистрацию в специальном реестре всех, кто занимается обработкой персональных данных. Что это за реестр, для кого включение в него является обязательным, и как происходит процедура регистрации – об этом наша статья.

Кто является оператором персональных данных

К операторам закон № 152-ФЗ относит госорганы, организации и физлиц, которые собирают персональные данные, а также самостоятельно определяют цели сбора, состав сведений, и совершаемые с ними действия (ст. 3 закона № 152-ФЗ).

Проще говоря, оператор персональных данных, это тот, кто использует личные данные граждан для трудовых и прочих отношений. Их главной задачей является сохранение конфиденциальности полученных персональных данных, т.е. запрет передавать данные третьим лицам и распространять их без согласия самого физлица, если только эти данные не обезличены.

Реестр операторов персональных данных Роскомнадзора

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных - Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ). Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор. В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Уведомление достаточно подать единожды за весь период работы оператора. В то же время, закон содержит перечень исключений, когда работать с личными данными можно без включения в реестр операторов персональных данных (ч. 2 ст. 22 закона № 152-ФЗ):

• когда операторы-работодатели обрабатывают только данные, полученные в соответствии с трудовым законодательством;
• если оператор получил данные от контрагента в связи с заключением договора и не использует их в иных целях, кроме исполнения договора;
• когда оператор персональных данных - религиозная или общественная организация, которая обрабатывает личные данные своих участников для целей, предусмотренных ее уставом;
• если гражданин сам сделал общедоступными свои персональные данные;
• если персональные данные не включают ничего, кроме Ф.И.О.;
• когда данные получают для оформления разового пропуска;
• при обработке персональных данных государственными автоматизированными инфосистемами;
• если личные данные обрабатываются «на бумаге», т.е. без применения автоматизации;
• когда данные используются для обеспечения безопасности транспортных систем.

Все, кто не указан в данном списке, уведомление для включения в реестр операторов персональных данных Роскомнадзора подать обязаны. Многие ИП и организации игнорируют данное требование либо узнают о нем слишком поздно. Но подать уведомление для включения в реестр можно и позже, указав в нем реальную дату начала обработки персональных данных, при этом никаких штрафных санкций за опоздание не последует.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

• сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
• правовое основание и цели обработки данных согласно уставу;
• описание мер и средств защиты личных данных;
• фактическую дату начала обработки персональных данных оператором;
• условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
• категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
• действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
• данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.