![МДОУ " Детский сад № 17 " Колосок" с. Дмитриевка](/netcat_files/generated/catalogue/4/40x40/1/9a4a05ee513367f71bc5b4c397633696.jpg?crop=0%3A0%3A0%3A0&hash=db2e9fe612659dc186f8b0d4b855dd7c&resize_mode=0&wm_m=0 "МДОУ " Детский сад № 17 " Колосок" с. Дмитриевка"){kind=icon}
Политика конфиденциальности
1. Общие положения
Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных.
1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта
2. Основные понятия.
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://site-r00.gosweb.gosuslugi.ru/.
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://site-r00.gosweb.gosuslugi.ru/.
2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее - персональные данные, разрешенные для распространения).
2.10. Пользователь – любой посетитель веб-сайта https://site-r00.gosweb.gosuslugi.ru/.
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
3. Основные права и обязанности Оператора
3.1. Оператор имеет право:
Основные обязанности операторов связи:
• оказывать пользователям услуги подвижной связи в соответствии с законодательством РФ;
• предоставлять необходимую для заключения и исполнения договора информацию. Указанная информация на русском языке в наглядной и доступной форме бесплатно доводится до сведения абонентов в местах работы с абонентами;
• предоставлять абонентам в своей сети подвижной связи соединения, осуществляемые для предоставления доступа к услугам своих информационно-справочных служб на тех же условиях, что и для предоставления доступа к услугам иных информационно-справочных служб;
• устранять в установленные сроки технические неисправности, препятствующие пользованию услугами подвижной связи;
• извещать абонентов через средства массовой информации о введении новых тарифов на услуги подвижной связи не менее чем за 10 дней до их введения.
Знайте! Данная информация (например, об изменении тарифов) может быть доведена до сведения потребителя через зарегистрированный сайт оператора связи. Это будет являться надлежащим способом доведения до потребителя информации. При этом на сайте должен быть указан номер свидетельства о регистрации.
• возобновлять оказание услуг подвижной связи абоненту в течение 3 дней с даты получения оплаты от абонента или представления абонентом документов, подтверждающих ликвидацию задолженности по оплате услуг подвижной связи (в случае приостановления оказания услуг подвижной связи).
• оператор связи обязан заключить договор, кроме случаев, когда отсутствует техническая возможность оказания абоненту услуг подвижной связи;
• операторы связи обязаны обеспечить соблюдение тайны связи.
Основные права операторов связи:
В случае нарушения потребителем требований, установленных законодательством РФ, в том числе нарушения сроков оплаты оказанных ему услуг связи, определенных условиями договора об оказании услуг связи, оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, за исключением случаев, установленных настоящим законодательством РФ.
При этом сохраняется доступ к сети подвижной связи и возможность вызова абонентом экстренных (оперативных) служб.
В случае не устранения такого нарушения в течение 6 месяцев со дня получения абонентом от оператора связи уведомления в письменной форме о намерении приостановить оказание услуг связи оператор связи в одностороннем порядке вправе расторгнуть договор.
Помните! Оператор связи вправе оказывать абоненту те услуги связи, на оказание которых ему (оператору связи) выдана лицензия.
Основные обязанности операторов связи:
• оказывать пользователям услуги подвижной связи в соответствии с законодательством РФ;
• предоставлять необходимую для заключения и исполнения договора информацию. Указанная информация на русском языке в наглядной и доступной форме бесплатно доводится до сведения абонентов в местах работы с абонентами;
• предоставлять абонентам в своей сети подвижной связи соединения, осуществляемые для предоставления доступа к услугам своих информационно-справочных служб на тех же условиях, что и для предоставления доступа к услугам иных информационно-справочных служб;
• устранять в установленные сроки технические неисправности, препятствующие пользованию услугами подвижной связи;
• извещать абонентов через средства массовой информации о введении новых тарифов на услуги подвижной связи не менее чем за 10 дней до их введения.
Знайте! Данная информация (например, об изменении тарифов) может быть доведена до сведения потребителя через зарегистрированный сайт оператора связи. Это будет являться надлежащим способом доведения до потребителя информации. При этом на сайте должен быть указан номер свидетельства о регистрации.
• возобновлять оказание услуг подвижной связи абоненту в течение 3 дней с даты получения оплаты от абонента или представления абонентом документов, подтверждающих ликвидацию задолженности по оплате услуг подвижной связи (в случае приостановления оказания услуг подвижной связи).
• оператор связи обязан заключить договор, кроме случаев, когда отсутствует техническая возможность оказания абоненту услуг подвижной связи;
• операторы связи обязаны обеспечить соблюдение тайны связи.
Основные права операторов связи:
В случае нарушения потребителем требований, установленных законодательством РФ, в том числе нарушения сроков оплаты оказанных ему услуг связи, определенных условиями договора об оказании услуг связи, оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, за исключением случаев, установленных настоящим законодательством РФ.
При этом сохраняется доступ к сети подвижной связи и возможность вызова абонентом экстренных (оперативных) служб.
В случае не устранения такого нарушения в течение 6 месяцев со дня получения абонентом от оператора связи уведомления в письменной форме о намерении приостановить оказание услуг связи оператор связи в одностороннем порядке вправе расторгнуть договор.
Помните! Оператор связи вправе оказывать абоненту те услуги связи, на оказание которых ему (оператору связи) выдана лицензия.
Основные обязанности операторов связи:
• оказывать пользователям услуги подвижной связи в соответствии с законодательством РФ;
• предоставлять необходимую для заключения и исполнения договора информацию. Указанная информация на русском языке в наглядной и доступной форме бесплатно доводится до сведения абонентов в местах работы с абонентами;
• предоставлять абонентам в своей сети подвижной связи соединения, осуществляемые для предоставления доступа к услугам своих информационно-справочных служб на тех же условиях, что и для предоставления доступа к услугам иных информационно-справочных служб;
• устранять в установленные сроки технические неисправности, препятствующие пользованию услугами подвижной связи;
• извещать абонентов через средства массовой информации о введении новых тарифов на услуги подвижной связи не менее чем за 10 дней до их введения.
Знайте! Данная информация (например, об изменении тарифов) может быть доведена до сведения потребителя через зарегистрированный сайт оператора связи. Это будет являться надлежащим способом доведения до потребителя информации. При этом на сайте должен быть указан номер свидетельства о регистрации.
• возобновлять оказание услуг подвижной связи абоненту в течение 3 дней с даты получения оплаты от абонента или представления абонентом документов, подтверждающих ликвидацию задолженности по оплате услуг подвижной связи (в случае приостановления оказания услуг подвижной связи).
• оператор связи обязан заключить договор, кроме случаев, когда отсутствует техническая возможность оказания абоненту услуг подвижной связи;
• операторы связи обязаны обеспечить соблюдение тайны связи.
Основные права операторов связи:
В случае нарушения потребителем требований, установленных законодательством РФ, в том числе нарушения сроков оплаты оказанных ему услуг связи, определенных условиями договора об оказании услуг связи, оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, за исключением случаев, установленных настоящим законодательством РФ.
При этом сохраняется доступ к сети подвижной связи и возможность вызова абонентом экстренных (оперативных) служб.
В случае не устранения такого нарушения в течение 6 месяцев со дня получения абонентом от оператора связи уведомления в письменной форме о намерении приостановить оказание услуг связи оператор связи в одностороннем порядке вправе расторгнуть договор.
Помните! Оператор связи вправе оказывать абоненту те услуги связи, на оказание которых ему (оператору связи) выдана лицензия.
Основные обязанности операторов связи:
• оказывать пользователям услуги подвижной связи в соответствии с законодательством РФ;
• предоставлять необходимую для заключения и исполнения договора информацию. Указанная информация на русском языке в наглядной и доступной форме бесплатно доводится до сведения абонентов в местах работы с абонентами;
• предоставлять абонентам в своей сети подвижной связи соединения, осуществляемые для предоставления доступа к услугам своих информационно-справочных служб на тех же условиях, что и для предоставления доступа к услугам иных информационно-справочных служб;
• устранять в установленные сроки технические неисправности, препятствующие пользованию услугами подвижной связи;
• извещать абонентов через средства массовой информации о введении новых тарифов на услуги подвижной связи не менее чем за 10 дней до их введения.
Знайте! Данная информация (например, об изменении тарифов) может быть доведена до сведения потребителя через зарегистрированный сайт оператора связи. Это будет являться надлежащим способом доведения до потребителя информации. При этом на сайте должен быть указан номер свидетельства о регистрации.
• возобновлять оказание услуг подвижной связи абоненту в течение 3 дней с даты получения оплаты от абонента или представления абонентом документов, подтверждающих ликвидацию задолженности по оплате услуг подвижной связи (в случае приостановления оказания услуг подвижной связи).
• оператор связи обязан заключить договор, кроме случаев, когда отсутствует техническая возможность оказания абоненту услуг подвижной связи;
• операторы связи обязаны обеспечить соблюдение тайны связи.
Основные права операторов связи:
В случае нарушения потребителем требований, установленных законодательством РФ, в том числе нарушения сроков оплаты оказанных ему услуг связи, определенных условиями договора об оказании услуг связи, оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, за исключением случаев, установленных настоящим законодательством РФ.
При этом сохраняется доступ к сети подвижной связи и возможность вызова абонентом экстренных (оперативных) служб.
В случае не устранения такого нарушения в течение 6 месяцев со дня получения абонентом от оператора связи уведомления в письменной форме о намерении приостановить оказание услуг связи оператор связи в одностороннем порядке вправе расторгнуть договор.
Помните! Оператор связи вправе оказывать абоненту те услуги связи, на оказание которых ему (оператору связи) выдана лицензия.
Основные обязанности операторов связи:
• оказывать пользователям услуги подвижной связи в соответствии с законодательством РФ;
• предоставлять необходимую для заключения и исполнения договора информацию. Указанная информация на русском языке в наглядной и доступной форме бесплатно доводится до сведения абонентов в местах работы с абонентами;
• предоставлять абонентам в своей сети подвижной связи соединения, осуществляемые для предоставления доступа к услугам своих информационно-справочных служб на тех же условиях, что и для предоставления доступа к услугам иных информационно-справочных служб;
• устранять в установленные сроки технические неисправности, препятствующие пользованию услугами подвижной связи;
• извещать абонентов через средства массовой информации о введении новых тарифов на услуги подвижной связи не менее чем за 10 дней до их введения.
Знайте! Данная информация (например, об изменении тарифов) может быть доведена до сведения потребителя через зарегистрированный сайт оператора связи. Это будет являться надлежащим способом доведения до потребителя информации. При этом на сайте должен быть указан номер свидетельства о регистрации.
• возобновлять оказание услуг подвижной связи абоненту в течение 3 дней с даты получения оплаты от абонента или представления абонентом документов, подтверждающих ликвидацию задолженности по оплате услуг подвижной связи (в случае приостановления оказания услуг подвижной связи).
• оператор связи обязан заключить договор, кроме случаев, когда отсутствует техническая возможность оказания абоненту услуг подвижной связи;
• операторы связи обязаны обеспечить соблюдение тайны связи.
Основные права операторов связи:
В случае нарушения потребителем требований, установленных законодательством РФ, в том числе нарушения сроков оплаты оказанных ему услуг связи, определенных условиями договора об оказании услуг связи, оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, за исключением случаев, установленных настоящим законодательством РФ.
При этом сохраняется доступ к сети подвижной связи и возможность вызова абонентом экстренных (оперативных) служб.
В случае не устранения такого нарушения в течение 6 месяцев со дня получения абонентом от оператора связи уведомления в письменной форме о намерении приостановить оказание услуг связи оператор связи в одностороннем порядке вправе расторгнуть договор.
Помните! Оператор связи вправе оказывать абоненту те услуги связи, на оказание которых ему (оператору связи) выдана лицензия.
Основные обязанности операторов связи:
• оказывать пользователям услуги подвижной связи в соответствии с законодательством РФ;
• предоставлять необходимую для заключения и исполнения договора информацию. Указанная информация на русском языке в наглядной и доступной форме бесплатно доводится до сведения абонентов в местах работы с абонентами;
• предоставлять абонентам в своей сети подвижной связи соединения, осуществляемые для предоставления доступа к услугам своих информационно-справочных служб на тех же условиях, что и для предоставления доступа к услугам иных информационно-справочных служб;
• устранять в установленные сроки технические неисправности, препятствующие пользованию услугами подвижной связи;
• извещать абонентов через средства массовой информации о введении новых тарифов на услуги подвижной связи не менее чем за 10 дней до их введения.
Знайте! Данная информация (например, об изменении тарифов) может быть доведена до сведения потребителя через зарегистрированный сайт оператора связи. Это будет являться надлежащим способом доведения до потребителя информации. При этом на сайте должен быть указан номер свидетельства о регистрации.
• возобновлять оказание услуг подвижной связи абоненту в течение 3 дней с даты получения оплаты от абонента или представления абонентом документов, подтверждающих ликвидацию задолженности по оплате услуг подвижной связи (в случае приостановления оказания услуг подвижной связи).
• оператор связи обязан заключить договор, кроме случаев, когда отсутствует техническая возможность оказания абоненту услуг подвижной связи;
• операторы связи обязаны обеспечить соблюдение тайны связи.
Основные права операторов связи:
В случае нарушения потребителем требований, установленных законодательством РФ, в том числе нарушения сроков оплаты оказанных ему услуг связи, определенных условиями договора об оказании услуг связи, оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, за исключением случаев, установленных настоящим законодательством РФ.
При этом сохраняется доступ к сети подвижной связи и возможность вызова абонентом экстренных (оперативных) служб.
В случае не устранения такого нарушения в течение 6 месяцев со дня получения абонентом от оператора связи уведомления в письменной форме о намерении приостановить оказание услуг связи оператор связи в одностороннем порядке вправе расторгнуть договор.
Помните! Оператор связи вправе оказывать абоненту те услуги связи, на оказание которых ему (оператору связи) выдана лицензия.
Основные обязанности операторов связи:
• оказывать пользователям услуги подвижной связи в соответствии с законодательством РФ;
• предоставлять необходимую для заключения и исполнения договора информацию. Указанная информация на русском языке в наглядной и доступной форме бесплатно доводится до сведения абонентов в местах работы с абонентами;
• предоставлять абонентам в своей сети подвижной связи соединения, осуществляемые для предоставления доступа к услугам своих информационно-справочных служб на тех же условиях, что и для предоставления доступа к услугам иных информационно-справочных служб;
• устранять в установленные сроки технические неисправности, препятствующие пользованию услугами подвижной связи;
• извещать абонентов через средства массовой информации о введении новых тарифов на услуги подвижной связи не менее чем за 10 дней до их введения.
Знайте! Данная информация (например, об изменении тарифов) может быть доведена до сведения потребителя через зарегистрированный сайт оператора связи. Это будет являться надлежащим способом доведения до потребителя информации. При этом на сайте должен быть указан номер свидетельства о регистрации.
• возобновлять оказание услуг подвижной связи абоненту в течение 3 дней с даты получения оплаты от абонента или представления абонентом документов, подтверждающих ликвидацию задолженности по оплате услуг подвижной связи (в случае приостановления оказания услуг подвижной связи).
• оператор связи обязан заключить договор, кроме случаев, когда отсутствует техническая возможность оказания абоненту услуг подвижной связи;
• операторы связи обязаны обеспечить соблюдение тайны связи.
Основные права операторов связи:
В случае нарушения потребителем требований, установленных законодательством РФ, в том числе нарушения сроков оплаты оказанных ему услуг связи, определенных условиями договора об оказании услуг связи, оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, за исключением случаев, установленных настоящим законодательством РФ.
При этом сохраняется доступ к сети подвижной связи и возможность вызова абонентом экстренных (оперативных) служб.
В случае не устранения такого нарушения в течение 6 месяцев со дня получения абонентом от оператора связи уведомления в письменной форме о намерении приостановить оказание услуг связи оператор связи в одностороннем порядке вправе расторгнуть договор.
Помните! Оператор связи вправе оказывать абоненту те услуги связи, на оказание которых ему (оператору связи) выдана лицензия.
Основные обязанности операторов связи:
• оказывать пользователям услуги подвижной связи в соответствии с законодательством РФ;
• предоставлять необходимую для заключения и исполнения договора информацию. Указанная информация на русском языке в наглядной и доступной форме бесплатно доводится до сведения абонентов в местах работы с абонентами;
• предоставлять абонентам в своей сети подвижной связи соединения, осуществляемые для предоставления доступа к услугам своих информационно-справочных служб на тех же условиях, что и для предоставления доступа к услугам иных информационно-справочных служб;
• устранять в установленные сроки технические неисправности, препятствующие пользованию услугами подвижной связи;
• извещать абонентов через средства массовой информации о введении новых тарифов на услуги подвижной связи не менее чем за 10 дней до их введения.
Знайте! Данная информация (например, об изменении тарифов) может быть доведена до сведения потребителя через зарегистрированный сайт оператора связи. Это будет являться надлежащим способом доведения до потребителя информации. При этом на сайте должен быть указан номер свидетельства о регистрации.
• возобновлять оказание услуг подвижной связи абоненту в течение 3 дней с даты получения оплаты от абонента или представления абонентом документов, подтверждающих ликвидацию задолженности по оплате услуг подвижной связи (в случае приостановления оказания услуг подвижной связи).
• оператор связи обязан заключить договор, кроме случаев, когда отсутствует техническая возможность оказания абоненту услуг подвижной связи;
• операторы связи обязаны обеспечить соблюдение тайны связи.
Основные права операторов связи:
В случае нарушения потребителем требований, установленных законодательством РФ, в том числе нарушения сроков оплаты оказанных ему услуг связи, определенных условиями договора об оказании услуг связи, оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, за исключением случаев, установленных настоящим законодательством РФ.
При этом сохраняется доступ к сети подвижной связи и возможность вызова абонентом экстренных (оперативных) служб.
В случае не устранения такого нарушения в течение 6 месяцев со дня получения абонентом от оператора связи уведомления в письменной форме о намерении приостановить оказание услуг связи оператор связи в одностороннем порядке вправе расторгнуть договор.
Помните! Оператор связи вправе оказывать абоненту те услуги связи, на оказание которых ему (оператору связи) выдана лицензия.
Основные обязанности операторов связи:
• оказывать пользователям услуги подвижной связи в соответствии с законодательством РФ;
• предоставлять необходимую для заключения и исполнения договора информацию. Указанная информация на русском языке в наглядной и доступной форме бесплатно доводится до сведения абонентов в местах работы с абонентами;
• предоставлять абонентам в своей сети подвижной связи соединения, осуществляемые для предоставления доступа к услугам своих информационно-справочных служб на тех же условиях, что и для предоставления доступа к услугам иных информационно-справочных служб;
• устранять в установленные сроки технические неисправности, препятствующие пользованию услугами подвижной связи;
• извещать абонентов через средства массовой информации о введении новых тарифов на услуги подвижной связи не менее чем за 10 дней до их введения.
Знайте! Данная информация (например, об изменении тарифов) может быть доведена до сведения потребителя через зарегистрированный сайт оператора связи. Это будет являться надлежащим способом доведения до потребителя информации. При этом на сайте должен быть указан номер свидетельства о регистрации.
• возобновлять оказание услуг подвижной связи абоненту в течение 3 дней с даты получения оплаты от абонента или представления абонентом документов, подтверждающих ликвидацию задолженности по оплате услуг подвижной связи (в случае приостановления оказания услуг подвижной связи).
• оператор связи обязан заключить договор, кроме случаев, когда отсутствует техническая возможность оказания абоненту услуг подвижной связи;
• операторы связи обязаны обеспечить соблюдение тайны связи.
Основные права операторов связи:
В случае нарушения потребителем требований, установленных законодательством РФ, в том числе нарушения сроков оплаты оказанных ему услуг связи, определенных условиями договора об оказании услуг связи, оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, за исключением случаев, установленных настоящим законодательством РФ.
При этом сохраняется доступ к сети подвижной связи и возможность вызова абонентом экстренных (оперативных) служб.
В случае не устранения такого нарушения в течение 6 месяцев со дня получения абонентом от оператора связи уведомления в письменной форме о намерении приостановить оказание услуг связи оператор связи в одностороннем порядке вправе расторгнуть договор.
Помните! Оператор связи вправе оказывать абоненту те услуги связи, на оказание которых ему (оператору связи) выдана лицензия.
Основные обязанности операторов связи:
• оказывать пользователям услуги подвижной связи в соответствии с законодательством РФ;
• предоставлять необходимую для заключения и исполнения договора информацию. Указанная информация на русском языке в наглядной и доступной форме бесплатно доводится до сведения абонентов в местах работы с абонентами;
• предоставлять абонентам в своей сети подвижной связи соединения, осуществляемые для предоставления доступа к услугам своих информационно-справочных служб на тех же условиях, что и для предоставления доступа к услугам иных информационно-справочных служб;
• устранять в установленные сроки технические неисправности, препятствующие пользованию услугами подвижной связи;
• извещать абонентов через средства массовой информации о введении новых тарифов на услуги подвижной связи не менее чем за 10 дней до их введения.
Знайте! Данная информация (например, об изменении тарифов) может быть доведена до сведения потребителя через зарегистрированный сайт оператора связи. Это будет являться надлежащим способом доведения до потребителя информации. При этом на сайте должен быть указан номер свидетельства о регистрации.
• возобновлять оказание услуг подвижной связи абоненту в течение 3 дней с даты получения оплаты от абонента или представления абонентом документов, подтверждающих ликвидацию задолженности по оплате услуг подвижной связи (в случае приостановления оказания услуг подвижной связи).
• оператор связи обязан заключить договор, кроме случаев, когда отсутствует техническая возможность оказания абоненту услуг подвижной связи;
• операторы связи обязаны обеспечить соблюдение тайны связи.
Основные права операторов связи:
В случае нарушения потребителем требований, установленных законодательством РФ, в том числе нарушения сроков оплаты оказанных ему услуг связи, определенных условиями договора об оказании услуг связи, оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, за исключением случаев, установленных настоящим законодательством РФ.
При этом сохраняется доступ к сети подвижной связи и возможность вызова абонентом экстренных (оперативных) служб.
В случае не устранения такого нарушения в течение 6 месяцев со дня получения абонентом от оператора связи уведомления в письменной форме о намерении приостановить оказание услуг связи оператор связи в одностороннем порядке вправе расторгнуть договор.
Помните! Оператор связи вправе оказывать абоненту те услуги связи, на оказание которых ему (оператору связи) выдана лицензия.
4. Основные права и обязанности субъектов персональных данных
4.1. Субъекты персональных данных имеют право:
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
Обязанности оператора персональных данных с 1 сентября 2022 года 8 сентября 2022 11 756 4 ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года. В этой статье: Общие требования Контроль (надзор) за деятельностью оператора Выполнение требований 152-ФЗ Соблюдение прав субъектов ПД Ответственность оператора Общие требования Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). Что изменилось в обработке персональных данных с 1 сентября Условно требования можно разделить на три группы: Сделать свои действия прозрачными для государственного контроля. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД. Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ. Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки Отчитаться Контроль (надзор) за деятельностью оператора Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ: в ГИС, созданных для защиты безопасности государства и общественного порядка; исключительно без средств автоматизации; для обеспечения транспортной безопасности. Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ): до 1 марта 2023 года — в течение 10 рабочих дней; с 1 марта 2023 года — до 15-го числа следующего месяца. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор: не позднее 24-х часов — об утечке ПД; через 72 часа — о результатах расследования происшествия. В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ). Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний. В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей. Выполнение требований 152-ФЗ Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности: принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); проводят внутренний аудит; оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами; ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами. Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. Также юрлица издают Политику оператора и внутренние документы по обработке ПД. В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ). С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки: категории и перечень ПД; категории субъектов; способы, сроки обработки и хранения; порядок уничтожения ПД при достижении целей. Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ). Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется. Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте. Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так: Политика обработки ПД. Приказ о назначении ответственного за организацию работ. Реестр персональных данных. Положение о защите ПД работников. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора. Положение о работе с персональными данными. Регламент взаимодействия с ГосСОПКА. Соблюдение прав субъектов ПД Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора: Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ). Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ). С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ). Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ). Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).
5. Оператор может обрабатывать следующие персональные данные Пользователя
5.1.Бондаренко Ольга Васильевна
5.2. bondarencko.0lga@yandex.ru
5.3. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и других).
5.4. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.
6. Принципы обработки персональных данных
6.1. Обработка персональных данных осуществляется на законной и справедливой основе.
СВЯЗИ Обработка персональных данных операторами связи Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее –Федеральный закон о персональных данных) обязывает всех юридических лиц соблюдать определенные требования при обработке персональных данных работников и абонентов. В соответствии с ч. 1 ст. 53 Федерального закона от 07.07.2003 № 126 «О связи»Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами. Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи. Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона о персональных данныхобработку персональных данных абонента-гражданина третьим лицам. В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется. Не требуется согласие пользователя услугами связи абонента - юридического лица либо индивидуального предпринимателя на передачу таким абонентом его персональных данных оператору связи в соответствии с настоящим Федеральным законом. Согласно ч.2 ст.53 Федерального закона от 07.07.2003 № 126 "О связи" в целях информационного справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: - Фамилия, имя, отчество,абонентский номер абонента-гражданина (с его письменного согласия); - Наименование (фирменное наименование) абонентский номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. Согласно ч.2 ст. 53 Федерального закона от 07.07.2003 № 126 "О связи" В целях информационно-справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: фамилия, имя, отчество, абонентские номера абонента-гражданина (с его письменного согласия); наименование (фирменное наименование), абонентские номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. По требованию в письменной форме абонента сведения об абоненте незамедлительно должны уточняться оператором связи. Сведения об абоненте-гражданине должны быть исключены в любое время из общедоступной базы данных об абонентах по его требованию либо по решению суда или иных уполномоченных государственных органов Российской Федерации. На основании ч.2 ст. 45 Федерального закона от 07.07.2003 № 126 "О связи" договор об оказании услуг связи, заключаемый с гражданами, является публичным договором.Условия такого договора должны соответствовать правилам оказания услуг связи. Правила оказания услуг местной, внутризоновой, междугородной и международной телефонной связи утвержденыпостановлением Правительства Российской Федерацииот 09.12.2014 № 1342«Опорядке оказания услуг телефонной связи»(далее - Правила оказания услуг телефонной связи) регулируют отношения между абонентом и пользователем услугами телефонной связи и оператором связи. Что такое персональные данные абонента? Согласно п.1 ст.3 Федерального закона о персональных данных персональными данными является любая информация,относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Под оператором персональных данных, согласно п.2 ст. 3 Закона о персональных данных, понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.Таким образом, организации связи подпадают под категорию операторов, занимающихся обработкой персональных данных. Согласие абонента на обработку персональных данных Обработка персональных данных может осуществляться оператором связи с согласия субъекта персональных данных, а также по иным основаниям, предусмотренным законом о персональных данных. Так обработка персональных данных, осуществляемаяоператором связи, возможна для исполнения договора, стороной которого либо выгодоприобретателем илипоручителемпо которому является субъект персональных данных. На это указывает п. 5 ч.1 ст.6 Федерального закона о персональных данных. Специальные нормы, касающиеся непосредственно операторов связи, содержится также в Правилах оказания услуг телефонной связи. Так, например, при заключении с оператором-реципиентом договора об оказании услуг подвижной радиотелефонной связи абонент даёт согласие на обработку персональных данных абонента при перенесении абонентского номера, в том числе третьими лицами. А в целях осуществления оператором связи расчетов за оказанные услуги связи, а также рассмотрения претензий, согласие абонента-гражданина на обработку его персональных данных не требуется. Права и обязанности оператора персональных данных. Какие нормативные документы должны быть приняты в организации? Оператор связи при обработке персональных данных обязан принимать меры, необходимые и достаточны для обеспечения выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными актами, в том числе необходимые правовые, организационные и технические мерыдля защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления,распространения персональных данных, а также, от неправомерных действий в отношении персональных данных. Согласно статье 7 Федерального законао персональных данных. Операторы и иные лица, получившие доступ к персональным данным,обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных установлены приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Права и обязанности субъекта персональных данных Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1)подтверждение факта обработки персональных данных оператором; 2)правовые основания и цели обработки персональных данных; 3)цели и принимаемые оператором способы обработки персональных данных; 4)наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона, 5)обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6)сроки обработки персональных данных, в том числе их хранения; 7)порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных; 8)информацию об осуществленной или иной предполагаемой трансграничной передачи данных; 9)фамилию, имя отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10)иные сведения, предусмотренные Федеральным законом о персональных данных и иными федеральными законами. Уведомление уполномоченного органа В соответствии с частью 1 статьи 22 Федерального закона о персональных данных оператор связи до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Возможность для оператора осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных имеет место исключительно в тех случаях, которые предусмотрены ч.2 ст.22 Федерального законао персональных данных
СВЯЗИ Обработка персональных данных операторами связи Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее –Федеральный закон о персональных данных) обязывает всех юридических лиц соблюдать определенные требования при обработке персональных данных работников и абонентов. В соответствии с ч. 1 ст. 53 Федерального закона от 07.07.2003 № 126 «О связи»Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами. Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи. Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона о персональных данныхобработку персональных данных абонента-гражданина третьим лицам. В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется. Не требуется согласие пользователя услугами связи абонента - юридического лица либо индивидуального предпринимателя на передачу таким абонентом его персональных данных оператору связи в соответствии с настоящим Федеральным законом. Согласно ч.2 ст.53 Федерального закона от 07.07.2003 № 126 "О связи" в целях информационного справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: - Фамилия, имя, отчество,абонентский номер абонента-гражданина (с его письменного согласия); - Наименование (фирменное наименование) абонентский номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. Согласно ч.2 ст. 53 Федерального закона от 07.07.2003 № 126 "О связи" В целях информационно-справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: фамилия, имя, отчество, абонентские номера абонента-гражданина (с его письменного согласия); наименование (фирменное наименование), абонентские номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. По требованию в письменной форме абонента сведения об абоненте незамедлительно должны уточняться оператором связи. Сведения об абоненте-гражданине должны быть исключены в любое время из общедоступной базы данных об абонентах по его требованию либо по решению суда или иных уполномоченных государственных органов Российской Федерации. На основании ч.2 ст. 45 Федерального закона от 07.07.2003 № 126 "О связи" договор об оказании услуг связи, заключаемый с гражданами, является публичным договором.Условия такого договора должны соответствовать правилам оказания услуг связи. Правила оказания услуг местной, внутризоновой, междугородной и международной телефонной связи утвержденыпостановлением Правительства Российской Федерацииот 09.12.2014 № 1342«Опорядке оказания услуг телефонной связи»(далее - Правила оказания услуг телефонной связи) регулируют отношения между абонентом и пользователем услугами телефонной связи и оператором связи. Что такое персональные данные абонента? Согласно п.1 ст.3 Федерального закона о персональных данных персональными данными является любая информация,относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Под оператором персональных данных, согласно п.2 ст. 3 Закона о персональных данных, понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.Таким образом, организации связи подпадают под категорию операторов, занимающихся обработкой персональных данных. Согласие абонента на обработку персональных данных Обработка персональных данных может осуществляться оператором связи с согласия субъекта персональных данных, а также по иным основаниям, предусмотренным законом о персональных данных. Так обработка персональных данных, осуществляемаяоператором связи, возможна для исполнения договора, стороной которого либо выгодоприобретателем илипоручителемпо которому является субъект персональных данных. На это указывает п. 5 ч.1 ст.6 Федерального закона о персональных данных. Специальные нормы, касающиеся непосредственно операторов связи, содержится также в Правилах оказания услуг телефонной связи. Так, например, при заключении с оператором-реципиентом договора об оказании услуг подвижной радиотелефонной связи абонент даёт согласие на обработку персональных данных абонента при перенесении абонентского номера, в том числе третьими лицами. А в целях осуществления оператором связи расчетов за оказанные услуги связи, а также рассмотрения претензий, согласие абонента-гражданина на обработку его персональных данных не требуется. Права и обязанности оператора персональных данных. Какие нормативные документы должны быть приняты в организации? Оператор связи при обработке персональных данных обязан принимать меры, необходимые и достаточны для обеспечения выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными актами, в том числе необходимые правовые, организационные и технические мерыдля защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления,распространения персональных данных, а также, от неправомерных действий в отношении персональных данных. Согласно статье 7 Федерального законао персональных данных. Операторы и иные лица, получившие доступ к персональным данным,обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных установлены приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Права и обязанности субъекта персональных данных Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1)подтверждение факта обработки персональных данных оператором; 2)правовые основания и цели обработки персональных данных; 3)цели и принимаемые оператором способы обработки персональных данных; 4)наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона, 5)обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6)сроки обработки персональных данных, в том числе их хранения; 7)порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных; 8)информацию об осуществленной или иной предполагаемой трансграничной передачи данных; 9)фамилию, имя отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10)иные сведения, предусмотренные Федеральным законом о персональных данных и иными федеральными законами. Уведомление уполномоченного органа В соответствии с частью 1 статьи 22 Федерального закона о персональных данных оператор связи до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Возможность для оператора осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных имеет место исключительно в тех случаях, которые предусмотрены ч.2 ст.22 Федерального законао персональных данных
СВЯЗИ Обработка персональных данных операторами связи Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее –Федеральный закон о персональных данных) обязывает всех юридических лиц соблюдать определенные требования при обработке персональных данных работников и абонентов. В соответствии с ч. 1 ст. 53 Федерального закона от 07.07.2003 № 126 «О связи»Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами. Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи. Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона о персональных данныхобработку персональных данных абонента-гражданина третьим лицам. В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется. Не требуется согласие пользователя услугами связи абонента - юридического лица либо индивидуального предпринимателя на передачу таким абонентом его персональных данных оператору связи в соответствии с настоящим Федеральным законом. Согласно ч.2 ст.53 Федерального закона от 07.07.2003 № 126 "О связи" в целях информационного справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: - Фамилия, имя, отчество,абонентский номер абонента-гражданина (с его письменного согласия); - Наименование (фирменное наименование) абонентский номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. Согласно ч.2 ст. 53 Федерального закона от 07.07.2003 № 126 "О связи" В целях информационно-справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: фамилия, имя, отчество, абонентские номера абонента-гражданина (с его письменного согласия); наименование (фирменное наименование), абонентские номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. По требованию в письменной форме абонента сведения об абоненте незамедлительно должны уточняться оператором связи. Сведения об абоненте-гражданине должны быть исключены в любое время из общедоступной базы данных об абонентах по его требованию либо по решению суда или иных уполномоченных государственных органов Российской Федерации. На основании ч.2 ст. 45 Федерального закона от 07.07.2003 № 126 "О связи" договор об оказании услуг связи, заключаемый с гражданами, является публичным договором.Условия такого договора должны соответствовать правилам оказания услуг связи. Правила оказания услуг местной, внутризоновой, междугородной и международной телефонной связи утвержденыпостановлением Правительства Российской Федерацииот 09.12.2014 № 1342«Опорядке оказания услуг телефонной связи»(далее - Правила оказания услуг телефонной связи) регулируют отношения между абонентом и пользователем услугами телефонной связи и оператором связи. Что такое персональные данные абонента? Согласно п.1 ст.3 Федерального закона о персональных данных персональными данными является любая информация,относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Под оператором персональных данных, согласно п.2 ст. 3 Закона о персональных данных, понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.Таким образом, организации связи подпадают под категорию операторов, занимающихся обработкой персональных данных. Согласие абонента на обработку персональных данных Обработка персональных данных может осуществляться оператором связи с согласия субъекта персональных данных, а также по иным основаниям, предусмотренным законом о персональных данных. Так обработка персональных данных, осуществляемаяоператором связи, возможна для исполнения договора, стороной которого либо выгодоприобретателем илипоручителемпо которому является субъект персональных данных. На это указывает п. 5 ч.1 ст.6 Федерального закона о персональных данных. Специальные нормы, касающиеся непосредственно операторов связи, содержится также в Правилах оказания услуг телефонной связи. Так, например, при заключении с оператором-реципиентом договора об оказании услуг подвижной радиотелефонной связи абонент даёт согласие на обработку персональных данных абонента при перенесении абонентского номера, в том числе третьими лицами. А в целях осуществления оператором связи расчетов за оказанные услуги связи, а также рассмотрения претензий, согласие абонента-гражданина на обработку его персональных данных не требуется. Права и обязанности оператора персональных данных. Какие нормативные документы должны быть приняты в организации? Оператор связи при обработке персональных данных обязан принимать меры, необходимые и достаточны для обеспечения выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными актами, в том числе необходимые правовые, организационные и технические мерыдля защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления,распространения персональных данных, а также, от неправомерных действий в отношении персональных данных. Согласно статье 7 Федерального законао персональных данных. Операторы и иные лица, получившие доступ к персональным данным,обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных установлены приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Права и обязанности субъекта персональных данных Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1)подтверждение факта обработки персональных данных оператором; 2)правовые основания и цели обработки персональных данных; 3)цели и принимаемые оператором способы обработки персональных данных; 4)наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона, 5)обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6)сроки обработки персональных данных, в том числе их хранения; 7)порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных; 8)информацию об осуществленной или иной предполагаемой трансграничной передачи данных; 9)фамилию, имя отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10)иные сведения, предусмотренные Федеральным законом о персональных данных и иными федеральными законами. Уведомление уполномоченного органа В соответствии с частью 1 статьи 22 Федерального закона о персональных данных оператор связи до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Возможность для оператора осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных имеет место исключительно в тех случаях, которые предусмотрены ч.2 ст.22 Федерального законао персональных данных
СВЯЗИ Обработка персональных данных операторами связи Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее –Федеральный закон о персональных данных) обязывает всех юридических лиц соблюдать определенные требования при обработке персональных данных работников и абонентов. В соответствии с ч. 1 ст. 53 Федерального закона от 07.07.2003 № 126 «О связи»Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами. Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи. Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона о персональных данныхобработку персональных данных абонента-гражданина третьим лицам. В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется. Не требуется согласие пользователя услугами связи абонента - юридического лица либо индивидуального предпринимателя на передачу таким абонентом его персональных данных оператору связи в соответствии с настоящим Федеральным законом. Согласно ч.2 ст.53 Федерального закона от 07.07.2003 № 126 "О связи" в целях информационного справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: - Фамилия, имя, отчество,абонентский номер абонента-гражданина (с его письменного согласия); - Наименование (фирменное наименование) абонентский номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. Согласно ч.2 ст. 53 Федерального закона от 07.07.2003 № 126 "О связи" В целях информационно-справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: фамилия, имя, отчество, абонентские номера абонента-гражданина (с его письменного согласия); наименование (фирменное наименование), абонентские номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. По требованию в письменной форме абонента сведения об абоненте незамедлительно должны уточняться оператором связи. Сведения об абоненте-гражданине должны быть исключены в любое время из общедоступной базы данных об абонентах по его требованию либо по решению суда или иных уполномоченных государственных органов Российской Федерации. На основании ч.2 ст. 45 Федерального закона от 07.07.2003 № 126 "О связи" договор об оказании услуг связи, заключаемый с гражданами, является публичным договором.Условия такого договора должны соответствовать правилам оказания услуг связи. Правила оказания услуг местной, внутризоновой, междугородной и международной телефонной связи утвержденыпостановлением Правительства Российской Федерацииот 09.12.2014 № 1342«Опорядке оказания услуг телефонной связи»(далее - Правила оказания услуг телефонной связи) регулируют отношения между абонентом и пользователем услугами телефонной связи и оператором связи. Что такое персональные данные абонента? Согласно п.1 ст.3 Федерального закона о персональных данных персональными данными является любая информация,относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Под оператором персональных данных, согласно п.2 ст. 3 Закона о персональных данных, понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.Таким образом, организации связи подпадают под категорию операторов, занимающихся обработкой персональных данных. Согласие абонента на обработку персональных данных Обработка персональных данных может осуществляться оператором связи с согласия субъекта персональных данных, а также по иным основаниям, предусмотренным законом о персональных данных. Так обработка персональных данных, осуществляемаяоператором связи, возможна для исполнения договора, стороной которого либо выгодоприобретателем илипоручителемпо которому является субъект персональных данных. На это указывает п. 5 ч.1 ст.6 Федерального закона о персональных данных. Специальные нормы, касающиеся непосредственно операторов связи, содержится также в Правилах оказания услуг телефонной связи. Так, например, при заключении с оператором-реципиентом договора об оказании услуг подвижной радиотелефонной связи абонент даёт согласие на обработку персональных данных абонента при перенесении абонентского номера, в том числе третьими лицами. А в целях осуществления оператором связи расчетов за оказанные услуги связи, а также рассмотрения претензий, согласие абонента-гражданина на обработку его персональных данных не требуется. Права и обязанности оператора персональных данных. Какие нормативные документы должны быть приняты в организации? Оператор связи при обработке персональных данных обязан принимать меры, необходимые и достаточны для обеспечения выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными актами, в том числе необходимые правовые, организационные и технические мерыдля защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления,распространения персональных данных, а также, от неправомерных действий в отношении персональных данных. Согласно статье 7 Федерального законао персональных данных. Операторы и иные лица, получившие доступ к персональным данным,обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных установлены приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Права и обязанности субъекта персональных данных Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1)подтверждение факта обработки персональных данных оператором; 2)правовые основания и цели обработки персональных данных; 3)цели и принимаемые оператором способы обработки персональных данных; 4)наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона, 5)обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6)сроки обработки персональных данных, в том числе их хранения; 7)порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных; 8)информацию об осуществленной или иной предполагаемой трансграничной передачи данных; 9)фамилию, имя отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10)иные сведения, предусмотренные Федеральным законом о персональных данных и иными федеральными законами. Уведомление уполномоченного органа В соответствии с частью 1 статьи 22 Федерального закона о персональных данных оператор связи до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Возможность для оператора осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных имеет место исключительно в тех случаях, которые предусмотрены ч.2 ст.22 Федерального законао персональных данных
СВЯЗИ Обработка персональных данных операторами связи Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее –Федеральный закон о персональных данных) обязывает всех юридических лиц соблюдать определенные требования при обработке персональных данных работников и абонентов. В соответствии с ч. 1 ст. 53 Федерального закона от 07.07.2003 № 126 «О связи»Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами. Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи. Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона о персональных данныхобработку персональных данных абонента-гражданина третьим лицам. В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется. Не требуется согласие пользователя услугами связи абонента - юридического лица либо индивидуального предпринимателя на передачу таким абонентом его персональных данных оператору связи в соответствии с настоящим Федеральным законом. Согласно ч.2 ст.53 Федерального закона от 07.07.2003 № 126 "О связи" в целях информационного справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: - Фамилия, имя, отчество,абонентский номер абонента-гражданина (с его письменного согласия); - Наименование (фирменное наименование) абонентский номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. Согласно ч.2 ст. 53 Федерального закона от 07.07.2003 № 126 "О связи" В целях информационно-справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: фамилия, имя, отчество, абонентские номера абонента-гражданина (с его письменного согласия); наименование (фирменное наименование), абонентские номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. По требованию в письменной форме абонента сведения об абоненте незамедлительно должны уточняться оператором связи. Сведения об абоненте-гражданине должны быть исключены в любое время из общедоступной базы данных об абонентах по его требованию либо по решению суда или иных уполномоченных государственных органов Российской Федерации. На основании ч.2 ст. 45 Федерального закона от 07.07.2003 № 126 "О связи" договор об оказании услуг связи, заключаемый с гражданами, является публичным договором.Условия такого договора должны соответствовать правилам оказания услуг связи. Правила оказания услуг местной, внутризоновой, междугородной и международной телефонной связи утвержденыпостановлением Правительства Российской Федерацииот 09.12.2014 № 1342«Опорядке оказания услуг телефонной связи»(далее - Правила оказания услуг телефонной связи) регулируют отношения между абонентом и пользователем услугами телефонной связи и оператором связи. Что такое персональные данные абонента? Согласно п.1 ст.3 Федерального закона о персональных данных персональными данными является любая информация,относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Под оператором персональных данных, согласно п.2 ст. 3 Закона о персональных данных, понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.Таким образом, организации связи подпадают под категорию операторов, занимающихся обработкой персональных данных. Согласие абонента на обработку персональных данных Обработка персональных данных может осуществляться оператором связи с согласия субъекта персональных данных, а также по иным основаниям, предусмотренным законом о персональных данных. Так обработка персональных данных, осуществляемаяоператором связи, возможна для исполнения договора, стороной которого либо выгодоприобретателем илипоручителемпо которому является субъект персональных данных. На это указывает п. 5 ч.1 ст.6 Федерального закона о персональных данных. Специальные нормы, касающиеся непосредственно операторов связи, содержится также в Правилах оказания услуг телефонной связи. Так, например, при заключении с оператором-реципиентом договора об оказании услуг подвижной радиотелефонной связи абонент даёт согласие на обработку персональных данных абонента при перенесении абонентского номера, в том числе третьими лицами. А в целях осуществления оператором связи расчетов за оказанные услуги связи, а также рассмотрения претензий, согласие абонента-гражданина на обработку его персональных данных не требуется. Права и обязанности оператора персональных данных. Какие нормативные документы должны быть приняты в организации? Оператор связи при обработке персональных данных обязан принимать меры, необходимые и достаточны для обеспечения выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными актами, в том числе необходимые правовые, организационные и технические мерыдля защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления,распространения персональных данных, а также, от неправомерных действий в отношении персональных данных. Согласно статье 7 Федерального законао персональных данных. Операторы и иные лица, получившие доступ к персональным данным,обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных установлены приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Права и обязанности субъекта персональных данных Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1)подтверждение факта обработки персональных данных оператором; 2)правовые основания и цели обработки персональных данных; 3)цели и принимаемые оператором способы обработки персональных данных; 4)наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона, 5)обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6)сроки обработки персональных данных, в том числе их хранения; 7)порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных; 8)информацию об осуществленной или иной предполагаемой трансграничной передачи данных; 9)фамилию, имя отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10)иные сведения, предусмотренные Федеральным законом о персональных данных и иными федеральными законами. Уведомление уполномоченного органа В соответствии с частью 1 статьи 22 Федерального закона о персональных данных оператор связи до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Возможность для оператора осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных имеет место исключительно в тех случаях, которые предусмотрены ч.2 ст.22 Федерального законао персональных данных
СВЯЗИ Обработка персональных данных операторами связи Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее –Федеральный закон о персональных данных) обязывает всех юридических лиц соблюдать определенные требования при обработке персональных данных работников и абонентов. В соответствии с ч. 1 ст. 53 Федерального закона от 07.07.2003 № 126 «О связи»Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами. Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи. Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона о персональных данныхобработку персональных данных абонента-гражданина третьим лицам. В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется. Не требуется согласие пользователя услугами связи абонента - юридического лица либо индивидуального предпринимателя на передачу таким абонентом его персональных данных оператору связи в соответствии с настоящим Федеральным законом. Согласно ч.2 ст.53 Федерального закона от 07.07.2003 № 126 "О связи" в целях информационного справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: - Фамилия, имя, отчество,абонентский номер абонента-гражданина (с его письменного согласия); - Наименование (фирменное наименование) абонентский номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. Согласно ч.2 ст. 53 Федерального закона от 07.07.2003 № 126 "О связи" В целях информационно-справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: фамилия, имя, отчество, абонентские номера абонента-гражданина (с его письменного согласия); наименование (фирменное наименование), абонентские номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. По требованию в письменной форме абонента сведения об абоненте незамедлительно должны уточняться оператором связи. Сведения об абоненте-гражданине должны быть исключены в любое время из общедоступной базы данных об абонентах по его требованию либо по решению суда или иных уполномоченных государственных органов Российской Федерации. На основании ч.2 ст. 45 Федерального закона от 07.07.2003 № 126 "О связи" договор об оказании услуг связи, заключаемый с гражданами, является публичным договором.Условия такого договора должны соответствовать правилам оказания услуг связи. Правила оказания услуг местной, внутризоновой, междугородной и международной телефонной связи утвержденыпостановлением Правительства Российской Федерацииот 09.12.2014 № 1342«Опорядке оказания услуг телефонной связи»(далее - Правила оказания услуг телефонной связи) регулируют отношения между абонентом и пользователем услугами телефонной связи и оператором связи. Что такое персональные данные абонента? Согласно п.1 ст.3 Федерального закона о персональных данных персональными данными является любая информация,относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Под оператором персональных данных, согласно п.2 ст. 3 Закона о персональных данных, понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.Таким образом, организации связи подпадают под категорию операторов, занимающихся обработкой персональных данных. Согласие абонента на обработку персональных данных Обработка персональных данных может осуществляться оператором связи с согласия субъекта персональных данных, а также по иным основаниям, предусмотренным законом о персональных данных. Так обработка персональных данных, осуществляемаяоператором связи, возможна для исполнения договора, стороной которого либо выгодоприобретателем илипоручителемпо которому является субъект персональных данных. На это указывает п. 5 ч.1 ст.6 Федерального закона о персональных данных. Специальные нормы, касающиеся непосредственно операторов связи, содержится также в Правилах оказания услуг телефонной связи. Так, например, при заключении с оператором-реципиентом договора об оказании услуг подвижной радиотелефонной связи абонент даёт согласие на обработку персональных данных абонента при перенесении абонентского номера, в том числе третьими лицами. А в целях осуществления оператором связи расчетов за оказанные услуги связи, а также рассмотрения претензий, согласие абонента-гражданина на обработку его персональных данных не требуется. Права и обязанности оператора персональных данных. Какие нормативные документы должны быть приняты в организации? Оператор связи при обработке персональных данных обязан принимать меры, необходимые и достаточны для обеспечения выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными актами, в том числе необходимые правовые, организационные и технические мерыдля защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления,распространения персональных данных, а также, от неправомерных действий в отношении персональных данных. Согласно статье 7 Федерального законао персональных данных. Операторы и иные лица, получившие доступ к персональным данным,обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных установлены приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Права и обязанности субъекта персональных данных Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1)подтверждение факта обработки персональных данных оператором; 2)правовые основания и цели обработки персональных данных; 3)цели и принимаемые оператором способы обработки персональных данных; 4)наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона, 5)обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6)сроки обработки персональных данных, в том числе их хранения; 7)порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных; 8)информацию об осуществленной или иной предполагаемой трансграничной передачи данных; 9)фамилию, имя отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10)иные сведения, предусмотренные Федеральным законом о персональных данных и иными федеральными законами. Уведомление уполномоченного органа В соответствии с частью 1 статьи 22 Федерального закона о персональных данных оператор связи до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Возможность для оператора осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных имеет место исключительно в тех случаях, которые предусмотрены ч.2 ст.22 Федерального законао персональных данных
СВЯЗИ Обработка персональных данных операторами связи Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее –Федеральный закон о персональных данных) обязывает всех юридических лиц соблюдать определенные требования при обработке персональных данных работников и абонентов. В соответствии с ч. 1 ст. 53 Федерального закона от 07.07.2003 № 126 «О связи»Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами. Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи. Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона о персональных данныхобработку персональных данных абонента-гражданина третьим лицам. В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется. Не требуется согласие пользователя услугами связи абонента - юридического лица либо индивидуального предпринимателя на передачу таким абонентом его персональных данных оператору связи в соответствии с настоящим Федеральным законом. Согласно ч.2 ст.53 Федерального закона от 07.07.2003 № 126 "О связи" в целях информационного справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: - Фамилия, имя, отчество,абонентский номер абонента-гражданина (с его письменного согласия); - Наименование (фирменное наименование) абонентский номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. Согласно ч.2 ст. 53 Федерального закона от 07.07.2003 № 126 "О связи" В целях информационно-справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: фамилия, имя, отчество, абонентские номера абонента-гражданина (с его письменного согласия); наименование (фирменное наименование), абонентские номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. По требованию в письменной форме абонента сведения об абоненте незамедлительно должны уточняться оператором связи. Сведения об абоненте-гражданине должны быть исключены в любое время из общедоступной базы данных об абонентах по его требованию либо по решению суда или иных уполномоченных государственных органов Российской Федерации. На основании ч.2 ст. 45 Федерального закона от 07.07.2003 № 126 "О связи" договор об оказании услуг связи, заключаемый с гражданами, является публичным договором.Условия такого договора должны соответствовать правилам оказания услуг связи. Правила оказания услуг местной, внутризоновой, междугородной и международной телефонной связи утвержденыпостановлением Правительства Российской Федерацииот 09.12.2014 № 1342«Опорядке оказания услуг телефонной связи»(далее - Правила оказания услуг телефонной связи) регулируют отношения между абонентом и пользователем услугами телефонной связи и оператором связи. Что такое персональные данные абонента? Согласно п.1 ст.3 Федерального закона о персональных данных персональными данными является любая информация,относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Под оператором персональных данных, согласно п.2 ст. 3 Закона о персональных данных, понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.Таким образом, организации связи подпадают под категорию операторов, занимающихся обработкой персональных данных. Согласие абонента на обработку персональных данных Обработка персональных данных может осуществляться оператором связи с согласия субъекта персональных данных, а также по иным основаниям, предусмотренным законом о персональных данных. Так обработка персональных данных, осуществляемаяоператором связи, возможна для исполнения договора, стороной которого либо выгодоприобретателем илипоручителемпо которому является субъект персональных данных. На это указывает п. 5 ч.1 ст.6 Федерального закона о персональных данных. Специальные нормы, касающиеся непосредственно операторов связи, содержится также в Правилах оказания услуг телефонной связи. Так, например, при заключении с оператором-реципиентом договора об оказании услуг подвижной радиотелефонной связи абонент даёт согласие на обработку персональных данных абонента при перенесении абонентского номера, в том числе третьими лицами. А в целях осуществления оператором связи расчетов за оказанные услуги связи, а также рассмотрения претензий, согласие абонента-гражданина на обработку его персональных данных не требуется. Права и обязанности оператора персональных данных. Какие нормативные документы должны быть приняты в организации? Оператор связи при обработке персональных данных обязан принимать меры, необходимые и достаточны для обеспечения выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными актами, в том числе необходимые правовые, организационные и технические мерыдля защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления,распространения персональных данных, а также, от неправомерных действий в отношении персональных данных. Согласно статье 7 Федерального законао персональных данных. Операторы и иные лица, получившие доступ к персональным данным,обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных установлены приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Права и обязанности субъекта персональных данных Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1)подтверждение факта обработки персональных данных оператором; 2)правовые основания и цели обработки персональных данных; 3)цели и принимаемые оператором способы обработки персональных данных; 4)наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона, 5)обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6)сроки обработки персональных данных, в том числе их хранения; 7)порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных; 8)информацию об осуществленной или иной предполагаемой трансграничной передачи данных; 9)фамилию, имя отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10)иные сведения, предусмотренные Федеральным законом о персональных данных и иными федеральными законами. Уведомление уполномоченного органа В соответствии с частью 1 статьи 22 Федерального закона о персональных данных оператор связи до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Возможность для оператора осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных имеет место исключительно в тех случаях, которые предусмотрены ч.2 ст.22 Федерального законао персональных данных
СВЯЗИ Обработка персональных данных операторами связи Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее –Федеральный закон о персональных данных) обязывает всех юридических лиц соблюдать определенные требования при обработке персональных данных работников и абонентов. В соответствии с ч. 1 ст. 53 Федерального закона от 07.07.2003 № 126 «О связи»Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами. Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи. Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона о персональных данныхобработку персональных данных абонента-гражданина третьим лицам. В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется. Не требуется согласие пользователя услугами связи абонента - юридического лица либо индивидуального предпринимателя на передачу таким абонентом его персональных данных оператору связи в соответствии с настоящим Федеральным законом. Согласно ч.2 ст.53 Федерального закона от 07.07.2003 № 126 "О связи" в целях информационного справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: - Фамилия, имя, отчество,абонентский номер абонента-гражданина (с его письменного согласия); - Наименование (фирменное наименование) абонентский номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. Согласно ч.2 ст. 53 Федерального закона от 07.07.2003 № 126 "О связи" В целях информационно-справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться: фамилия, имя, отчество, абонентские номера абонента-гражданина (с его письменного согласия); наименование (фирменное наименование), абонентские номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица. По требованию в письменной форме абонента сведения об абоненте незамедлительно должны уточняться оператором связи. Сведения об абоненте-гражданине должны быть исключены в любое время из общедоступной базы данных об абонентах по его требованию либо по решению суда или иных уполномоченных государственных органов Российской Федерации. На основании ч.2 ст. 45 Федерального закона от 07.07.2003 № 126 "О связи" договор об оказании услуг связи, заключаемый с гражданами, является публичным договором.Условия такого договора должны соответствовать правилам оказания услуг связи. Правила оказания услуг местной, внутризоновой, междугородной и международной телефонной связи утвержденыпостановлением Правительства Российской Федерацииот 09.12.2014 № 1342«Опорядке оказания услуг телефонной связи»(далее - Правила оказания услуг телефонной связи) регулируют отношения между абонентом и пользователем услугами телефонной связи и оператором связи. Что такое персональные данные абонента? Согласно п.1 ст.3 Федерального закона о персональных данных персональными данными является любая информация,относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Под оператором персональных данных, согласно п.2 ст. 3 Закона о персональных данных, понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.Таким образом, организации связи подпадают под категорию операторов, занимающихся обработкой персональных данных. Согласие абонента на обработку персональных данных Обработка персональных данных может осуществляться оператором связи с согласия субъекта персональных данных, а также по иным основаниям, предусмотренным законом о персональных данных. Так обработка персональных данных, осуществляемаяоператором связи, возможна для исполнения договора, стороной которого либо выгодоприобретателем илипоручителемпо которому является субъект персональных данных. На это указывает п. 5 ч.1 ст.6 Федерального закона о персональных данных. Специальные нормы, касающиеся непосредственно операторов связи, содержится также в Правилах оказания услуг телефонной связи. Так, например, при заключении с оператором-реципиентом договора об оказании услуг подвижной радиотелефонной связи абонент даёт согласие на обработку персональных данных абонента при перенесении абонентского номера, в том числе третьими лицами. А в целях осуществления оператором связи расчетов за оказанные услуги связи, а также рассмотрения претензий, согласие абонента-гражданина на обработку его персональных данных не требуется. Права и обязанности оператора персональных данных. Какие нормативные документы должны быть приняты в организации? Оператор связи при обработке персональных данных обязан принимать меры, необходимые и достаточны для обеспечения выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными актами, в том числе необходимые правовые, организационные и технические мерыдля защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления,распространения персональных данных, а также, от неправомерных действий в отношении персональных данных. Согласно статье 7 Федерального законао персональных данных. Операторы и иные лица, получившие доступ к персональным данным,обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных установлены приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Права и обязанности субъекта персональных данных Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1)подтверждение факта обработки персональных данных оператором; 2)правовые основания и цели обработки персональных данных; 3)цели и принимаемые оператором способы обработки персональных данных; 4)наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона, 5)обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6)сроки обработки персональных данных, в том числе их хранения; 7)порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных; 8)информацию об осуществленной или иной предполагаемой трансграничной передачи данных; 9)фамилию, имя отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10)иные сведения, предусмотренные Федеральным законом о персональных данных и иными федеральными законами. Уведомление уполномоченного органа В соответствии с частью 1 статьи 22 Федерального закона о персональных данных оператор связи до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Возможность для оператора осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных имеет место исключительно в тех случаях, которые предусмотрены ч.2 ст.22 Федерального законао персональных данных
7. Цели обработки персональных данных
7.1. Цель обработки персональных данных Пользователя:
- информирование Пользователя посредством отправки электронных писем;
- предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://site-r00.gosweb.gosuslugi.ru/.
7.2. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
8. Условия обработки персональных данных
Передача ПДн любого сотрудника компании может выполняться, только если есть запрос, поданный государственными органами власти. Такими органами и организациями могут быть: органы правопорядка; МЧС; налоговые инстанции; судебные инстанции; органы безопасности; миграционная служба; военные комиссариаты; органы соцстраха; статистические службы; Пенсионный фонд и другие службы и органы. Но следует учитывать требования законодательства во время предоставления запрашиваемых этими инстанциями документов с ПДн работников. Необходимо получить на выполнение этих действий письменное согласие сотрудников, в отношении которых надо сформировать и передать личные данные. Без наличия такого согласия передавать ПДн субъектов запрещено как по факсу, так и в телефонном режиме, а также по электронной почте и с использованием иных носителей. Исключение составляют случаи, указанные в законодательстве.Передача ПДн любого сотрудника компании может выполняться, только если есть запрос, поданный государственными органами власти. Такими органами и организациями могут быть: органы правопорядка; МЧС; налоговые инстанции; судебные инстанции; органы безопасности; миграционная служба; военные комиссариаты; органы соцстраха; статистические службы; Пенсионный фонд и другие службы и органы. Но следует учитывать требования законодательства во время предоставления запрашиваемых этими инстанциями документов с ПДн работников. Необходимо получить на выполнение этих действий письменное согласие сотрудников, в отношении которых надо сформировать и передать личные данные. Без наличия такого согласия передавать ПДн субъектов запрещено как по факсу, так и в телефонном режиме, а также по электронной почте и с использованием иных носителей. Исключение составляют случаи, указанные в законодательстве.Передача ПДн любого сотрудника компании может выполняться, только если есть запрос, поданный государственными органами власти. Такими органами и организациями могут быть: органы правопорядка; МЧС; налоговые инстанции; судебные инстанции; органы безопасности; миграционная служба; военные комиссариаты; органы соцстраха; статистические службы; Пенсионный фонд и другие службы и органы. Но следует учитывать требования законодательства во время предоставления запрашиваемых этими инстанциями документов с ПДн работников. Необходимо получить на выполнение этих действий письменное согласие сотрудников, в отношении которых надо сформировать и передать личные данные. Без наличия такого согласия передавать ПДн субъектов запрещено как по факсу, так и в телефонном режиме, а также по электронной почте и с использованием иных носителей. Исключение составляют случаи, указанные в законодательстве.Передача ПДн любого сотрудника компании может выполняться, только если есть запрос, поданный государственными органами власти. Такими органами и организациями могут быть: органы правопорядка; МЧС; налоговые инстанции; судебные инстанции; органы безопасности; миграционная служба; военные комиссариаты; органы соцстраха; статистические службы; Пенсионный фонд и другие службы и органы. Но следует учитывать требования законодательства во время предоставления запрашиваемых этими инстанциями документов с ПДн работников. Необходимо получить на выполнение этих действий письменное согласие сотрудников, в отношении которых надо сформировать и передать личные данные. Без наличия такого согласия передавать ПДн субъектов запрещено как по факсу, так и в телефонном режиме, а также по электронной почте и с использованием иных носителей. Исключение составляют случаи, указанные в законодательстве.Передача ПДн любого сотрудника компании может выполняться, только если есть запрос, поданный государственными органами власти. Такими органами и организациями могут быть: органы правопорядка; МЧС; налоговые инстанции; судебные инстанции; органы безопасности; миграционная служба; военные комиссариаты; органы соцстраха; статистические службы; Пенсионный фонд и другие службы и органы. Но следует учитывать требования законодательства во время предоставления запрашиваемых этими инстанциями документов с ПДн работников. Необходимо получить на выполнение этих действий письменное согласие сотрудников, в отношении которых надо сформировать и передать личные данные. Без наличия такого согласия передавать ПДн субъектов запрещено как по факсу, так и в телефонном режиме, а также по электронной почте и с использованием иных носителей. Исключение составляют случаи, указанные в законодательстве.Передача ПДн любого сотрудника компании может выполняться, только если есть запрос, поданный государственными органами власти. Такими органами и организациями могут быть: органы правопорядка; МЧС; налоговые инстанции; судебные инстанции; органы безопасности; миграционная служба; военные комиссариаты; органы соцстраха; статистические службы; Пенсионный фонд и другие службы и органы. Но следует учитывать требования законодательства во время предоставления запрашиваемых этими инстанциями документов с ПДн работников. Необходимо получить на выполнение этих действий письменное согласие сотрудников, в отношении которых надо сформировать и передать личные данные. Без наличия такого согласия передавать ПДн субъектов запрещено как по факсу, так и в телефонном режиме, а также по электронной почте и с использованием иных носителей. Исключение составляют случаи, указанные в законодательстве.
9. Перечень действий, производимых Оператором с полученными персональными данными
Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных. 10.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц. 10.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору. 10.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора mail@mail.ru с пометкой «Актуализация персональных данных». 10.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора mail@mail.ru с пометкой «Отзыв согласия на обработку персональных данных». 10.5. Вся информация, которая собирается сторонними сервисами, в том числе средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг. 10.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ. 10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных. 10.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. 10.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
10. Конфиденциальность персональных данных
Персональные данные — это любая информация о человеке, по которой можно установить его личность. Например, ФИО, паспортные данные, дата рождения, реквизиты счета в банке. Работодатели обрабатывают персональные данные работников — спрашивают, хранят, передают. Чтобы устроить человека на работу, перевести ему зарплату на карту, нужно знать его персональные данные. Если работодатель обрабатывает персональные данные, нужно получать согласие работника на это. Согласие не нужно только в одном случае — когда данные сотрудника нужны работодателю по закону. Получать согласие на обработку персональных данных лучше всегда письменно. Это защитит работодателя в случае споров. Работодатель должен составить положение о защите персональных данных работников, выбрать ответственного за персональные данные, уведомить Роскомнадзор о работе с персональными данными и обеспечивать их сохранность. За нарушения правил работы с персональными данными грозят штрафы. Например, за утечку персональных данных на бумаге из-за неправильного хранения ИП могут оштрафовать на сумму от 20 000 до 40 000 ₽.
11. Заключительные положения
13.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты mail@mail.ru.
13.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
13.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://site-r00.gosweb.gosuslugi.ru/policy/.