Lista operatorilor de date cu caracter personal Roskomnadzor. Cum se efectuează verificările de conformitate pentru prelucrarea datelor cu caracter personal. Mentinerea unui registru al operatorilor care prelucreaza date cu caracter personal
Cerințe legale pentru operatorul de date cu caracter personal
Operatorul este obligat să asigure confidențialitatea datelor cu caracter personal. La articolul 7 Lege federala RF din 27 iulie 2006 N 152-FZ „Cu privire la datele cu caracter personal” (denumit în continuare FZ-152) prevede că operatorul nu este obligat să protejeze datele cu caracter personal dacă acestea sunt anonimizate sau disponibile publicului. Operatorul de date cu caracter personal nu are dreptul de a prelucra date fără acordul persoanei vizate, adică persoanei căreia îi aparțin aceste date. Cu toate acestea, în art. 6 Partea 2 a Legii federale-152 prevede un număr de cazuri în care nu este necesar consimțământul subiectului.
În special, consimțământul subiectului nu este necesar dacă datele sale cu caracter personal sunt prelucrate pe baza Legii federale care definește scopul și conținutul unei astfel de prelucrări (articolul 6, paragraful 2, partea 2). De exemplu, conform Legii federale nr. FZ-3266-1 „Cu privire la educație”, absolvenții instituțiilor de învățământ secundar nu trebuie să obțină consimțământul pentru prelucrarea datelor lor personale pentru admiterea la examenul de stat unificat. Organismele și organizațiile implicate în desfășurarea Examenului de stat unificat efectuează „... transferul, prelucrarea și furnizarea rezultatelor primite în legătură cu desfășurarea examenului de stat unificat<…>datele personale ale studenților, participanților la examenul unificat de stat<…>în conformitate cu cerințele legale Federația Rusăîn domeniul datelor cu caracter personal fără a obține consimțământul acestor persoane pentru a le prelucra datele cu caracter personal” (articolul 15, clauza 5.1). Numărul din aprilie al revistei „Datele personale” conține un material amplu dedicat în mod special acestei probleme.
Un alt caz în care prelucrarea datelor cu caracter personal nu necesită acordul subiectului: executarea unui contract, una dintre părți la care face obiectul datelor cu caracter personal. De exemplu Orice va face un acord între o companie și o persoană fizică pentru furnizarea de servicii. Masa Informatii utile pe această temă se găsesc în presa de specialitate. De asemenea, operatorul trebuie să asigure măsurile organizatorice și tehnice necesare pentru a suprima tentativele de acces ilegal la datele cu caracter personal.
Documente necesare
Fiecare operator de date cu caracter personal este obligat să aibă un pachet de documente care confirmă protecția datelor cu caracter personal ale angajaților și clienților.
Sul documente necesare poate varia în funcție de specificul prelucrării datelor cu caracter personal, structura organizatorică și alte caracteristici ale fiecărei întreprinderi individuale.
În conformitate cu acest pachet de documente, întreprinderea trebuie să implementeze mijloace tehnice protectia datelor cu caracter personal.
Intocmirea documentelor necesare pentru protejarea datelor cu caracter personal
Există mai multe moduri de a pregăti documente în conformitate cu cerințele 152-FZ „Cu privire la datele cu caracter personal”:
Mijloace de protectie
Aproape fiecare organizație are un sistem de informații cu date personale (abreviat ISPDn), care poate conține, de exemplu, numele de familie al angajatului, prenumele, datele pașaportului, TIN etc. Un operator lucrează cu acest sistem de informații. În funcție de ce date sunt conținute în ISPD al unei anumite organizații, acest ISPD poate aparține uneia dintre cele patru clase, fiecare dintre acestea oferind diverse mijloace pentru a proteja datele personale.
Vezi si
Legături
- www.rsoc.ru Registrul operatorilor de prelucrare a datelor cu caracter personal
- www.pd.rsoc.ru Portalul de date cu caracter personal al Organismului autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal
- www.privacy-journal.ru Jurnal informativ și analitic „Date personale”
Fundația Wikimedia. 2010.
Vedeți ce este un „Operator de date personale” în alte dicționare:
Operator de date personale- 2) operator agenție guvernamentală, organ municipal, legal sau individual, independent sau în comun cu alte persoane care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determină scopurile prelucrării... ... Terminologie oficială
Orice acțiune (operație) sau set de acțiuni (operații) efectuate folosind instrumente de automatizare sau fără utilizarea unor astfel de mijloace cu date personale, inclusiv colectarea, înregistrarea, sistematizarea, acumularea, stocarea, ... ... Wikipedia
Subiectul datelor cu caracter personal este o persoană care este direct sau indirect identificată sau determinată folosind date cu caracter personal. Cuprins 1 Interacțiunea cu subiectul datelor cu caracter personal ... Wikipedia
Un set de măsuri de natură tehnică, organizatorică și tehnică organizatorică care vizează protejarea informațiilor referitoare la o persoană specifică sau determinată pe baza unor astfel de informații (subiect personal ... ... Wikipedia
Acest articol sau secțiune descrie situația în raport cu o singură regiune. Puteți ajuta Wikipedia adăugând informații pentru alte țări și regiuni. Cuprins 1 Definiție ... Wikipedia
Număr: 152 Legea federală Adoptarea: de către Duma de Stat la 26 iulie 2006 Intrare în vigoare: 26 ianuarie 2007 Legea federală a Federației Ruse din 27 iulie 2006 nr. 152 Legea federală „Cu privire la datele cu caracter personal” este o lege federală care reglementează activități de prelucrare (folosind... Wikipedia
Model de bază de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal (extras)- Terminologie Model de bază amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informare a datelor cu caracter personal (extras): Sistem automatizat un sistem format din personal și un set de echipamente de automatizare... ...
DREPTURILE SUBIECȚILOR DATELOR CU CARACTER PERSONAL LA LUAREA DECIZIILOR PE BAZA PRELUCRĂRII EXCLUSIV AUTOMATIZATE A DATELOR LOR PERSONALE- conform Legii federale „Cu privire la datele cu caracter personal” din 27 iulie 2006 nr. 152 FZ, constă în interzicerea acceptării numai pe baza prelucrare automată decizii de date cu caracter personal care dau naștere la consecințe juridice în legătură cu... ...
operator- 4.22 operator: Orice obiect care efectuează operarea sistemului. Nota 1 Rolul de operator și rolul de utilizator pot fi atribuite simultan sau secvenţial aceleiaşi persoane sau organizaţii. Nota 2 În contextul acestui... ... Dicționar-carte de referință de termeni ai documentației normative și tehnice
OPERATOR- conform Legii federale „Cu privire la datele cu caracter personal” din 27 iulie 2006 nr. 152 FZ, - un organism de stat, un organism municipal, o persoană juridică sau o persoană fizică care organizează și/sau desfășoară prelucrarea datelor cu caracter personal, precum și determină scopuri... Gestionarea înregistrărilor și arhivarea în termeni și definiții
1. Prezentele Regulamente privind ținerea registrului operatorilor care efectuează prelucrări (denumite în continuare Regulamente) au fost elaborate în conformitate cu Legea federală din 27 iulie 2006 N „Cu privire la datele cu caracter personal” (denumită în continuare Legea) (Colectate Legislația Federației Ruse, 31 iulie 2006, N 31 (1 partea), articolul 3451), pentru a exercita competențele de a menține un registru al operatorilor care prelucrează date cu caracter personal (denumit în continuare Operatorul), atribuit Serviciului Federal pentru Supraveghere în domeniul comunicatii de masa, comunicațiile și protecția patrimoniului cultural (denumit în continuare Serviciul) în conformitate cu Regulamentul Serviciului, aprobat prin Decretul Guvernului Federației Ruse din 06.06.2007 N 354 (Colectarea Legislației Federației Ruse, 06.11 .2007, N 24, Art. 2923; N 52, Art. 6462).
2. Prezentul Regulament stabilește procedura de ținere a unui registru al operatorilor care prelucrează date cu caracter personal (denumit în continuare Registrul).
3. Concepte utilizate în prezentul Regulament:
registru - lista, lista operatorilor care prelucreaza date cu caracter personal;
menținerea unui registru al operatorilor - activitățile Serviciului, inclusiv colectarea, înregistrarea, prelucrarea, stocarea și furnizarea datelor care constituie sistemul de ținere a unui registru al operatorilor care prelucrează date cu caracter personal;
operator - organ de stat, organ municipal, persoană juridică sau persoană fizică care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determinarea scopurilor și conținutului prelucrării datelor cu caracter personal;
prelucrarea datelor cu caracter personal - acțiuni (operațiuni) cu date personale, inclusiv colectarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), utilizarea, distribuirea (inclusiv transferul), depersonalizarea, blocarea, distrugerea datelor cu caracter personal.
II. Componența informațiilor incluse în registru
4. Registrul conține următoarele informații despre Operatori:
b) numele (nume, prenume, patronim), adresa operatorului;
c) adresele sucursalelor (reprezentanțelor) operatorului care prelucrează date cu caracter personal (dacă există);
d) data trimiterii sesizării;
e) scopul prelucrării datelor cu caracter personal;
h) temeiul legal pentru prelucrarea datelor cu caracter personal;
i) lista acțiunilor cu date personale, descriere generala metodele utilizate de operator pentru prelucrarea datelor cu caracter personal;
j) o descriere a măsurilor pe care operatorul se angajează să le implementeze atunci când prelucrează datele cu caracter personal pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora;
k) data începerii prelucrării datelor cu caracter personal;
m) termenul sau condiția de încetare a prelucrării datelor cu caracter personal;
m) data și motivele înscrierii în registrul operatorilor;
o) data și motivul excluderii din registrul operatorilor;
o) modificările efectuate.
III. Condiții pentru includerea operatorilor în registru
5. Operatorii sunt incluși în Registrul dacă sunt îndeplinite următoarele condiții:
Trimiterea unei notificări cu privire la prelucrarea (a intenției de prelucrare) a datelor cu caracter personal către administrația teritorială a Serviciului (denumită în continuare Notificare). Informațiile specificate în Notificare trebuie să respecte Partea 3 a Articolului 22 din Lege;
Înregistrarea Notificarii primite în administrația teritorială a Serviciului, prelucrarea acesteia pentru a lua o decizie de aprobare sau respingere;
Semnarea unui ordin de către șeful Serviciului sau adjunctul șefului de înscriere a Operatorului în Registr.
6. Originalul Notificarii transmise de Operator cu atasarea tuturor documentelor primite trebuie stocat in departamentul teritorial relevant al Serviciului.
IV. Procedura de înscriere a operatorilor în registru
7. Serviciu bazat pe rezultatele analizei procesate departamentele teritoriale Serviciile de Notificare au dreptul de a verifica acuratețea și caracterul complet al informațiilor conținute în Notificarea furnizată de Operatori sau de a implica alte organisme guvernamentale în competențele lor pentru a efectua o astfel de verificare. Serviciul are, de asemenea, dreptul de a solicita persoanelor fizice sau entitati legale informațiile necesare pentru exercitarea atribuțiilor lor și să primească astfel de informații în mod gratuit, inclusiv dacă este necesar pentru a clarifica sau completa informațiile lipsă.
8. Pe baza rezultatelor verificării informațiilor conținute în Notificarea prelucrată, Serviciul, în termen de treizeci de zile de la data primirii Notificarii, ia decizia de înscriere a Operatorului în Registr, care este emisă sub forma unui ordin de la șeful Serviciului sau adjunctul șefului Serviciului de a include Operatorul în Registrul.
9. În baza comenzii emise se face o înscriere despre Operator în Registrul căruia i se atribuie un număr de înregistrare.
10. Data înscrierii Operatorului în Registrul este considerată a fi data semnării comenzii.
11. Informațiile despre includerea Operatorului în Registrul trebuie publicate pe site-ul oficial al Serviciului în cel mult trei zile de la data semnării comenzii.
V. Procedura de ţinere a Registrului
12. Registrul se ține folosind un singur Sistem informatic(denumit în continuare UIS) în formă electronică.
13. Registrul este ținut de către Serviciu, care, în condițiile definite de prezentul Regulament, include Operatorii în Registrul prin efectuarea de înscrieri corespunzătoare în Registrul, modifică informațiile conținute în mențiunile specificate și exclude Operatorii din Registrul prin adaugand anterior înregistrări efectuate informatii privind excluderea Operatorilor din Registrul.
14. În cazul în care informațiile conținute în Notificare se modifică după ce Operatorul este inclus în Registr, acesta este obligat să notifice Serviciul despre modificări în termen de zece zile lucrătoare de la data acestor modificări. Efectuarea acestor modificări la Registrul se face pe baza unui ordin al șefului Serviciului sau al șefului adjunct și nu conduce la modificarea numărului de înregistrare a înscrierii corespunzătoare în Registrul.
15. Informațiile cuprinse în Registrul, cu excepția subparagrafului „k” al paragrafului 4 din prezentul Regulament, sunt disponibile publicului.
16. Informațiile despre Registrul sunt publicate pe site-ul oficial al Serviciului.
17. Operatorii incluși în Registrul au dreptul de a primi un extras din Registrul la cererea scrisă adresată Serviciului în cel mult treizeci de zile.
VI. Procedura de excludere a operatorilor din Registru
18. Problema excluderii Operatorului din Registrul este luată în considerare în următoarele cazuri:
Primirea de către Serviciu sau departamentele sale teritoriale a unei cereri scrise (cerere) din partea Operatorului inclusă în Registrul de excludere cu justificare atașată;
Luarea de măsuri de către Serviciu sau departamentele sale teritoriale pentru a suspenda sau a înceta de către Operator prelucrarea datelor cu caracter personal efectuată cu încălcarea cerințelor Legii.
19. Operatorii sunt excluși din Registru atunci când intervine una dintre următoarele condiții:
Lichidarea Operatorului;
Încetarea activităților Operatorului ca urmare a reorganizării acestuia, cu excepția reorganizării sub formă de transformare;
Anularea unei licențe de desfășurare a activităților licențiate a Operatorului, dacă condiția licenței de desfășurare a unor astfel de activități este interzicerea transferului de date cu caracter personal către terți fără consimțământ scris subiectul datelor cu caracter personal;
Sosirea termenului sau a condițiilor de încetare a prelucrării datelor cu caracter personal specificate în Notificare;
O hotărâre judecătorească privind încetarea de către operator a activităților legate de prelucrarea datelor cu caracter personal;
Altele stabilite de legislația Federației Ruse în domeniul datelor cu caracter personal.
20. Decizia de excludere a Operatorului din Registrul se formalizează prin ordin al șefului Serviciului sau al șefului adjunct al Serviciului.
În baza comenzii emise, în Registr se înregistrează informații despre excluderea Operatorului din Registr. După excluderea Operatorului din Registrul, numărul de înregistrare al înscrierii corespunzătoare nu este utilizat în viitor.
21. Informațiile despre excluderea Operatorului din Registrul trebuie publicate pe site-ul oficial al Serviciului pe Internet în cel mult trei zile de la data semnării comenzii.
Lucrul cu date personale impune operatorului o serie de responsabilități. Să ne uităm la câteva dintre cele mai semnificative dintre ele.
Anunțați Roskomnadzor despre începerea prelucrării datelor cu caracter personal (). O astfel de notificare trebuie trimisă agenției înainte de începerea procesării datelor, indicând în ea:
- numele (numele complet), adresa operatorului;
- scopul prelucrării datelor cu caracter personal;
- categorii de date cu caracter personal;
- categorii de subiecte ale căror date cu caracter personal sunt prelucrate;
- baza legala pentru prelucrarea datelor cu caracter personal;
- o listă de acțiuni cu date personale, o descriere generală a metodelor utilizate de operator pentru prelucrarea datelor cu caracter personal;
- masuri de protectie a datelor cu caracter personal;
- Numele complet al persoanei fizice sau numele persoanei juridice responsabile cu organizarea prelucrării datelor cu caracter personal și numerele acestora numere de contact, adrese postale si adrese E-mail;
- data începerii prelucrării datelor cu caracter personal;
- termenul sau condiția de încetare a prelucrării datelor cu caracter personal;
- date privind prezența sau absența transferului transfrontalier de date cu caracter personal în timpul prelucrării acestora;
- informații despre locația bazei de date de informații care conține date personale ale rușilor;
- informații despre asigurarea securității datelor cu caracter personal în conformitate cu cerințele de protecție a datelor cu caracter personal stabilite de Guvernul Federației Ruse (vorbim, în special, despre date cu caracter personal în funcție de amenințările de securitate, date personale, a căror executare este asigurată de niveluri stabilite securitatea datelor cu caracter personal, precum și tehnologiile de stocare a acestor date în afara sistemelor de informare a datelor cu caracter personal).
În același timp, există situații în care nu este necesară notificarea Roskomnadzor cu privire la prelucrarea datelor cu caracter personal. Aceasta este, de exemplu, prelucrarea datelor angajaților de către angajator, primirea de către operator a datelor clientului la încheierea unui acord cu acesta (dacă aceste informații nu sunt furnizate terților fără acordul subiectului și sunt utilizate exclusiv pentru executarea acordului specificat), prelucrarea datelor cu caracter personal disponibile publicului, eliberarea unui permis unic către o persoană pe teritoriul operatorului, folosind doar numele complet al subiectului etc. ().
Asigurați confidențialitatea datelor cu caracter personal. Aceasta înseamnă că nu pot fi distribuite fără acordul subiectului (). Această datorie persoanele care au acces la datele personale este una dintre cele principale. În special, la transferul datelor cu caracter personal ale angajaților, angajatorul este obligat să:
- nu divulgați datele personale ale angajatului unei terțe părți fără acordul scris al acestuia (cu excepția cazurilor în care acest lucru este necesar pentru a preveni amenințarea vieții și sănătății angajatului și în alte cazuri prevăzute de lege - de exemplu, la transferul de date către Fondul de asigurări sociale, Fondul de pensii al Federației Ruse, autoritățile fiscale, comisariatele militare, parchetul, agențiile de aplicare a legii, GIT etc.);
- avertizați persoanele care primesc datele cu caracter personal ale salariatului că aceste informații pot fi utilizate numai în scopurile pentru care au fost comunicate - în plus, angajatorul poate chiar cere acestor persoane să confirme că această regulă a fost respectată;
- transfera datele personale ale unui angajat în cadrul unei organizații, dintr-o singură organizație antreprenor individualîn conformitate cu reglementările locale, cu care angajatul trebuie să fie familiarizat cu semnătura sa;
- permite accesul la datele personale ale angajaților doar în mod specific Persoane autorizateși ar trebui să aibă dreptul de a primi doar acele date ale angajaților care sunt necesare pentru îndeplinirea unor funcții specifice;
- nu solicitați informații despre starea de sănătate a angajatului, cu excepția informațiilor care se referă la problema capacității angajatului de a îndeplini o funcție de serviciu;
- limitează informațiile transmise reprezentanților angajaților doar la acele date ale angajaților care sunt necesare pentru ca respectivii reprezentanți să își îndeplinească funcțiile ().
Luați măsuri pentru a asigura securitatea datelor cu caracter personal (). Pentru a face acest lucru, organizația ar trebui să numească o persoană responsabilă cu organizarea prelucrării datelor cu caracter personal (). O astfel de persoană este obligată să exercite controlul intern asupra respectării de către operator și angajații săi a cerințelor de protecție a datelor cu caracter personal, să aducă la cunoștința angajaților prevederile și reglementările locale privind prelucrarea datelor cu caracter personal, precum și să organizeze primirea și prelucrarea cererilor și solicitărilor de la subiecții datelor cu caracter personal. În plus, în aceleași scopuri ar trebui aplicate măsuri tehnice pentru a asigura securitatea prelucrării, precum și să fie emise documente care definesc politica companiei în ceea ce privește prelucrarea datelor cu caracter personal etc.
În același timp, organizația trebuie să își facă publică politica de prelucrare a datelor cu caracter personal (). Cel mai în cel mai bun mod posibil este de a posta documentul pe site-ul web al operatorului. Dar în cazurile în care acest lucru nu este posibil, este suficient să instalați un „buzunar” cu politica pe hârtie în orice loc accesibil vizitatorilor organizației. Excepția este pentru operatorii care colectează date cu caracter personal direct prin Internet - trebuie să publice politica pe site și să ofere posibilitatea de a accesa documentul specificat. Pe site-ul oficial al Roskomnadzor puteți găsi recomandări pentru elaborarea unei politici privind prelucrarea datelor cu caracter personal.
Nu confundați politica, care se aplică în principal terților (contrapărți, clienți etc.), cu Reglementările privind protecția, stocarea, prelucrarea și transferul datelor cu caracter personal ale angajaților - acest document, spre deosebire de politică, este o reglementare locală. act, deci nu trebuie făcut public necesar, dar este obligatorie familiarizarea angajaților cu acesta împotriva semnăturii ().
MATERIALE PE TEMA
Citiți despre ce probleme le poate întâmpina un operator atunci când respectă cerințele pentru localizarea datelor cu caracter personal și cum să le rezolvăm cel mai eficient în materialul nostru „”.
Respectați cerințele pentru localizarea datelor cu caracter personal ale rușilor. De la 1 septembrie 2015, toți operatorii care colectează date cu caracter personal sunt obligați să asigure prelucrarea acestora folosind baze de date situate în Rusia (). Așa-zisa localizare a datelor cu caracter personal a provocat inițial o mare rezonanță în rândul specialiștilor și operatorilor – cerințele legii au fost formulate în așa fel încât experții au avut o mulțime de preocupări. Printre acestea se numără și lipsa de claritate cu privire la datele personale care vor fi acoperite. această cerință, pe care operatori îi va afecta acest lucru, dacă prelucrarea datelor cu caracter personal este permisă simultan pe serverele rusești și străine, cum se stabilește cetățenia subiectului etc. Roskomnadzor a răspuns la majoritatea acestor întrebări chiar înainte de intrarea în vigoare a noilor cerințe legale. De exemplu, agenția le-a acordat operatorilor dreptul de a decide în mod independent problema determinării cetățeniei persoanei ale cărei date sunt prelucrate sau de a aplica cerința de localizare datelor cu caracter personal ale tuturor subiecților. În plus, Roskomnadzor a clarificat că, în cazul în care datele personale au fost înregistrate în baza ruseasca date, acestea pot fi prelucrate în continuare baza de date electronica situat în afara țării.
Atât în politica de prelucrare a datelor cu caracter personal, cât și în Reglementările privind protecția, stocarea, prelucrarea și transferul datelor cu caracter personal ale angajaților, trebuie precizat că la colectarea datelor cu caracter personal, operatorul se obligă să asigure înregistrarea, sistematizarea, acumularea, stocarea, clarificarea. (actualizare, modificare), preluarea datelor cu caracter personal ruși folosind baze de date situate pe teritoriul Rusiei și, de asemenea, indică locația unei astfel de baze de date.
Opriți prelucrarea datelor cu caracter personal în timp util. Dacă scopul prelucrării datelor cu caracter personal este atins sau subiectul și-a retras consimțământul pentru prelucrarea acestora, operatorul trebuie să înceteze prelucrarea acestor date și să le ștergă în termen de 30 de zile, cu excepția cazului în care în acord este specificată o altă perioadă ().
21 februarie 2014 la 23:45Sau poate nu anunțăm despre prelucrarea datelor cu caracter personal?
- Securitatea informațiilor
Partea întâi a articolului 22 din Legea federală din 27 iulie 2006 N 152-FZ „Cu privire la datele cu caracter personal” (denumit în continuare articolul - Legea) prevede obligația operatorului care prelucrează datele cu caracter personal de a notifica autoritatea Roskomnadzor înainte de începerea procesării . Imediat (în partea a doua a articolului) Legea propune motivele pentru care operatorul are dreptul de a nu sesiza prelucrarea. Aceste cazuri sunt destul de frecvente. Dar întrucât Legea nu interzice notificarea chiar dacă există astfel de cazuri, o serie de operatori aleg să ia calea de notificare. Poate merită să nu anunțați sau chiar să vă gândiți cum să vă calificați pentru „excepții”. Există cel puțin 3 motive pentru aceasta.
Este dificil să răspunzi la întrebarea „De ce?” pentru toți cei care au decis să trimită o notificare organismului Roskomnadzor dacă era posibil să nu facă acest lucru. Desigur, campaniile de marketing (imagine, deschidere) nu pot fi excluse. Cu toate acestea, într-un număr de cazuri ei notifică din ignoranță sau pe baza poziției „Este mai bine să fii în siguranță”. Aș dori să atrag atenția asupra dreptului binecunoscut al operatorilor care prelucrează date cu caracter personal de a nu notifica autoritățile Roskomnadzor despre prelucrare și iată mai multe motive pentru aceasta.
- Persoana care a depus notificarea despre prelucrarea datelor cu caracter personal trebuie să suporte sarcina actualizării în permanență a informațiilor transmise. Această obligație este prevăzută în partea 7. Artă. 22 Legi. În cazul în care operatorul care prelucrează datele cu caracter personal nu transmite o notificare cu privire la o modificare a informațiilor (schimbarea adresei operatorului, modificarea categoriilor de date cu caracter personal care sunt prelucrate, schimbarea persoanei responsabile cu prelucrarea datelor cu caracter personal și a persoanelor de contact ale acestuia etc.), atunci el poate fi tras la răspundere administrativă. S-ar părea că a fost greu: ceva s-a schimbat în organizație, am luat și am trimis o scrisoare. După cum arată practica, în cele mai multe cazuri acest lucru este uitat. De exemplu, cei care s-au înscris în Registrul (Registrul include toți cei care au transmis o notificare despre prelucrare) al operatorilor care prelucrează date cu caracter personal înainte de 1 iulie 2011 au fost obligați să trimită suplimentar informațiile prevăzute la clauzele 5, 7.1, 10 și 11 până în ianuarie. 1, 2013 3 al art. 22 din Lege (temeiul legal pentru prelucrarea datelor cu caracter personal, numele complet al persoanei responsabile etc.). După cum se poate observa din registrul Roskomnadzor al operatorilor de date cu caracter personal, mai mult de jumătate dintre operatori nu au făcut acest lucru până în prezent. Ideea că toate aceste organizații nu au suferit modificări interne legate de prelucrarea datelor cu caracter personal este, de asemenea, discutabilă. Vă sugerez să vă gândiți și dacă veți monitoriza în timp util relevanța înscrierilor în Registrul pe termen lung, dacă există posibilitatea de a nu face deloc acest lucru?
- Autoritățile de la Roskomnadzor planifică inspecții ale operatorilor care prelucrează date cu caracter personal folosind sistemul informatic unificat departamental - UIS. Toți operatorii care au depus notificări sunt deja în el și, prin urmare, probabilitatea de a fi incluși în planul de inspecție crește de multe ori. Organizațiile inspectate de Roskomnadzor în alte domenii (servicii de comunicații, rețele de distribuție, mass-media, radiodifuziune) sunt verificate automat pentru conformitatea cu legislația în domeniul datelor cu caracter personal dacă au notificat Roskomnadzor despre prelucrare.
- Dacă operatorul de date cu caracter personal a decis să notifice organismul Roskomnadzor despre prelucrare, deși avea dreptul să nu facă acest lucru, atunci nu va putea fi exclus din Registrul din cauza faptului că nu a putut notifica deloc. Această posibilitate nu este prevăzută nici de lege, nici de reglementările administrative relevante. Sau, mai degrabă, este oferit doar din motive generale.
- Citiți cu atenție (înțelegeți) Partea 2 a art. 22 din Legea federală a Federației Ruse din 27 iulie 2006 N 152-FZ „Cu privire la datele cu caracter personal”.
- Vedeți ce date cu caracter personal sunt prelucrate despre dvs. și în legătură cu ce.
- În unele cazuri, poate fi necesar să vă ajustați activitatea cu purtătorii de date cu caracter personal. Voi da un exemplu pentru a înțelege clar ce vreau să spun.
primite de operator în legătură cu încheierea unui acord la care subiectul datelor cu caracter personal este parte, în cazul în care datele cu caracter personal nu sunt distribuite sau furnizate unor terți fără acordul subiectului datelor cu caracter personal și sunt utilizate exclusiv de către operator. pentru executarea acordului specificat și încheierea de contracte cu subiectul datelor cu caracter personal
Deci, ați încheiat un acord cu o persoană pentru anumite servicii. A luat numărul unei persoane telefon mobil, pentru a informa despre disponibilitatea serviciului. În cele mai multe cazuri, un număr de telefon mobil nu este necesar în scopul îndeplinirii contractului. În cazul în care este preluat numărul de telefon mobil al clientului, este necesar suplimentar acordul acestuia pentru prelucrarea datelor cu caracter personal. Cu toate acestea, în acest caz, nu vă încadrați sub excepția din Lege, care vă permite să nu sesizați despre prelucrarea datelor cu caracter personal.
În cazul în care contractul cu această persoană prevede necesitatea de a avea un număr de telefon mobil în scopul îndeplinirii contractului, atunci vă revendicați deja dreptul de a face obiectul excepției.
Te poți juca cu necesitatea de a avea un număr de telefon mobil în scopul îndeplinirii unui contract ceva de genul: „Organizația se obligă să anunțe clientul prin numărul de telefon x... x despre disponibilitatea...”.
De la 1 iulie 2017, răspunderea pentru încălcarea legislației privind datele cu caracter personal a devenit mai strictă. Cu ce date cu caracter personal trebuie să se ocupe organizațiile de management, ce ar trebui să facă dacă proprietarii nu sunt de acord cu prelucrarea datelor cu caracter personal?
Am vorbit despre asta cu Dmitri Yuryevich Artyukhin, șeful Departamentului serviciu federal pentru supraveghere în domeniul comunicațiilor, tehnologia Informatieiși comunicațiile de masă în Republica Karelia.
Despre prelucrarea datelor cu caracter personal
Dmitri Yuryevich, spuneți-ne ce date personale sunt și sunt disponibile în sectorul locuințelor și serviciilor comunale?
Datele personale sunt orice informație pe baza căreia vă puteți identifica în mod unic persoană anume.
Prelucrarea datelor cu caracter personal este orice acțiune, automatizată sau neautomatizată, care se realizează cu date personale. Aceasta este colectarea, înregistrarea, sistematizarea, acumularea, stocarea și clarificarea datelor.
Includem numele de familie, prenumele, patronimul, data și locul nașterii unei persoane și detaliile unui act de identitate ca date personale. Și o mulțime de alte informații, pe baza cărora puteți identifica direct sau indirect o anumită persoană.
Trebuie avut în vedere că dacă fără a primi Informații suplimentare Este imposibil să identifici o anumită persoană, atunci astfel de informații nu sunt date personale.
De exemplu, listele de debitori sunt postate în mass-media. Acestea conțin nume de familie și inițiale. Persoana nu poate fi identificată pe baza acestor informații. Cu totul altceva este dacă organizația de conducere plasează aceste liste la intrarea în casa în care locuiește o persoană.
Desigur, activitățile de management MKD sunt asociate cu prelucrarea datelor cu caracter personal. Fiecare formă de management: organizație de management, HOA sau chiar management direct implică colectarea și prelucrarea datelor cu caracter personal.
Organizațiile de management încheie acorduri cu proprietarii spațiilor managementul MKD, în care trebuie indicate datele personale. In plus, societatile de management, ca persoane juridice, au relatii juridice cu angajatii lor, care sunt reglementate de legislatia muncii. Prin urmare, organizațiile de management sunt operatori de prelucrare a datelor cu caracter personal.
Despre operatorul de prelucrare a datelor cu caracter personal
Cine este operatorul datelor cu caracter personal?
În conformitate cu legea, un operator de date cu caracter personal este un organism de stat, un organ municipal, persoană juridică sau persoană fizică care, singur sau împreună cu alte persoane, prelucrează date cu caracter personal. O astfel de persoană determină scopurile prelucrării PD și compoziția acestora.
Orice persoană juridică, inclusiv entități de management, asociații de proprietari și cooperative, devine automat operator de date cu caracter personal.
Cine ar trebui să notifice AM că este operatorul de date cu caracter personal?
Nu este nevoie să anunțați Roskomnadzor dacă operatorul primește date cu caracter personal în baza unui acord cu subiectul datelor cu caracter personal, cu condiția ca PD să nu fie distribuit sau transferat către terți.
Aceeași regulă se aplică dacă datele cu caracter personal se referă la membrii unei asociații publice sau organizații religioase, sunt disponibile publicului și constau dintr-un nume de familie, prenume și patronim. Lista completă poate fi citită în partea 2 a articolului 22 N 152-FZ.
Decizia de a trimite o notificare către organismul autorizat este luată de operatorul de date cu caracter personal. Fie că operatorul trimite sau nu o notificare, el rămâne totuși operatorul datelor cu caracter personal.
Reamintim în mod regulat persoanelor juridice necesitatea de a ne trimite notificări (articolul 22 N 152-FZ). Dacă o persoană juridică nu este inclusă în registrul operatorilor de date cu caracter personal, aceasta nu o scutește de măsurile de control și supraveghere.
Mai degrabă, dimpotrivă, acele persoane juridice care, din punctul nostru de vedere, pot fi operatori de date cu caracter personal, prelucrează date cu caracter personal și nu sunt incluse în lista care exclude necesitatea transmiterii unei notificări, dar nu au trimis o notificare, cel mai probabil vor fi incluse în planul de inspecție.
Cerințele pentru notificarea către Roskomnadzor sunt enumerate în partea 3 a articolului 22 N 152-FZ.
Despre consimțământul pentru prelucrarea datelor cu caracter personal
Când trebuie să obțineți consimțământul pentru prelucrarea datelor cu caracter personal?
Operatorul de date cu caracter personal trebuie să înțeleagă că prelucrarea datelor cu caracter personal poate fi efectuată numai cu acordul subiectului datelor cu caracter personal sau dacă există alte temeiuri legale. În același timp, trebuie menționat că fiecare caz individual este individual.
Cine este responsabil pentru datele cu caracter personal dacă societatea de administrare, care prelucrează datele cu caracter personal ale proprietarilor, le transferă în baza unui contract către un terț?
În cazul în care organizația de management intenționează să încredințeze prelucrarea datelor cu caracter personal unor terți, aceasta trebuie să aibă acordul subiectului datelor cu caracter personal. Dacă nu există un astfel de consimțământ, operatorul va fi tras la răspundere. Nu este nevoie să obțineți consimțământul dacă acest lucru este stabilit de legile federale.
O persoană care prelucrează date cu caracter personal în numele operatorului nu este obligată să obțină consimțământul subiectului datelor cu caracter personal pentru prelucrarea datelor sale personale. Organizația de management este responsabilă în această situație.
Ce să fac organizarea managementului, dacă proprietarul nu este de acord cu prelucrarea datelor cu caracter personal?
Nu există nicio modalitate de a forța proprietarul; trebuie să încercați să convingeți, să spuneți ce consecințe pot apărea pentru subiect în cazul refuzului de a oferi consimțământul. Dar, în orice caz, prelucrarea datelor cu caracter personal fără consimțământ în absența altor temeiuri legale pentru prelucrarea datelor cu caracter personal nu este permisă.
Sarcina dovedirii consimțământului pentru prelucrarea PD revine operatorului de date cu caracter personal.
Cu privire la răspunderea pentru încălcarea legilor privind datele cu caracter personal
Ce amenzi exista si cine le da?
Până la 1 iulie 2017 pentru încălcare ordinea stabilită răspunderea administrativă a fost stabilită pentru colectarea, stocarea, utilizarea sau diseminarea datelor cu caracter personal în conformitate cu articolul 13.11 din Codul de infracțiuni administrative al Federației Ruse. Pentru persoanele juridice, acesta este un avertisment sau impunerea unei amenzi administrative de la cinci mii la zece mii de ruble.
Mecanismul a fost următorul: Roskomnadzor a desfășurat activități de control și supraveghere în domeniul PD. Dacă în timpul activităților a constatat încălcări, le-a sesizat parchetului pentru acțiune. Parchetul a luat în considerare mesajul și, dacă a fost recunoscută o încălcare, a emis o decizie de pornire a unui dosar administrativ și a trimis-o în instanță.
De la 1 iulie situația s-a schimbat. Noua versiune a articolului 13.11 din Codul contravențiilor administrative al Federației Ruse este mai detaliată; acum conține șapte clauze, toate legate de prelucrarea datelor cu caracter personal. Amenzile sunt în creștere, Roskomnadzor are autoritatea de a întocmi protocoale, adică de a iniția dosare de contravenție, ocolind parchetul.
Amenda maximă prevăzută la articolul 13.11 din Codul contravențiilor administrative al Federației Ruse, astfel cum a fost modificat, este de 75.000 de ruble. Se va putea obține pentru prelucrarea datelor cu caracter personal fără a obține în scris consimțământul subiectului datelor cu caracter personal, dacă este prevăzut de lege.
