Правовое основание обработки персональных данных что писать

Роскомнадзор — Персональные данные

правовое основание обработки персональных данных что писать

ПАМЯТКА ОПЕРАТОРАМ ПЕРСОНАЛЬНЫХ ДАННЫХ о форме, способах и механизмах получения согласия на обработку персональных данных .PDF

Уважаемые заявители!

       Заполнение электронных форм заявительной документации позволяет сократить сроки оформления лицензий, разрешений, свидетельств о регистрации, внесения сведений об операторах персональных данных в реестр операторов персональных данных и т.д.

       К сожалению, действующее в настоящий момент российское законодательство не позволяет полностью исключить бумажные носители. Правовыми основаниями для совершения официальных регистрационных действий являются бумажные варианты оригинальных или заверенных в установленном порядке документов.

        По мере совершенствования действующего законодательства Российской Федерации и развития инфраструктуры единого пространства доверия электронной подписи Роскомнадзор сможет исключить бумажные носители из всех процедур разрешительной деятельности.  

           Внимание! Временно, распечатку заполненной электронной формы заявления на фирменном угловом (продольном) бланке оператора производить через: «Файл» — «Печать» — «Весь диапазон страниц» — «Печать». 

            Уважаемые заявители!

            Для исполнения ч.2.1. ст.25 Федерального закона №152-ФЗ (в редакции от 25.07.2011 N 261-ФЗ)»О персональных данных»  необходимо представлять информационное письмо (вариант письма смотри ниже).

Вариант примера заполнения электронной формы уведомления об обработке персональных данных.

Вариант примера заполнения электронной формы информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных  

Методика составления информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных

           В случае изменения сведений, указанных в уведомлении об обработке персональных данных оператор, зарегистрированный на территории Свердловской области, обязан направить в адрес Управления Роскомнадзора по Уральскому федеральному округу информационное письмо о внесении изменений сведений в реестре операторов, осуществляющих обработку персональных данных, в течение десяти рабочих дней с даты возникновения таких изменений.

Порядок внесения изменений:

— зайти на сайт Управления 66.rkn.gov.ru (вкладка «Направления деятельности», раздел «Персональные данные»);

— выбрать табло – «заполнить информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных»; 

— заполнить электронную форму информационного письма (заполнять только те поля, которые изменяются или дополняются) При этом обязательно заполнить: реквизиты организации (наименование, адрес, регистрационный номер записи в Реестре, основание изменений, регион, ИНН, ОГРН, ОКВЭД, ФИО и контактная информация исполнителя); поле «ОСНОВАНИЕ внесения изменений»; поле «Срок или условие прекращения обработки ПД»;

— ввести защитный код;

— распечатать письмо в 2х экземплярах на бланке организации (или поставить угловой штамп на отпечатанных листах);

— подписать (законный представитель организации);

— зарегистрировать письмо в журнале исходящих документов (при наличии);

      2. Подготовить заверенную печатью организации копию документа – основания изменения данных об организации (Указ Губернатора, Постановление Правительства СО, или другое).

      3. Направить заказным письмом указанные документы в адрес Управления Роскомнадзора по Уральскому федеральному округу.

      Справки можно получить по телефону (343) 227-24-56 доб. 647 — специалист по работе с РОПД, или по телефону (343) 227-24-38 доб. 648, 649. 

Методические рекомендации по составлению уведомления об обработке персональных данных 

(сопроводительный  документ не делать!!!)
Угловой  штамп, бланк организацииТел, факс Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых комму­никаций по Уральскому федеральному округу
Исх. №,   дата

УВЕДОМЛЕНИЕ

об обработке (о намерении осуществлять обработку) персональных данных

Тип оператора: юридическое лицо(выбрать: государственный, муниципальный орган, юридическое или физическое лицо)

Наименование (фамилия, имя, отчество — для физ. лица), адрес оператора, филиалы:

Общество с ограниченной ответственностью «Совинтел» (сокращённое — ООО «Совинтел») — писать в точном соответствии со свидетельством ФНС (последним изменением в налоговом органе);

Стачек ул., д.1, г. Заречный, Каменский р-н, Свердловская обл., РФ, 620014.

ИНН7717036194; ОГРН1056601892159;  ОКВЭД 45.2; КПП 663001001. 

Если есть филиалы (только в другом регионе РФ!), то указать — Челябинский филиал  ООО «Совинтел»; Мира ул., д.13, Челябинск, РФ, 740014; Ф.И.О. руководителя, тлф. №; КПП, ОКВЭД.

Цель обработки персональных данных (то, что отражено в Уставе; Положении; Лицензии и другие цели):

Предоставление услуг связи;выполнение договорных обязательств; проведение расчетов с клиентами; ведение личных дел сотрудников; работа с жалобами, заявлениями; обеспечение кадрового резерва.

Правовое основание обработки персональных данных (обязательно указать соответствующие статьи, пункты определяющие обработку персональных данных) например:

Источник: https://66.rkn.gov.ru/directions/p18760/

«Я сделал глупость — оговорил их». Новые подробности в истории полицейских из Каменска-Уральского, получивших реальные сроки

правовое основание обработки персональных данных что писать

История с сотрудниками уголовного розыска отдела полиции №24 «обрастает» новыми подробностями. Правда, отдела уже самого и нет, в результате реформы. Почему-то придуманной для нашего города. Но это тема для отдельного разговора. Как и про проверки от федеральных гневных покачиваний погон по случаю региональных местечковых  «обижалок».

Но все-таки отмечу — это лишь повод разобраться в особой программной нелепости происходящего. Напоминаю дополнительно: разговор о четырх каменских стражах порядка (Василий Половка, Эмиль Гасанов, Алексей Возчиков, Алексей Андреев), получивших жесткие сроки за, якобы, «выбивание» показаний.

«Готов все подтвердить на детекторе лжи»

С нами связался Василий Морозов. Его главный довод: «Я все сказанное готов подтвердить на детекторе лжи». И сомневаться в том не стоит. Василий Васильевич до 1 марта работал в уголовном розыске в должности оперуполномоченного, который курировал изолятор временного содержания. То есть он отвечал за такое «чистилище», которое в рамках статьи 91 уголовно-процессуального кодекса РФ (основания задержания подозреваемого).

Когда человека задерживают на двое суток. Тема: либо на подписке о не выезде, либо арест. В один из таких «криминальных пересменков» туда и попал Даниил Белоусов. Тот самый, который проходил свидетелем-жертвой в деле каменских полицейских. На этот раз его «упаковали» за кражу трех велосипедов и чего-то еще. Для Белоусова вообще, кажется, не принципиально, что воровать.

За ним криминальных эпизодов, как мух в бомжатнике между стекол в окне.

«Откровения»

Но после истории с велосипедами как-то дрогнула душа Дани. И решил он открыться перед Морозовым. Не за новое дело, за старое, когда в компании с подружкой сумку украл. Так и сказал Василию Васильевичу: «Я сделал глупость. Оклеветал сотрудников полиции». И поведал, как после истории с кражей и посещения отдела полиции к нему обратилась бабушка подруги: «Так давай «поимеем» полицейских в денежном эквиваленте. Напишем заявление, что тебя избивали».

Морозов отметил: «Так напиши заявление об этом всем». То есть всю историю обозначить. Но Белоусов объяснил, что боится «получить» статью 306 «заведомо ложный донос» (это до шести лет колонии). И тут начинается особая драматургия всей истории. Прямо скажем, не очень удобная для некоторых, кто оставался в стороне.

Яма и лопата «для картинки»

Морозов спросил у Белоусова: «Но на «Крик-ТВ» был же сюжет, где ты рассказывал, как полицейские заставляли тебя копать могилу, «выбивая» показания». Но Даниил ошарашил: «Мне просто сказали, что это нужно «для картинки». И Белоусов подтвердил Морозову, что не было допроса полицейских с лопатами в лесу. Не было и могилы. По факту лишь просьба сделать синхрон «для картинки».

Странные решения и яркие персонажи

В итоге Морозов сказал: «Да не бойся. Очевидно, что на тебя было оказано давление». Но тут, кроме корыстной бабушки, всплыли и другие персонажи. Конечно, наш легендарный правоборец с тремя судимостями, в том числе, за мошенничество, Сергей Барсуков. Он преследовал свои интересы в борьбе с полицией.

И так же настаивал на решительных действиях Белоусова. А еще был один очень тут неуместный персонаж. Представитель следственного комитета из Екатеринбурга, который конкретно показал Белоусову, с его слов, текст, который он должен говорить на суде. И в нем злодеи полицейские.

Так что в давлении на решение человека сомневаться не приходится, но

В итоге на суде (в формате закрытого заседания) Белоусов сказал, что оклеветал полицейских. Почему там не обратили на это внимание. Вопрос? И шпаргалка Белоусову от следователя так же оказалась в кулуарах решения.

«Обидно, что так с пацанами поступают»

Теперь еще одна очень важная тема: а чего раньше об этом молчали? Реально не верили, что дело дойдет до такого приговора. И личное от Василия Морозова:

— Я помню, как мы с Андреевым вместе начинали работу в полиции. Он был старшим сержантом, я — сержантом. Дважды мы были в Чечне. Он был командиром отряда. И мы не потеряли ни одного человека. И в этом заслуга командования. Что касается других: с кем-то лично знаком, чью-то работу видел. Мне обидно, что так вот с пацанами поступают. Готов подписаться под каждым своим словом.

Источник: https://k-ur.info/novosti/novosti-v-kamenske/7371-ya-sdelal-glupost-ogovoril-ikh-novye-podrobnosti-v-istorii-politsejskikh-iz-kamenska-uralskogo-poluchivshikh-realnye-sroki

Инструкция: как уберечь компанию от штрафов по закону о персональных данных — Право на vc.ru

правовое основание обработки персональных данных что писать

Рекомендации от юриста, основателя сервиса по защите интернет-бизнеса E-docs Анара Костенко.

Роскомнадзор продолжает свою деятельность по «спасению» интернета, и на этот раз под прицелом оказались почти все владельцы сайтов. С 1 июля 2017 года в силу вступают новые изменения в Кодексе об административных правонарушениях (КоАП), которые ужесточат санкции по отношению ко всем лицам, собирающим персональные данные. Теперь штрафы будут достигать 295 тысяч рублей.

Чем это грозит владельцам сайтов

Начать стоит с разъяснения того, что такое персональные данные. В первую очередь под эту категорию попадают электронная почта, имя, фамилия и номер телефона. А с недавних пор Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies.

Так, если ваш сайт собирает такую информацию, то Роскомнадзор автоматически относит вас к операторам персональных данных. То есть вы обязаны уведомить ведомство о наличии специальной документации, которая регламентирует вашу деятельность. А теперь подумайте, много ли осталось сайтов, в которых нет личного кабинета или формы сбора информации?

Неужели начнут штрафовать?

Штрафовали и раньше. Один из самых интересных кейсов произошел в октябре 2016 года, когда Тамбовская городская юридическая компания была оштрафована за сбор персональных данных. Уже тогда суд занял позицию Роскомнадзора, приравнял электронную почту и номер телефона к персональным данным и обязал компанию выплатить административный штраф в размере 1 тысячи рублей.

Да, всё верно, одна тысяча. И если раньше нарушители выплачивали не больше 10 тысяч, то с 1 июля штрафы смогут достигать 295 тысяч рублей для юридических лиц и 75 тысяч рублей — для физических лиц.

Что может послужить основанием для проверки сайта

Существуют два ключевых основания: жалоба и проведение плановых проверок. Согласно данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Стоит учитывать, что никто не застрахован от жалобы со стороны конкурентов. Растет и количество проводимых проверок: если в 2013 году их было 743, то в 2016 году — уже 2053.

ЭТО ИНТЕРЕСНО:  Как подать ходатайство в арбитражный суд

Какие еще могут быть последствия

Помимо вышеупомянутых штрафов, сайт будет внесен в «Реестр нарушителей прав субъектов персональных данных», что грозит повышенным вниманием со стороны Роскомнадзора. Также следует приготовиться к проверкам документов о порядке обработки персональных данных, даже если вы внесены в «Единый реестр субъектов малого и среднего предпринимательства».

Как защитить себя от штрафов

К счастью, если все персональные данные вы получаете через сайт, то можете защитить себя от большинства штрафов и претензий самостоятельно. Чтобы сделать сбор персональных данных полностью легальным, достаточно выполнить ряд действий:

  1. Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера.
  2. Составьте «Политику обработки персональных данных», соответствующую законодательству и подходящую для вашего сайта.

    Этот документ регламентирует и описывает все действия, осуществляемые с персональной информацией пользователей сайта.

  3. Составьте локальные акты, регулирующие действия с персональными данными. Этот пункт поможет избежать большинства штрафов в случае проведения проверок со стороны Роскомнадзора.

  4. Добавьте во все формы обратной связи на сайте кнопку или галочку с текстом «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». Подтверждение желательно сделать обязательным. Не стоит думать, что посетители перестанут оставлять свои данные — это только повысит доверие к сайту.
  5. Для полной защиты удостоверьтесь в том, что сайт собирает информацию посредством cookies только с разрешения посетителя (данные с IP и cookies Роскомнадзор также признает персональными).
  6. Предоставьте посетителям сайта возможности по распоряжению своими персональными данными через обращения по электронной почте.

    Для этого укажите email-адрес в «Политике обработки персональных данных» и опубликуйте его на сайте для общего доступа, чтобы каждый посетитель мог ознакомиться с правилами.

  7. Заполните и подайте уведомление в Роскомнадзор. Обязанность в уведомлении есть у многих владельцев сайтов и организаций (исключения описаны в п. 2 ст. 22 ФЗ «О персональных данных» №152-ФЗ). Форма уведомления есть на сайте РКН. Особое внимание обратите на порядок подачи уведомления.

Как правильно составить политику конфиденциальности

  • Укажите термины. В политике обработки персональных данных нужно сразу обозначить понятия, которые вы будете использовать: администрация сайта, пользователь, персональные данные, обработка персональных данных, конфиденциальность персональных данных, cookies, IP-адрес.
  • Перечислите категории персональных данных, которые вы собираете и обрабатываете (имя, электронная почта, номер телефона и так далее). Учитывайте все категории персональных данных, которые будете собирать и использовать.
  • Укажите цели сбора персональных данных. Основная цель — выполнение условий договора с пользователем, а также предоставление доступа к функциональности сайта.
  • Установите условия обработки персональных данных. Укажите сроки обработки, порядок охраны и основные нормативные акты, на основе которых составлен режим обработки персональных данных.
  • Предоставьте пользователям возможность удалить свои персональные данные при обращении. Опишите порядок предоставления такой возможности и способ связи с оператором персональных данных.
  • Укажите меры по защите персональных данных. Это может быть шифрование, установка паролей, хранение в защищенных местах и другие способы защиты информации.
  • Добавьте дополнительную информацию. Например, порядок изменения условий политики и разрешения споров.

Ознакомиться с шаблоном политики можно здесь.

Как заполнить и подать уведомление в Роскомнадзор

Уведомление об обработке персональных данных направляется в территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Перед отправкой уведомления советую проверить полноту и правильность его заполнения. Уведомление должно содержать следующую информацию:

  1. Наименование (фамилия, имя, отчество), адрес оператора.
  2. Цель обработки персональных данных.
  3. Категории персональных данных.
  4. Категории субъектов, персональные данные которых обрабатываются.
  5. Правовое основание обработки персональных данных.
  6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки.
  7. Описание мер, предусмотренных статьями Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
  8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.
  9. Дата начала обработки персональных данных.
  10. Срок или условие прекращения обработки персональных данных.
  11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
  12. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
  13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации.

Для подачи уведомления нужно:

  1. Перейти по ссылке на сайт Роскомнадзора и заполнить форму.
  2. После заполнения отправить форму, нажав на соответствующую кнопку на сайте. Одновременно с отправкой вы получите форму для печати.

Источник: https://vc.ru/legal/24849-personal-data-law

Поможем подать уведомление об обработке персональных данных — ООО

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.

В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре.

Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации.

Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

Камни преткновения

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

  1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
  2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
  3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Что делать, если вы уже обрабатываете персональные данные?

Если вы уже обрабатываете персональные данные и не знаете как сейчас поступить по поводу регистрации в реестре операторов персональных данных, то следуйте такому плану:

Как зарегистрироваться в реестре Роскомнадзора?

Зарегистрироваться в реестре можно двумя способами: в электронной или бумажной форме.

Источник: https://xn--90ao1ar.xn--p1ai/podgotovka-po-152-fz/reestr-roskomnadzor/

Ук и тсж при работе с персональными данными — порядок, требования

04 Март 2019

В 2019 году четко сформировалась система осуществления административного контроля в сфере организации защиты персональных данных (ПП РФ от 13.02.

2019 №146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»).

Данный документ рассматривает вопросы о проведении плановых и внеплановых проверок и указывает на то, что в целях проверки операторов персональных данных, они могут быть включены в ежегодный план проверок по истечении 3-х лет с момента регистрации или последней проверки.

Сразу дам совет, в начале каждого года просматривать план проверок, публикуемый на сайте прокуратуры, чтобы точно знать какие проверки каких государственных надзорных органов, проводимые на плановой основе, предстоят вам в ближайшем будущем.

Но давайте будем разбираться с защитой персональных данных в организациях, работающих в сфере ЖКХ

Для начала необходимо условиться о терминологии. Все необходимые для понимания термины указаны в ст.3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — 152-ФЗ). Их желательно прочитать хотя бы один раз в жизни.

Самый первый вопрос, который обычно задают будущие операторы — какой набор данных о физическом лице считать персональными данными (ПДн). Печально, что законодатель в п.1 ст.

3 152-ФЗ дает следующее размытое понятие: ПДн — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

На сегодняшний день лучше всего ориентироваться на то, что персональными данными физического лица являются те данные, которые позволяют однозначно идентифицировать это самое физическое лицо и прямо к нему относятся, например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, имущественное положение и т.д. Юридические лица, как субъекты персональных данных вовсе не имеют.

Далее необходимо разобраться в том, является УК, ТСЖ оператором персональных данных или нет, обязано оно выполнять требования законодательства в области обработки ПДн или нет. Согласно п.2 ст.

3 152-ФЗ оператором является юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Таким образом, сомнений в том, что УК, ТСЖ является оператором персональных данных не возникает, отсюда у УК, ТСЖ, согласно требованиям Гл. 4 152-ФЗ возникают обязанности по защите ПДн при из обработке. Вот с реализацией этих обязанностей на практике часто возникает множество вопросов.

Давайте разберемся, что нам необходимо сделать с целью выполнения требований законодательства

Первое, что нам надо сделать, четко ответить на следующие вопросы:

какой набор персональных данных мы обрабатываем (например, фамилия, имя, отчество (заметьте не ФИО, а каждый реквизит в отдельности), адрес, сведения об объектах недвижимости, принадлежащих на праве собственности (или ином праве), суммы платежей и т.д.);

каковы цели обработки персональных данных (при этом, цели должны быть четко сформулированы, например: управление эксплуатацией жилого и нежилого фондов; ведение реестра собственников помещений в соответствии с ЖК РФ; ведение списка членов ТСЖ «НАЗВАНИЕ», осуществление расчетов с потребителями коммунальных услуг в рамках заключенных договоров; обработка персональных данных работников ТСЖ «НАЗВАНИЕ» в соответствии с ТК РФ).

Почему тут нет ничего о ПДн, обрабатываемых при паспортном учете? Автор придерживается позиции о том, что ведение паспортного учета сотрудниками ТСЖ, УК после упразднения ФМС России и обновления редакции Административного регламента по учету граждан МВД от 31.12.2017 №984 не целесообразно, т.к.

гораздо дешевле и практичнее осуществлять все операции непосредственно собственникам напрямую в органах МВД или путем направления электронных заявок через портал Госуслуг, чем платить ежемесячно за услуги паспортного стола, ждать когда паспортист съездит в органы МВД. Для ТСЖ это платить зарплату паспортисту, оборудовать помещения паспортных столов в соответствии с требованиями МВД, выделять (и оплачивать) транспорт для путешествий паспортиста.

Более того, с учетом положений нового Административного регламента паспортист выполняет функции приема-передатчика не более того, самостоятельно никакого учета он не ведет.

какие действия по обработке персональных данных мы планируем осуществлять, а это может быть сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных;

будем ли мы передавать ПДн третьим лицам и, если будем, то на каких правовых основаниях. Важно понимать, это будет передача в силу исполнения положений нормативных правовых актов (например, передача данных в адрес органов социальной защиты на основании ФЗ от 28.12.

2013 №442-ФЗ, налоговые органы на основании положений НК РФ и т.д.) или это будет передача в расчетные центры, агентства по распечатке и доставке платежек по договорам).

Обращаю внимание на то, что передача квитанций по оплате коммунальных услуг, согласно разъяснениям регулятора, должна быть выполнена в конвертированном виде, иначе это является нарушением;

каким способом («автоматизированным» или «бумажным») мы обрабатываем ПДн. По смыслу новой редакции 152-ФЗ автоматизированной считается любая обработка ПДн в цифровом виде (ранее такой обработкой считалась только обработка в специальной программе, например, 1С, а вот обработка в текстовых документах нет);

— в случае, если мы используем облачные сервисы по обработке ПДн (например 1С: Рарус), нам необходимо уточнить физическое местонахождение серверов и убедиться в том, что серверы компании, оказывающей облачные услуги, располагаются на территории РФ (отсутствует трансграничная передача данных). Обычная проверка Роскомнадзора возможно и не станет так сильно углубляться в детали, а вот проверка ФСБ России может.

После того, как нами составлен такой список, необходимо еще раз пробежаться по перечню персональных данных и убедиться, что данный перечень не является избыточным и соответствует заявляемым нами целям.

Теперь мы можем написать уведомление в органы Роскомнадзора о том, что мы обрабатываем персональные данные, с целью избежать штрафа (ст.13.11 КоАП), но не будем торопиться.

Для начала, имея исходные данные, посмотрим на то, какие меры мы готовы принимать по защите ПДн и выпускать документы, которые от нас как операторов требует ст.19 152-ФЗ. В ст.19 152-ФЗ содержатся основные меры, которые раскрываются, уточняются и дополняются следующими подзаконными актами:

если у нас только «бумажная обработка» руководствуемся постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

если у нас автоматизированная обработка

Источник: http://domscanner.ru/article/84

Правовое основание обработки персональных данных: образец

Данные методические рекомендации приготовлены для того, чтобы разъяснить правовое основание обработки персональных данных операторам, которым предстоит осуществлять ее. Здесь содержатся сведения, необходимые при проведении такой обработки, информация обо всех изменениях в представленных ранее положениях. Рекомендации не только дают правовое основание обработки персональных данных, но и поясняют, почему должны быть прекращены эти действия.

Федеральный закон

С марта 2009 года существует Положение по постановлению Правительства РФ, касающееся Федеральной службы по надзору в сфере массовых коммуникаций, информационных технологий и связи, где в первом пункте Роскомнадзор получает полномочия и правовое основание обработки персональных данных для защиты прав субъектов.

В статье 23 (часть 5, пункт 3) 152-ФЗ, где говорится о персональных данных, уполномоченный орган, занимающийся защитой прав субъектов, по обязанности ведет реестр операторов. Он получает правовое основание обработки персональных данных.

Реестр включает в себя внесение сведений об операторе согласно поданному уведомлению. Далее вносятся изменения в сведения, содержащиеся в реестре об операторе согласно полученному информационному письму.

Вносятся сведения о прекращении обработки персональных данных, правовое основание — это поступившее заявление. Оно же дает право на получение выписки из реестра.

Информацию в полном объеме, касающуюся формы ведения реестра, содержит портал персональных данных и официальный сайт Роскомнадзора. Там же можно найти рекомендованную форму уведомления о намерениях осуществления на правовом основании обработки персональных данных. Образец включен в иллюстрации к статье. Там же находится и информационное письмо (уведомление, касающееся внесения изменений в реестр относительно сведений об операторе).

Кроме этого, среди приложений есть еще две рекомендованные формы:

  1. Заявление относительно прекращения со стороны оператора обработки персональных данных с правовым основанием, образец которого можно скачать и распечатать.
  2. Заявление на получение выписки, точно так же — в рекомендованной форме.

Сведения

Сведения об операторе, которые содержатся в реестре, общедоступны. Однако чтобы воспринять содержащуюся в реестре информацию, нужно более подробно коснуться понятийной системы. Иначе не каждому будет понятно, что писать.

Правовое основание обработки персональных данных содержит достаточное количество вопросов. Во-первых, кто такой оператор? Это государственные или муниципальные органы, физическое или юридическое лицо, которое осуществляет на правовом основании обработку персональных данных в организации.

Эти же органы или лицо должно определить цель и содержание такой обработки.

Во-вторых, что подразумевается под понятием правового основания обработки персональных данных? Руководствуясь образцом, можно довольно легко определить, что это любая операция или их совокупность, которая совершается при помощи средств автоматизации работы с персональными данными или без таковых.

Данные можно собрать, записать, систематизировать, накопить, хранить, уточнять, обновлять, изменять, извлекать, использовать, передавать, распространять, предоставлять, создать к ним доступ, обезличить, блокировать, удалять, уничтожать. Вот этим и занимается оператор при заполнении реестра.

Это очень общие сведения правового основания обработки персональных данных.

В школе и детском саду

В последние годы достаточно часто случаются конфликты сотрудников детских садов и школ с родителями, поскольку последние не согласны с тем или иным вариантом обработки персональных данных в школе.

Правовое основание для этого связано с законом, о котором было сказано выше — 152-ФЗ. Чаще всего родители просто не в курсе того, о чем там говорится. Сотрудники не могут найти с ними общий язык, потому что говорят все о разных вещах.

Здесь нужно знать пять важнейших аспектов для предотвращения всяческих недоразумений.

Во-первых, школы или ДОУ всегда являются операторами, которым дано правовое основание обработки персональных данных в ДОУ или школе. Именно операторы отвечают за безопасность всех данных. Проблемы здесь весьма запутанные, и обычные родители, не соприкасающиеся с обработкой данных, в ней просто не разбираются, но угрозы и претензии, поступающие от них в сторону дошкольных или школьных образовательных учреждений, практически всегда далеки от адеквата.

Принципы закона

Образовательные учреждения любого уровня всегда должны обрабатывать данные родителей, учеников и преподавателей (воспитателей). Прежде всего это делается для продуктивной коммуникации.

Закон гласит, что любая информация, которая связана с конкретным человеком, обрабатывается в соответствии с поставленными целями. И это важнейший из критериев законности такой обработки. Оператор же и отвечает за их сохранность.

Общедоступные данные защиты не требуют, поскольку субъект дал разрешение на их публикацию в открытых источниках. И если это разрешение отозвано, закон требует общедоступные данные защищать.

Школьную информацию в тайне сохранить не получится. Например, ДОУ и любая школа публикует на официальных сайтах имена, отчества, фамилии, квалификационные показатели, а также данные о работе, которая ведется.

Бывают данные обезличенные, которые не позволяют без дополнительного информатора определить субъекта, к которому они относятся. Их защитить гораздо проще.

Для данных, содержащих любую медицинскую информацию (в законе перечислены виды информации помимо медицинских данных), защита осуществляется наиболее жестко.

Гражданский кодекс

Помимо 152-ФЗ, правила обработки данных устанавливает и Гражданский кодекс.

Например, родителей под подпись знакомят с основными принципами прямо при приеме ребенка в детский сад или школу и берут письменное согласие о том, что они разрешают публикацию видео- и фотоизображений ребенка, если это будет необходимо при отражении разнообразных событий образовательного процесса. Отсутствие такого согласия тем не менее не лишает учреждение правовой основы для обработки личных данных. Хотя именно такая ситуация и приносит оператору наибольшие неприятные хлопоты.

В законе есть исключения, когда согласие не требуется вообще, и это может не касаться образовательных учреждений. Например, организуется поездка с детьми. Покупаются билеты по спискам участников. Если образовательные цели преследуются, правовое основание уже присутствует.

Нужен только приказ руководства, выполненный в формулировках 152-ФЗ. Если образовательные цели не преследуются, нужно брать письменное согласие родителей или искать решение в рамках других законов.

Причем отозвать согласие на обработку личных данных субъект может совершенно в любой момент, Гражданский кодекс подтверждает это, хотя обязательно последуют какие-либо административные последствия.

Как иллюстрацию неважности письменного согласия можно рассматривать письмо от 4 марта 2015 года №03-155 Министерства образования и науки, где есть прямой ответ на вопрос о передаче личных данных в информационную систему сдачи ЕГЭ или ОГЭ из школы, где обучается ребенок. Родитель может отказаться, хотя никакого письменного согласия в данном случае и не требовалось. Однако ребенок к сдаче экзаменов допущен не будет.

Один из видов обработки данных — передача их третьим лицам, что является как раз требуемой законом защитой, которая содержит целый ряд специфических мероприятий. Федеральный закон предусматривает такие случаи конкретно. Например, если поступает угроза здоровью или жизни людей. Относительно публикации информации в электронных классных журналах существуют ответы на проблемные вопросы в письме АК-3358/08 от 21 октября 2014 года Минобрнауки РФ.

Другие организации

Любые другие учреждения и организации, являющиеся операторами по сбору, обработке и хранению данных, так же точно выполняют общие требования, определенные законодательством РФ, в том числе и статьей 86 Трудового кодекса. Правовое основание обработки персональных данных сельхозпредприятия, промышленного объекта, в принципе, любого образования состоит только в соблюдении существующих законов и других нормативных актов.

Целью такой обработки может служить содействие в трудоустройстве, в профессиональном росте и обучении, в обеспечении безопасности личной и корпоративной, в контроле за качеством и количеством продукта деятельности и во многом еще. Все персональные данные после того, как были получены, проходят обработку и передаются на хранение на бумажных или электронных носителях (с помощью информационных систем).

Согласие и условия

Для того чтобы начать обработку, работодатель должен попросить письменное согласие у своего работника. Форма этого документа как образец присутствует здесь в иллюстрациях. Передача личных данных производится при различных условиях.

Без письменного согласия работника данные третьей стороне не передаются, кроме случаев угрозы здоровью и жизни, а также прочих, установленных законодательством.

Тем более нельзя использовать данные работника в целях коммерческих, если такового согласия работник не дал.

Лица, получающие информацию личного характера, обязаны соблюдать полную конфиденциальность. Доступ к личной информации разрешается только тем работникам, которые имеют правовое основание для сбора, хранения и обработки данных. Информация о состоянии здоровья сотрудника запрашивается только в тех объемах, которые необходимы для выполнения трудовой деятельности. В каждом своем действии оператор обязан руководствоваться правилами, установленными ТК РФ.

Хранение и защита

Каждое предприятие, в том числе и сельскохозяйственного направления, оформляет, формирует, ведет и хранит содержащую персональные данные информацию.

И всегда эта работа выполняется теми, кто имеет на то правовое основание, зафиксированное в должностных инструкциях. Ответственный за такую деятельность назначается генеральным директором.

Допуск к информации посторонние не имеют, список допущенных к этой деятельности лиц также утверждается руководством предприятия и визируется подписью генерального директора.

Постоянное право доступа к личным данным имеют генеральный директор, администрация в лице начальника и сотрудников, отвечающих за работу с персоналом, инспектор по кадрам, инженер, отвечающий за организацию и нормирование труда в структурных подразделениях.

На некоторых предприятиях в любой момент может запросить любую персональную информацию главный бухгалтер, если необходимо подготовить определенные документы. Всегда имеет доступ к конфиденциальной информации ответственный за безопасность и его сотрудники в рамках полномочий.

Этот список варьируется в зависимости от правил врутреннего распорядка предприятия.

Передача данных

Передавать данные можно сугубо по письменному запросу государственных властных органов: в правоохранительные органы, налоговые инспекции, суды, органы безопасности, МЧС, в миграционную службу, военкоматы, органы социалного страхования, статистики, в пенсионные фонды и тому подобные.

Однако без письменного сгласия работника и этого делать нельзя ни по факсу, ни по телефону, ни по электронной почте, ни на каких носителях. Исключения содержатся в законодательстве РФ.

Источник: https://fb.ru/article/364913/pravovoe-osnovanie-obrabotki-personalnyih-dannyih-obrazets

Обработка персональных данных управляющими организациями

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому  управляющие организации являются операторами по обработке персональных данных.ГИС, сдавайся! (часть VIII) Вносим в ГИС ЖКХ информацию о договоре управления

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили,  вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.Правомерность обнародования списка должников ЖКУ

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или  при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в  отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм  был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Источник: https://roskvartal.ru/deyatelnost-uk/8029/roskomnadzor-ob-obrabotke-personalnyh-dannyh

Наш подход — компания «Росгосстрах»

ПАО СК «Росгосстрах»

Утверждена Приказом ПАО СК «Росгосстрах» от 30.08.2018 г. № 525

Скачать

1.1 Назначение документа

Настоящая Политика в отношении обработки персональных данных составлена в соответствии с п. 2 ст. 18.

1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года и определяет позицию ПАО СК «Росгосстрах» (далее по тексту — Компания) в области обработки и защиты персональных данных, соблюдения прав и свобод субъекта ПДн.

Компания зарегистрирована в Реестре операторов, осуществляющих обработку персональных данных под регистрационным номером 08-0003937 в соответствии с Приказом № 343 от 16.05.2008.

1.2 Термины, определения и сокращения

Информационная система персональных данных

Совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств

Обезличивание персональных данных

Действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных

Любое действие (операция) или совокупность действий (операций», совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Уничтожение персональных данных

Действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители персональных данных

Договор гражданско-правового характера

Индивидуальный номер налогоплательщика

Информационная система персональных данных

Несанкционированный доступ

Обязательное страхование гражданской ответственности владельцев транспортных средств

2. Правовое основание обработки персональных данных

Компания осуществляет обработку ПДн, руководствуясь:

  • Законом РФ от 27.11.1992 N 4015-1 «Об организации страхового дела в Российской Федерации»;

Источник: https://www.rgs.ru/about/ppd/index.wbp

Понравилась статья? Поделиться с друзьями:
Фемида справедлива