Главная - Гражданское право - Оператор передачи персональных данных

Оператор передачи персональных данных


оператор передачи персональных данных

2. Цели сбора персональных данных.

Следует помнить, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных.

Цели обработки персональных данных, перечисляемые в этом разделе, могут происходить в том числе из:

  • анализа правовых актов, регламентирующих деятельность оператора;

  • целей фактически осуществляемой оператором деятельности;

  • деятельности, которая предусмотрена учредительными документами оператора;

  • конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3.

Оператор по передаче персональных данных

Что такое реестр таких сведений?

  • Права и обязанности
  • Что подлежит включению в базу Роскомнадзора?
  • Выступает ли им работодатель ?
  • Кто не является?

Кто это?

Оператором ПД выступает юридическое или физическое лицо, государственное или муниципальное учреждение, которое производит получение и обработку персональной информации, определяет цели и перечень действий с предоставленными данными.

Оператор может самостоятельно осуществлять манипуляции с персональной информацией, а может привлекать к работе третьих лиц – они тоже автоматически подпадают под определение “оператор”.

О политике оператора в отношении обработки персональных данный читайте здесь.

Какая информация относится к личной?

Закон исчерпывающего списка не предоставляет.

Передача оператору связи персональных данных сотрудников

Обнародовать такой документ можно любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений;

  • обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Как правило, речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
  • уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели.


    Согласно статье 21 закона N152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя.

Оператор передачи персональных данных

Важноimportant
ТК РФ).

МАТЕРИАЛЫ ПО ТЕМЕ

О том, с какими проблемами может столкнуться оператор при соблюдении требований о локализации персональных данных и как их наиболее эффективно их решить, читайте в нашем материале «Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса».

Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (ч.


5 ст. 18 закона о персональных данных). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало вопросов.

Оператор передачи персональных данных образец

Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;

  • компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
  • общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
  • организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
  • любые компании, в которых действует система пропусков.

Оператор передачи персональных данных бланк


Инфоinfo
Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными.


Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет.
Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных.

Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных?

В соответствии с ч.

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети.

Контроль исполнения этой обязанности осуществляют органы Роскомнадзора.
И по их требованию оператор обязан представить перечисленные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных ст.

И в политике обработки персональных данных, и в Положении о защите, хранении, обработке и передаче персональных данных работников следует прописать, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России, а также указать место нахождения такой базы данных.

Своевременно прекратить обработку персональных данных. Если цель обработки персональных данных достигнута или субъект отозвал свое согласие на их обработку, оператор должен прекратить обработку этих данных и удалить их в 30-дневный срок, если иной срок не определен в соглашении (ч.

4-5 ст.

Кто относится к операторам персональных данных

152-ФЗ: закон о персональных данных на сайте Консультанта

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине.

Дословно в законе так:

Збагойно: 152-ФЗ — в «Деле»

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

  • электронная почта;
  • телефон,
  • имя и фамилия;
  • дата рождения;
  • адрес;
  • ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная.
Формально сами по себе они не считаются персональными данными.

К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст.

:

  1. телефонные компании, которые имеют доступ к сведениям абонента и используют их исключительно для оказания услуг связи;
  2. общественные или религиозные организации, использующие сведения своих членов для реализации целей, указанных в учредительных документах;
  3. лица и учреждения, которые используют ПД, раскрытые субъектом самостоятельно и добровольно;
  4. компании с пропускными системами, оформляющие одноразовые пропуска;
  5. госсистемы ПД, созданные в сфере защиты государства и сохранения общественного порядка;
  6. организации, которые обрабатывают данные без привлечения автоматизированных систем;
  7. транспортные компании, получающие сведения для оформления проездных билетов.

Следует учесть, что Роскомнадзор может прийти с проверкой не только в компанию, внесенную в госреестр, но и в любую другую, которая в списке не значится.

Автор: Данилова В. В., эксперт информационно-справочной системы «Аюдар Инфо»

С июля 2017 года была изменена ответственность за нарушение законодательства о персональных данных. Один из новых составов правонарушений – невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки таких данных (далее – Политика).

Причем названная обязанность существует еще с 2011 года, но специальная ответственность за ее невыполнение установлена только сейчас. Расскажем, что это за документ, как его составлять, все ли работодатели должны его иметь и где он должен быть опубликован.

Что это за документ?

В соответствии со ст.

Вниманиеattention
Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А.

которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

  • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
  • карт лояльности;
  • рекламных рассылок;
  • оказания услуг;
  • регистрации на сайтах;
  • звонков потенциальным клиентам.

Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку.

  • По требованию субъекта предоставлять данные о нем, корректировать имеющуюся информацию в случае изменения данных, уничтожать недостоверные сведения по требованию субъекта.
  • Предоставлять в уполномоченный государственный орган (по требованию) ПД, необходимые для работы госслужбы.

Что касается прав оператора, то они довольно ограничены и заключаются в праве получать информацию об изменениях в законодательстве, касающихся сферы обработки ПД.

Что подлежит включению в базу Роскомнадзора?

Предпринимать меры по уведомлению Роскомнадзора для включения в список придется:

  • Интернет-ресурсам (соцсетям, форумам, порталам), которые проводят регистрацию пользователей с указанием ПД даже в минимальной форме (Ф.И.О.

Содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки. Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных данных могут быть отнесены в том числе:

  • работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников;

  • клиенты и контрагенты оператора (физические лица);

  • представители и работники клиентов и контрагентов оператора (юридических лиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

5.

  • информацию о месте нахождения базы данных информации, содержащей персональные данные россиян;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ (речь, в частности, идет об уровнях защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности, требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, а также о требованиях к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных).

При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно.

Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.

Рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Закона № 152-ФЗ, а также о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *