С момента принятия в 2006 году Федерального Закона «О персональных данных», некоторые его положения и понятия до сих пор остаются неясными для сотрудников операторов. Кажущаяся неясность формулировок иногда становится предметом спекуляций для отдельных активных граждан, поставивших своей целью доказывание абсурдности или несостоятельности Закона.
Манипулируя некоторыми формулировками Закона (порой, вырванными из контекста), опираясь на принципы формальной логики (не всегда справедливой, когда речь идет о праве как науке), моделируя возможные коллизии, некоторые аналитики приходят к неожиданным и неправильным выводам.
Опасность этих выводов — в дезориентации участников информационных правоотношений, а также в том, что принятие на вооружение сомнительных утверждений сдерживает работу операторов по приведению своей деятельности в соответствие с Законом и создает условия для нарушения ими требований Закона.
Числу таких проблемных вопросов относится определение оператора персональных данных. Оператор — это государственный, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и содержание обработки персональных данных (ст. 3 ФЗ 152). Это, казалось бы, очевидное и не допускающее вольного толкования определение на практике порой вводит операторов в заблуждение. Суть этого заблуждения в следующем: «лицо, осуществляющее обработку, не всегда является оператором». Причина же заблуждения — в словосочетании «а также». В этом «а также» некоторыми и видится то самое зерно истины, которое позволит отдельным операторам избежать обязанности исполнять требования ФЗ 152. Парадоксально, но многие операторы все еще уверены в том, что они операторами не являются. Для обоснования этого утверждения приводятся следующие доводы: необходимость обработки ПДн определена федеральным законом (или «установлена вышестоящими организациями»), следовательно, цели обработки самостоятельно не определяются или не должны определяться лицом, осуществляющим обработку (в определении целей нет необходимости, либо отсутствуют полномочия).
Попробуем разобраться с этой проблемой, суть которой заключается в вопросе: определение цели обработки ПДн — признак или обязанность оператора?
Итак, существует мнение, что оператор — это только и исключительно тот, кто одновременно отвечает следующим двум критериям:
Это лицо должно само либо организовывать, либо фактически осуществлять обработку ПДн (или же — и то, и другое одновременно);
Это лицо должно само определять цели и содержание обработки ПДн.
Таки образом, требование об определении цели обработки ПДн рассматривается в качестве основного признака оператора.
В ходе подготовки настоящей статьи филологами был проведен лингвистический анализ рассматриваемого определения. Результаты анализа приведены ниже.
Определение цели не может быть основной функцией, так как эта функция названа в ряду однородных членов предложения и замыкает его. Более того, этот однородный член предложения присоединяется союзом «а также», который имеет присоединительное значение, например: Я наслаждался мирно своим трудом, успехом, славой, также трудами и успехами друзей" (П). — см. Валгина Н.С., Розенталь Д.Э., Фомина М.Н. Современный русский язык. Учебник.: М., Логос, 2006.
Об этом же значении пишет и Русская грамматика (М, 1980,т. II):
§ 2079. Присоединительные отношения основываются на соединительных: второй член ряда имеет добавочный характер; он часто выделяется в отдельную синтагму; порядок членов ряда строго обязателен. Присоединительные отношения (с оттенками добавления или усиления) выражаются составными союзами и сочетаниями союза с конкретизатором: а также и, да еще, и притом (притом): В коляске сидела пожилая барыня, да еще молодая девушка (Тын.); Сводки доставлены в полном порядке и притом в срок (газ.).
Примечание. Союзы а также, как... так и обладают способностью выражать градационные и присоединительные отношения, но часто используются в более широком значении — соединительном или сопоставительном: Этот Вьюн необыкновенно почтителен, и ласков, одинаково умильно смотрит как на своих, так и на чужих, но кредитом не пользуется (Чех.); Завод достиг высоких показателей как по количеству, так и по качеству выпускаемой продукции (газ.); Воспитанники музыкального училища часто выступают с концертами в школах, дворцах культуры, а также в цехах предприятий (газ.).
А вот союзы «и (или)», указанные вместе означают, что члены однородного ряда, соединяемые ими, могут как сосуществовать вместе («организующее и осуществляющее обработку»), так и быть выбраны (один из ряда: «организующее или осуществляющее обработку»).
Приведенный лингвистический анализ показывает неосновательность утверждения о том, что определение цели обработки ПДн является непременным признаком оператора. В тоже время указанный анализ является не единственным доказательством порочности этого утверждения.
Из содержания различного рода публикаций и, исходя из складывающейся правоприменительной практики, можно сделать вывод и об отношении органа, уполномоченного по защите прав субъектов ПДн (далее — Роскомнадзор) к рассматриваемой проблеме. Роскомнадзор считает, что оператор — это тот, кто, прежде всего, совершает какие-либо операции с ПДн. Одновременно, в силу самого факта обработки у «обработчика» возникает и обязанность определения целей такой обработки. Т.е. по сути, определение цели обработки является скорее следствием обработки, или необходимости в таковой, неотъемлемой составляющей обработки, первейшей обязанностью, проистекающей из обработки ПДн, а не «основным признаком оператора».
Справедливость изложенного мнения подтверждается и системным анализом норм ФЗ № 152. Начать следует со статьи 1 Закона, в которой определена сфера его действия. Названная статья гласит, что закон регулирует отношения, связанные с обработкой ПДн, осуществляемой различными органами, юридическими и физическими лицами. Понятие обработки дано в п.3 ст.3 ФЗ 152. Это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных. Из изложенного следует, что, если конкретное лицо осуществляет какие-либо из перечисленных действий, то оно априори становится участником общественных отношений, являющихся предметом регулирования ФЗ № 152 (если только не подпадает под исключения, предусмотренные ч.2 ст.1 Закона). Как же следует именовать это лицо в терминах ФЗ «О персональных данных»? Выбор невелик. Это лицо следует именовать оператором.
Итак, некое лицо осуществляет (либо намеревается осуществлять) обработку ПДн. Согласно ст.5 ФЗ 152 обработка ПДн должна осуществляться в соответствии с определенными Законом принципами. Анализ содержания принципов приводит к выводу о том, что фундаментальной основой обработки ПДн является определение целей обработки. Даже не вникая в суть каждого принципа, а просто при беглом прочтении ст.5 в каждом пункте статьи мы видим термин «цель» («законности целей», «соответствие целям», «достаточность для целей» и т.д.). Такая концентрация внимания применена законодателем не случайно. От лица, осуществляющего обработку ПДн, Законом требуется уведомление о целях обработки субъектов ПДн органа, уполномоченного по защите прав субъектов ПДн. Закон стремится сделать деятельность, связанную с обработкой ПДн, прозрачной и понятной как для человека — носителя защищаемых Законом конституционных прав и свобод, так и для государственных органов, обеспечивающих реализацию механизмов защиты прав человека как субъекта ПДн. Красной нитью проведена в Законе идея о недопустимости «бесцельной» обработки ПДн (обработки ПДн «просто так», «для своих неопределенных нужд», для «общего развития», «для себя» и т.д.).
Согласно второму принципу, продекларированному в ст.5 Закона, если лицо имеет намерение обрабатывать ПДн, цели такой обработки должны быть заранее (до начала обработки) определены и заявлены. Обратная логическая цепь рассуждений приводит к выводу о том, что осуществление каких-либо действий с ПДн в отсутствие определенной цели обработки является нарушением принципов обработки, и, следовательно, нарушением Закона, предпосылкой к нарушению конституционных прав и свобод человека и гражданина.
Толкование нормы, изложенной в п.2. ст.3 ФЗ 152 в том контексте, что определение цели является не обязанностью оператора, а идентифицирующим его в этом качестве неотъемлемым признаком, неизбежно влечет за собой следующий парадоксальный вывод. Из сферы действия закона выпадают такие органы, как Пенсионный фонд РФ, Фонд обязательного медицинского страхования, Федеральная налоговая служба, Федеральная миграционная служба и многие другие государственные структуры, чьи обязанности напрямую определены и детализированы федеральным законодательством, в том числе и в контексте совершения операций с ПДн. Рассматриваемая предпосылка также приводит к заключению о том, что и операторы связи не являются операторами ПДн, поскольку цель сбора ПДн абонентов предусмотрена в Законе «О связи» и подзаконных нормативно-правовых актах — т.е. определена государством, а не конкретным лицом, предоставляющим услуги связи. То же относится и к кредитным учреждениям, страхов ым и другим организациям, которые осуществляют сбор и другие действия с ПДн в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, т.е. в целях прямо предусмотренных Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем», а не самими этими организациями. Список можно продолжать бесконечно, абсолютизируя всего лишь одну норму закона и доходя до абсурда в попытках примерить буквальное ее толкование на реальные общественные отношения.
В ст.18 ФЗ № 152 установлены обязанности оператора при сборе ПДн. К их числу относится, в первую очередь, обязанность оператора предоставить субъекту ПДн по его просьбе информацию (ст.14 ФЗ 152), в т.ч., о целях обработки его ПДн. При установлении этой обязанности Закон не делает исключения для операторов, обрабатывающих ПДн на основании каких-либо федеральных законов.
Таким образом, с учетом изложенного выше, становится понятным, что в контексте Закона определение цели обработки ПДн в действительности является скорее обязанностью лица, осуществляющего обработку ПДн, нежели одним из признаков, обладание которым делает это лицо оператором.
Что же такое «определение» цели? Уяснение смысла слова «определение» имеет важное значение для уяснения содержания нормы права, без чего является невозможным правоприменение этой нормы. Поскольку в самом Законе законодатель не счел необходимым раскрыть понятие «определение цели», обратимся к одному из признанных в теории права способов толкования — лексическому (языковому) толкованию.
Согласно толковому словарю русского языка под редакцией проф. Д.Н.Ушакова, определить значит
С точностью выяснить, привести в известность;
Дать научную, логическую характеристику, формулировку какого-нибудь понятия, раскрыть его содержание;
Постановить, вынести решение о чем-нибудь;
Послужить причиной для развития, образования чего-нибудь, предопределить, обусловить;
Назначить, указать.
Следовательно, под определением цели обработки ПДн можно понимать ее выяснение, выбор, вычленение из множества возможных целей, ее постановку или назначение в качестве таковой, указание на эту конкретную цель (цели) в качестве причины для обработки ПДн.
Контекстный анализ содержания ФЗ 152, выявление его смысловых связей с другими источниками права позволяет сделать вывод о том, что для отдельных операторов ПДн и(или) относительно отдельных категорий субъектов ПДн цели обработки ПДн могут быть фактически предопределены или даже прямо указаны в законах либо подзаконных актах (Трудовой кодекс, например, конкретно указывает работодателям на цели обработки ПДн работников). Цель обработки тех или иных ПДн другими операторами проистекает из их обязанностей, возникших из договорных обязательств. В отдельных случаях цели обработки ПДн могут одновременно быть обусловлены и содержанием коммерческой деятельности оператора, и предписаниями закона (операторы связи в целях осуществления собственной уставной деятельности, направленной на извлечении прибыли, обрабатывают ПДн в целях оказания услуг связи и во исполнение Закона «О связи»).
Таким образом, первичной задачей лица, осуществляющего обработку ПДн, является именно вербализация целей обработки ПДн, уяснение для себя самого чем именно обусловлена конкретно для него обработка ПДн физических лиц. Формулирование ответа на этот вопрос фактически и будет являться определением цели обработки ПДн.
В разрезе проблемы, рассматриваемой в настоящей статье, представляется интересным мнение Правительства РФ, выраженное по поводу поправок в ФЗ 152. 5 мая 2010 года был в первом чтении принят законопроект, внесенный на рассмотрении в Государственную думу ее депутатом В.М.Резником. В числе прочего, данным законопроектом предложена новая формулировка понятия «оператора», а именно:
«оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющие обработку персональных данных, а также определяющие цели, содержание и порядок обработки персональных данных». Как видим, из ныне действующей формулировки исключено слово «организующие». В своем официальном отзыве на данный законопроект Правительство РФ указывает, что «такое изменение не может быть поддержано, поскольку лица, осуществляющие обработку персональных данных, но не определяющие цели и содержание обработки, не смогут считаться операторами». Из приведенного замечания Правительства РФ следует, что на сегодняшний день (когда редакция закона еще не изменена) по мнению Правительства РФ оператором является любое лицо, осуществляющее обработку ПДн вне зависимости от наличия или отсутствия факта определения им целей такой обработки.
Итак, проведенный в настоящей статье анализ позволяет сделать несколько выводов.
Определение цели обработки ПДн — это обязанность оператора, а не обязательный идентифицирующий признак оператора.
Определение цели обработки ПДн — это процесс осмысления, уяснения, конкретизации и вербализации цели обработки ПДн оператором, в том числе и в случаях, когда такие цели предопределены и (или) проистекают из положений закона или полномочий, возложенных на оператора.
С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?
Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.
Об обработке персональных данных
Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?
Персональные данные - это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.
Обработка персональных данных - любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.
К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.
При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.
Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.
Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.
Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.
Об операторе по обработке персональных данных
Кто является оператором персональных данных?
В соответствии с законом оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.
Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.
Кого должна уведомить УО о том, что она является оператором персональных данных?
Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.
Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ .
Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.
Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.
Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.
Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ .
О согласии на обработку персональных данных
Когда нужно заручиться согласием на обработку персональных данных?
Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.
Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?
Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.
Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.
Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?
Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.
Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.
Об ответственности за нарушение законодательства о персональных данных
Какие штрафы существуют и кто их выписывает?
До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ . Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.
Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.
С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.
Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, - 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.
1. Настоящее Положение о ведении реестра операторов, осуществляющих обработку (далее - Положение), разработано в соответствии с Федеральным законом от 27.07.2006 N "О персональных данных" (далее - Закон) (Собрание законодательства Российской Федерации, 31.07.2006, N 31 (1 ч.), ст. 3451), для реализации полномочий по ведению реестра операторов, осуществляющих обработку персональных данных (далее - Оператор), возложенных на Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - Служба) в соответствии с Положением о Службе, утвержденным Постановлением Правительства Российской Федерации от 06.06.2007 года N 354 (Собрание законодательства Российской Федерации, 11.06.2007, N 24, ст. 2923; N 52, ст. 6462).
2. Настоящее Положение устанавливает порядок ведения реестра операторов, осуществляющих обработку персональных данных (далее - Реестр).
3. Понятия, используемые в настоящем Положении:
реестр - перечень, список операторов, осуществляющих обработку персональных данных;
ведение реестра операторов - деятельность Службы, включающая сбор, фиксацию, обработку, хранение и предоставление данных, составляющих систему ведения реестра операторов, осуществляющих обработку персональных данных;
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
II. Состав сведений, включаемых в реестр
4. Реестр содержит следующие сведения об Операторах:
а) регистрационный номер;
б) наименование (фамилия, имя, отчество), адрес оператора;
в) адреса филиалов (представительств) оператора, осуществляющих обработку персональных данных (при наличии);
г) дата направления уведомления;
д) цель обработки персональных данных;
з) правовое основание обработки персональных данных;
и) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
к) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
л) дата начала обработки персональных данных;
м) срок или условие прекращения обработки персональных данных;
н) дата и основания включения в реестр операторов;
о) дата и основание исключения из реестра операторов;
п) внесенные изменения.
III. Условия включения операторов в реестр
5. Операторы включаются в Реестр при выполнении следующих условий:
Направление в территориальное управление Службы уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление). Сведения, указанные в Уведомлении, должны соответствовать части 3 статьи 22 Закона;
Регистрация полученного Уведомления в территориальном управлении Службы, его обработка для принятия решения по утверждению или отклонению;
Подписание приказа руководителем Службы или заместителем руководителя о включении Оператора в Реестр.
6. Оригинал направленного Оператором Уведомления с приложением всех поступивших документов должен храниться в соответствующем территориальном управлении Службы.
IV. Порядок включения операторов в реестр
7. Служба по результатам анализа обработанных территориальными управлениями Службы Уведомлений вправе осуществлять проверку достоверности и полноты представленной Операторами информации, содержащейся в Уведомлении, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий. Также Служба вправе запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию, в том числе в случае необходимости уточнения или дополнения недостающих сведений.
8. По результатам проверки сведений, содержащихся в обработанном Уведомлении, Служба в течение тридцати дней с даты поступления Уведомления, принимает решение о включении Оператора в Реестр, которое оформляется в виде приказа руководителя Службы или заместителя руководителя Службы о включении Оператора в Реестр.
9. На основании изданного приказа в Реестр вносится запись об Операторе, которой присваивается регистрационный номер.
10. Датой внесения Оператора в Реестр считается дата подписания приказа.
11. Информация о внесении Оператора в Реестр должна быть опубликована на официальном сайте Службы в сети не позднее трех дней с даты подписания приказа.
V. Порядок ведения Реестра
12. Ведение Реестра осуществляется с применением единой информационной системы (далее - ЕИС) в электронном виде.
13. Ведение Реестра осуществляет Служба, которая при наличии условий, определенных настоящим Положением, включает Операторов в Реестр путем внесения в Реестр соответствующих записей, изменяет сведения, содержащиеся в указанных записях, исключает Операторов из Реестра путем дополнения ранее внесенных записей сведениями об исключении Операторов из Реестра.
14. В случае изменения сведений, содержащихся в Уведомлении после включения Оператора в Реестр, он обязан уведомить об изменениях Службу в течение десяти рабочих дней с даты возникновения таких изменений. Внесение указанных изменений в Реестр производится на основании приказа руководителя Службы или заместителя руководителя и не приводит к изменению регистрационного номера соответствующей записи в Реестре.
15. Сведения, содержащиеся в Реестре, за исключением подпункта "к" пункта 4 настоящего Положения, являются общедоступными.
16. Информация о Реестре публикуется на официальном сайте Службы.
17. Операторы, включенные в Реестр, вправе получить выписку из Реестра по письменному обращению в Службу в срок не позднее тридцати дней.
VI. Порядок исключения операторов из Реестра
18. Вопрос об исключении Оператора из Реестра рассматривается в следующих случаях:
Поступление в Службу или ее территориальные управления письменного заявления (обращения) от Оператора, включенного в Реестр, об исключении с приложением обоснований;
Принятие Службой или ее территориальными управлениями мер по приостановлению или прекращению Оператором обработки персональных данных, осуществляемой с нарушением требований Закона.
19. Операторы исключаются из Реестра при наступлении одного из следующих условий:
Ликвидация Оператора;
Прекращение деятельности Оператора в результате его реорганизации, за исключением реорганизации в форме преобразования;
Аннулирование лицензии на осуществление лицензируемой деятельности Оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
Наступление срока или условия прекращения обработки персональных данных, указанных в Уведомлении;
Решение суда о прекращении оператором деятельности по обработке персональных данных;
Иные, установленные законодательством Российской Федерации в области персональных данных.
20. Решение об исключении Оператора из Реестра оформляется приказом руководителя Службы или заместителя руководителя Службы.
На основании изданного приказа в Реестр вносятся сведения об исключении Оператора из Реестра. После исключения Оператора из Реестра регистрационный номер соответствующей записи в дальнейшем не используется.
21. Информация об исключении Оператора из Реестра должна быть опубликована на официальном сайте Службы в сети Интернет не позднее трех дней с даты подписания приказа.
Требования закона к оператору персональных данных
Оператор обязан обеспечивать конфиденциальность персональных данных. В статье 7 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее ФЗ-152) написано, что оператор не обязан защищать персональные данные, если они являются обезличенными или общедоступными. Оператор персональных данных не имеет права обрабатывать данные без согласия субъекта персональных данных , то есть человека, кому эти данные принадлежат. Однако, в ст. 6 ч.2 ФЗ-152 предусмотрен ряд случаев, когда согласие субъекта не требуется.
В частности, не требуется согласие субъекта, если его персональные данные обрабатываются на основании Федерального закона, определяющего цель и содержание такой обработки (ст. 6, п.2, ч.2). Например, согласно Федеральному закону № ФЗ-3266-1 «Об образовании», у выпускников средних общеобразовательных учреждений не обязательно брать согласие на обработку их персональных данных для допуска к ЕГЭ. Органы и организации, привлекаемые к проведению ЕГЭ, осуществляют «…передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена <…> персональных данных обучающихся, участников единого государственного экзамена <…> в соответствии с требованиями законодательства Российской Федерации в области персональных данных без получения согласия этих лиц на обработку их персональных данных» (ст. 15, п. 5.1). В апрельском номере журнала «Персональные данные» есть большой материал , посвященный именно этой проблеме.
Еще один случай, когда для обработки персональных данных не требуется согласие субъекта: исполнение договора, одной из сторон которого является субъект персональных данных. Для примера подойдет любой договор компании с физическим лицом на оказание услуг. Массу полезной информации по этой теме можно найти в специализированной прессе. Оператор также должен обеспечивать необходимые организационные и технические меры для пресечения попытки незаконного доступа к персональным данным.
Необходимые документы
Каждый оператор персональных данных обязан иметь пакет документов, подтверждающих защищенность Пдн сотрудников и клиентов.
Перечень необходимых документов может меняться в зависимости от специфики обработки персональных данных, орг.структуры и других особенностей каждого отдельно взятого предприятия.
В соответствии с данным пакетом документов на предприятии должны быть внедрены технические средства защиты персональных данных.
Подготовка документов, необходимых для защиты персональных данных
Существует несколько способов подготовить документы в соответствии с требованиями 152-ФЗ «О персональных данных» :
Средства защиты
Практически в каждой организации имеется информационная система персональных данных (сокращённо ИСПДн), которая может содержать, например, фамилию, имя работника, его паспортные данные, ИНН и т. д. С этой информационной системой работает оператор. В зависимости от того, какие данные содержатся в ИСПДн конкретной организации, эта ИСПДн может относится к одному из четырёх классов, каждый из которых предусматривает различные средства для защиты персональных данных.
См. также
Ссылки
- www.rsoc.ru Реестр операторов, осуществляющих обработку персональных данных
- www.pd.rsoc.ru Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных
- www.privacy-journal.ru Информационно-аналитический журнал "Персональные данные"
Wikimedia Foundation . 2010 .
Смотреть что такое "Оператор персональных данных" в других словарях:
Оператор персональных данных - 2) оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки… … Официальная терминология
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,… … Википедия
Субъект персональных данных физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Содержание 1 Взаимодействие с субъектом персональных данных … Википедия
Комплекс мероприятий технического, организационного и организационно технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных… … Википедия
Эта статья или раздел описывает ситуацию применительно лишь к одному региону. Вы можете помочь Википедии, добавив информацию для других стран и регионов. Содержание 1 Определение … Википедия
Номер: 152 ФЗ Принятие: Государственной думой 26 июля 2006 года Вступление в силу: 26 января 2007 г. Федеральный закон РФ от 27 июля 2006 года № 152 ФЗ «О персональных данных» федеральный закон, регулирующий деятельность по обработке (использ … Википедия
Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) - Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… …
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ПРИНЯТИИ РЕШЕНИЙ НА ОСНОВАНИИ ИСКЛЮЧИТЕЛЬНО АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, заключаются в запрещении принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении… …
оператор - 4.22 оператор (operator): Какой либо объект, осуществляющий работу системы. Примечание 1 Роль оператора и роль пользователя могут возлагаться одновременно или последовательно на одно и то же лицо или организацию. Примечание 2 В контексте данного… … Словарь-справочник терминов нормативно-технической документации
ОПЕРАТОР - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и/или осуществляющие обработку персональных данных, а также определяющие цели … Делопроизводство и архивное дело в терминах и определениях
Деятельность любой организации неизбежно подразумевает обработку персональных данных в информационной системе (ИСПДн). Каждое предприятие, использующее конфиденциальную информацию о сотрудниках, клиентах, партнерах и других физлицах, обязано пройти регистрацию в качестве оператора персональных данных.
Порядок хранения и защиты персональных данных
Организация защиты конфиденциальных сведений проходит в несколько этапов:
- Проверка начальных работ по обработке персональных данных (ревизия локальной нормативной базы, анализ информационных потоков ПДн и ИСПДн в целом, выявление недостатков и угроз безопасности информационной системы, внесение предложений по исправлению недостатков, улучшению систем защиты персональных данных).
- Разработка нормативной базы по защите ПДн. Данный этап включает в себя классификацию ИСПДн и регистрацию в качестве оператора персональных данных в Роскомнадзоре.
- Проектирование системы защиты ПДн – выбор способов, мер и классов средств защиты ПДн, разработка технической документации на создание СЗПДн, а также разработка конкретных мероприятий по защите информации в каждой конкретной ИСПДн.
- Внедрение СЗПДн – ввод в действие систем защиты ПДн и настройка существующих средств защиты ИСПДн.
- Оценка соответствия ИСПДн, в рамках которой проводятся оценочные испытания ИСПДн и выдается соответствующий Аттестат.
Регистрации в качестве оператора персональных данных в Реестре Роскомнадзора является частью общего процесса организации обработки и защиты ПДн.
Этапы регистрации оператора ИСПДн в Роскомнадзоре
Регистрация оператора ИСПДн включается в себя следующие этапы:
- Разработка и принятие нормативной базы по обработке и защите ПДн.
- Заполнение формы уведомления о намерении осуществлять обработку персональных данных на сайте территориального органа Роскомнадзора.
- Отправка уведомления в информационную систему Уполномоченного органа по защите прав субъектов персональных данных.
- Печать заполненной формы с подписями.
- Направление распечатанной формы уведомления в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.
Предлагаем вам составить документы, необходимые для регистрации в качестве оператора персональных данных, с помощью нашего онлайн-сервиса. На этой странице представлены акты, инструкции, положения, журналы, уведомления и другие документы.
С этим шаблоном часто используют:
| Популярные документы и процедуры: |
Регистрация оператора персональных данных внутреннего пользования
п. 4 - обязательно это нужно делать каждому юр. лицу или ИП, если он предполагает обработку перс данных сотрулников и клиентов?
мы компания, которая создала и обсуживает систему где присутствуют персональные данные клиентов заказчика, набор этих документов нам не подходит, больше подходит когда работадатель данные сотрудников своих обрабатывает, но то же не совсем.
Здравствуйте! есть несколько вопросов по настройке шаблонов. 1) Скажите пожалуйста, как настроить шаблоны системы ИСПДн, чтобы классифицировать систему под актуальные угрозы 1 типа и необходимость обеспечения 1-го уровня защищенности. Будут ли в этом случае, предлагаемые шаблоны согласованы между собой? 2.) Возможно ли предзаполнение всех документов системы (28 документов) первоначально вводимыми данными (наименование юр. лица, категории персональных данных), или требуется их вводить каждый раз при заполнении отдельного документа системы?
Уточните, пожалуйста, какой минимально возможный уровень защищенности ПДн можно оформить на базе Ваших шаблонов? (мы заинтересованы в минимизации расходов на систему. обрабатываться будут ПДн работников и контрагентов. Специальные категории ПДн и биометрические данные не обрабатываем)
Здравствуйте! Мы заинтересованы использовать механизм ведения и учёта заданий в рамках трудовых обязанностей своих работников, путём регистрации учётной записи (личного кабинета) с именем работника (имя пользователя) и предоставления уникальных идентификатора (логина) и пароля к данной записи, как рекомендуется в Вашем шаблоне «Регламент интеллектуальной собственности», п. 6.2. При этом, в п. 6.4 упомянутого Регламента интеллектуальной собственности указывается, что все адреса корпоративной электронной почты и все логины или имена пользователей в Программных инструментах указываются в особом внутреннем документе, утверждаемом Генеральным директором Общества, который обновляется и доводится до сведения всех сотрудников Общества по мере необходимости, т.е. данные раскрываются другим лицам. Просим разъяснить следующие вопросы: 1.) относятся ли к персональным данным (и если да, то к какой категории), данные учётной записи (личного кабинета) с именем работника (именем пользователя) и уникального идентификатора (логина) и пароля работника во внутренней системе Оператора, адрес электронной почты работника во внутренней системе Оператора? 2.) если такие данные относятся к персональным данным, то будут ли особенности использования их в Ваших шаблонах по ИСПДн (не повлечет ли это необходимости приобретения криптографических средств защиты и т.п.)?
Здравствуйте! Согласно законодательства не надо уведомлять регулятора при обработке персональных данных, обрабатываемых в соответствии с трудовым законодательством. А как быть с кандидатами, не принятыми на работу? Их данные остались, мы их имеем право хранить без уведомления регулятора? Например, если кандидат не выдержал испытательный срок(здесь очевидные трудовые отношения). Или, к примеру, даже не был допущен к испытанию? Просто эти данные нам сегодня не нужны, а завтра мы подняли анкету, пригласили человека и трудоустроили. Будет ли это диспозиция 86 статьи ТК в части "обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве" и соответственно может осуществляться без ведома регулятора?
Здравствуйте. Пакет документов по обработке данных разработан для работников или контрагентов?
А заполнять документы нужно онлайн или после скачивания просто в ВОРДЕ?
Здравствуйте! Если вы обрабатываете ПДн своих сотрудников или клиентов, то защитить их нужно обязательно. Нужно разработать правильный комплекс локальных нормативных актов, представленных в процедуре, а также обеспечить технические меры, если обработка осуществляется в автоматизированном или частично автоматизированном режиме, и организационные. Исключение касается только подачи уведомления в Роскомнадзор для регистрации в качестве оператора персональных. Все эти исключения прописаны в статье 22 п.2 152-ФЗ. Самые часто встречающиеся исключения - это обработка ПДн сотрудников в рамках трудового законодательства, обработка ПДн клиентов в рамках исполнения договора (например, чтобы поставить товар клиенту нужно знать его адрес, данные паспорта).
Здравствуйте! Согласно п. 2 ст. 3 Закона № 152-ФЗ, под оператором персональных данных понимается, в частности, юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).Таким образом, если при выполнении Вами работ по обслуживанию сайта Вы осуществляете какое-либо одно или совокупность действий перечисленных выше, - согласно закону Вы являетесь оператором персональных данных, со всеми вытекающими отсюда обязанностями. Закон не делает исключений для тех операторов, которые не осуществляли сбор ПДн непосредственно от субъектов, а получили ПДн от другого оператора. Оператор – тот, кто осуществляет обработку, т.е. любое лицо, осуществляющее хотя бы одно из указанных в ст. 3 ФЗ № 152 действий с ПДн. И в таком случае рекомендуем придерживаться процедуры: http://www..Благодарим Вас за использование сервиса!
Здравствуйте! Вам необходимо ответить на вопросы опросного листа в левой части страницы – пакет необходимых документов сформируется автоматически. Если введенное в каком-либо документе значение – идентично для другого документа в общем пакете, то оно автоматически заполниться в этом документе. Шаблоны документов подойдут для обеспечения 1-го уровня защищенности ПД. Обращаем Ваше внимание на то, что помимо разработки документации, необходимо также разработать и внедрить технические меры защиты. Состав и содержание таких «базовых» мер определен в приказе ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».Благодарим за использование нашего сервиса!
см. ответ ниже
Здравствуйте!Персональными данными является любая информации, позволяющая безошибочно идентифицировать физическое лицо (по смыслу ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"). В данном случае, отдельно взятые адреса корпоративной электронной почты и логины или имена пользователей являются персональными данными работников, которые необходимы работодателю в связи с трудовыми отношениями, что само по себе не влечет за собой особенностей применения специального режима защиты (с учетом соблюдений требований, установленных главой 14 ТК РФ). Рекомендуем Вам ознакомиться с процедурой, расположенной по ссылке: http://www.. Благодарим за использование нашего сервиса!
Здравствуйте. Работодатель вправе без уведомления Роскомнадзора обрабатывать персональные данные кандидатов на должности, сохранять их резюме, формируя как бумажную, так и электронную базу соискателей, если имеется их письменное согласие. Данный вывод основан на том, что согласно п.1 ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», без уведомления уполномоченного органа может производиться обработка данных, обрабатываемых в соответствии с трудовым законодательством.Персональные данные соискателей могут храниться в базе у работодателя, если на то дано письменное согласие кандидата и указан срок такого хранения. Что касается бывших работников (как не выдержавших испытание), полагаем, что если ТК РФ или иными законами на работодателя не возлагается обязанность обрабатывать данные бывших работников, то такая обработка должна осуществляться только с уведомлением Роскомнадзора (если отсутствуют иные основания для обработки персональных данных без подачи уведомления, например, обработка персональных данных без использования средств автоматизации). Рекомендуем уточнить этот вопрос в уполномоченном органе. Благодарим за ваше обращение.
22 статья 152-ФЗ почитали. Но поскольку не со всеми соискателями, ПДн которых мы собираем, мы вступаем в трудовые отношения(принимаем на испытание или хотя бы приглашаем на собеседования), Роскомнадзор уведомлять все-таки надо в этом случае
Здравствуйте. Обработка персональных данных соискателей тоже ведется в рамках трудового законодательства. Согласно позиции Четвертого арбитражного апелляционного суда, основание, предусмотренное п.1 ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», распространяется и на деятельность по подбору персонала (Постановление от 07.02.2018 N 04АП-127/2018 по делу N А19-17054/2017). Это связано с тем, что трудовое законодательство регулируется не только Трудовым кодексом РФ, но и иными нормативными актами. Так, Федеральным законом от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации" предусмотрено, что работодатели содействуют политике занятости, в частности, путем трудоустройства. Полагаем, что письменного согласия соискателя на хранение определенных его данных в течение оговоренного в согласии срока будет достаточно для соблюдения законности в данной сфере. Уведомлять Роскомнадзор нет необходимости. Тем не менее, во избежание споров, рекомендуем все же уточнить этот вопрос в уполномоченном органе. Благодарим за ваше обращение.
Спасибо! Почитал судебное решение. Вопрос скользкий. Это судебное решение говорит о том, что позиция Роскомнадзора-уведомлять, но АС Иркутской области вместе с апелляцией встали на сторону юрлица. Учитывая известность позиции Роскомнадзора встанет ли АС нашего региона на нашу сторону неизвестно. Поэтому-таки направили письмо с вопросом.
Здравствуйте. Благодарим за ваш отклик. Было бы интересно и полезно увидеть итог вашего обращения на странице нашего обсуждения. С уважением, компания FreshDoc.
Я обязательно отпишусь, как они ответят! Ваши советы очень помогли мне в выработке правовой позиции по этому вопросу)
Написал. Как Вы думаете что ответили? Ни-че-го! То есть конечно, ответили, но ни о чем. Суть письма сводится к тому, что решать вам подавать уведомление или нет. Я хотел добиться, чтобы на случай проверки у меня был их ответ, но не получилось. А прикрываться решением суда другой области.. У нас пока что не англо-саксонская правовая система, а континентальная и для меня основной вывод из мотивировочной части решения суда, это видение Роскомнадзора, а встанет ли наш краевой суд на нашу стороу, как встал в Иркутске неизвестно
Здравствуйте. Спасибо за ваш отклик. Наличие ответа Роскомнадзора не является гарантированной защитой от привлечения к ответственности. Для суда мнение ведомства, каково бы оно ни было, также не имеет решающего значения. Рекомендуем составить свое мотивированное мнение, и по возможности, заручиться подходящими ко случаю судебными актами. С уважением, компания FreshDoc.
В любом случае хоть Уведомление, хоть нет, а требования статей 18.1, 19 ФЗ-152 обязан исполнять любой оператор при обработке ПДн: назначать ответственное лицо, разрабатывать и утверждать политику и положение о ПДн и т.д. Тем более, Роскомнадзор проводит Плановые проверки в отношении всех операторов, а не только в отношении включенных в реестр Роскомнадзора по Уведомлению
Здравствуйте. Да, принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных", возлагается на оператора ПДн в независимости от наличия/отсутствии его в реестре операторов (направления в Роскомнадзор уведомления). При этом для выполнения требований, предусмотренных ст. 22 ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных", оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн, в противном случае ему грозит штраф, предусмотренный ст. 19.7 КоАП РФ.
Здравствуйте. Круг субъектов персональных данных установлен в разделе 3 «Персональные данные, обрабатываемые в ИСПДн» Положения об обработке и защите персональных данных, которое входит в пакет документов и находится по ссылке https://www.сайт/?oid=7086347. В нем, в частности, установлено, что обрабатываются данные следующих субъектов: сотрудники Оператора; акционеры/учредители Оператора, лица связанные с сотрудниками, акционерами, учредителями (дети, в отношении которых выплачиваются алименты, жены, и т.д.); клиенты (потребители услуг Оператора); индивидуальные предприниматели - контрагенты Оператора; клиенты организаций, контрагентов Оператора (обслуживание корпоративных клиентов). Также установлено, что данный перечень может пересматриваться. Благодарим вас за обращение.
Заполнить документы можно прямо на сайте.
