Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Оператор по обработке персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Это значит, что если оператор привлекает кого-либо для обработки ПДн, то за нарушения все равно отвечает оператор. Например, если вы отправляете спамную рассылку через сервис почтовой рассылки, отвечать будете вы — как оператор ПДн, а не сервис рассылки.
Проверить наличие и актуальность уведомления об обработке персональных данных в Роскомнадзор. Возможно, внести корректировки.
Хранение и обработка персональных данных
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.
Это далеко не единственная неопределенность ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ, ответ на которую не может дать РКН.
Права и обязанности Обработчика сформулированы достаточно кратко: лицо обязано соблюдать принципы и правила обработки персональных данных выполнять требования Оператора.
Свидетельство о регистрации СМИ ЭЛ № ФС77-70272 выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 10.07.2017 г.
Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Согласно закону № 152-ФЗ (О персональных данных), любая организация (или физическое лицо), имеющая дело с персональными данными, обязана соблюдать правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений.
Другими словами, редакция СМИ обрабатывает персональные данные своих сотрудников, подписчиков, читателей, пользователей сайта, героев публикаций, рекламодателей, иных контрагентов. Соответственно, редакция является оператором ПД, даже если состоит из одного человека и не имеет юрлица.
На практике оператором является любая организация, в которой есть наемный труд. Ведь трудоустройство невозможно без заполнения анкеты с довольно подробным перечнем сведений о себе, а также подачи личных документов, причем со всех снимаются копии, информация вносится в бухгалтерские программы и т.д.
Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.
Оператор самостоятельно определяет состав и перечень мер, «необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством». Почему так? Все организации разные, им требуется разное количество персональных данных, которые нужно обрабатывать.
Каковы действия редакции СМИ как оператора ПД? Какие необходимы документы? Как собирать данные? – Читайте в статье Михаила Хохолкова.
С 1 июля 2017 года штрафы за несоблюдение требований Федерального закона N 152-ФЗ «О персональных данных» выросли в разы. Если раньше предпринимателя могли оштрафовать на сумму до 10 000 рублей, то сегодня — до 295 000 рублей. Мы разобрались, как этого избежать.
В большинстве случаев речь идет о фамилии, имени, отчестве, дате рождения, адресе, где человек зарегистрирован и проживает, семейном положении и т.п.
По закону в согласии должна быть подпись субъекта персональных данных и его паспортные данные. Но это требования к письменному согласию. В онлайне это выполнить невозможно, поэтому при проверках Роскомнадзор не требует этого от предпринимателя.
В отдельную категорию можно выделить ПДн детей и подростков. Поскольку они несовершеннолетние, то согласно части 1 статьи 64 Семейного кодекса их права и интересы должны защищать родители или законные представители (опекуны, органы опеки). То есть без согласия родителей данные детей собирать ни в коем случае нельзя.
По закону в согласии должна быть подпись субъекта персональных данных и его паспортные данные. Но это требования к письменному согласию. В онлайне это выполнить невозможно, поэтому при проверках Роскомнадзор не требует этого от предпринимателя.
Информация о пользователях, которую собирает ваш сайт, может относиться к персональным данным. Тогда к вам применяются все правила и требования, указанные в законе. При этом не имеет значения, зарегистрированы вы в качестве оператора персональных или нет, — вы уже им являетесь.
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
Бывают ситуации, когда юридическое лицо поручает другому лицу собирать персональные данные и оказывать определенные услуги с использованием таких данных. При этом такое юридическое лицо считает, что оно не является Оператором, а факт того, что оно определяет цели обработки ПД, состав ПД, подлежащих обработке и действия (операции), совершаемые с ПД, его не сильно волнует.
Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе.
Пожалуйста, скопируйте нижеприведённую ссылку в вашу программу для чтения РСС-лент. Спасибо.
Советуем избегать часто встречающихся в наименовании организации слов, например, таких как: «Российский», «Федеральный», «Общество» и т.п.
Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных».
Определить перечень лиц, которые имеют доступ к ПДн и работают в информационной системе персональных данных (ИСПДн).
Политика информационной безопасности информационных систем по обработке ПД (ИСПД): определяет цели и задачи, а также общую стратегию системы защиты ПД. Информационная система – это любой компьютер, в котором хранятся данные, стоит учетная программа или с которого можно зайти на сервер, где хранятся данные.
И третье: под действие закона не попадают компании, которые работают с данными, составляющими государственную тайну».
Мы разобрались, что обязательно нужно сделать предпринимателю, который собирает данные пользователей онлайн. Следуйте нашей пошаговой инструкции.
Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?
В реестре указывается дата и основание включение в реестр, наименование оператора и его данные, цель обработки персональных данных, правовые основания, ответственное лицо оператора и другие данные.
Закон «О персональных данных» касается каждого владельца сайта, который каким-либо образом взаимодействует с данными физических лиц. Он описывает правила сбора, обработки, хранения и защиты персональных данных.
Кто относится к операторам персональных данных
Как показывает практика, процент проведения внеплановых проверок растет, о проверке нельзя узнать с достаточным запасом времени, как следствие, нельзя должным образом подготовиться. Срок проведения внеплановой проверки не может превышать 10 рабочих дней, однако может быть продлена еще на 10 дней.
Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.
Все остальные организации обязаны становиться на учет, в результате чего они получают уникальный регистрационный номер, под которым вносятся в специальный реестр.
После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.
Дополнительные требования для юридических лиц
Роскомнадзор регулярно проводит плановые и внеплановые проверки сайтов. Последние происходят по заявлениям граждан. Получается, что если вы хоть в чем-то не соблюдаете закон, то рискуете оказаться фигурантом административного или уголовного дела. Любой посетитель вашего сайта может написать на вас жалобу за использование его персональных данных.
Столкновение с Роскомнадзором грозит вам не только репутационными потерями и большими штрафами, но и, в случае возбуждения уголовного дела, может вылиться в блокировку ресурса. Так, например, случилось с социальной сетью LinkedIn.
Обязанности оператора при сборе персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ) (см. текст в предыдущей редакции) 1.
О том, какие положения рекомендовано включать в документ, определяющий эту политику, мы расскажем далее.
Например, часто такие вопросы возникают в отношении кредитных организаций, операторов сотовой связи и т.п.
Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
До начала проверки представители регулирующего органа предъявляют письменный запрос о предоставлении необходимых документов (приказы, инструкции, политики, положения, модель угроз) для проведения проверочных мероприятий.