Правовое основание обработки персональных данных образец

Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru

Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.

Rawpixel

Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.

Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.

Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».

Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору.

Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.

Разберемся с терминами

Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.

Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.

Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.

Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.

Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.

При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» – всегда =)

1. Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
2. Вы собираете данные клиентов для заключения договоров/выполнения заказов.
3. На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.

Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

Шаг 3. Меры защиты персональных данных

После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

1. Антивирусная защита
2. Модули разграничения доступа на уровне прикладных систем или сети.

1. Назначаем ответственного за защиту персональных данных
2. Утверждаем перечень обрабатываемых и защищаемых данных.
3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

1. Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях.

   Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.

2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется.

   Подробнее о таких случаях — тут.

3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

Шаг 4. Отправка уведомления в Роскомнадзор

Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.

Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

Чем грозит невыполнение требований по обработке персональных данных

Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

Разберем самые распространенные нарушения:

Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

Выводы

Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.

Основные нормативные документы, касающиеся обработки персональных данных

Источник: https://vc.ru/legal/52958-obrabotka-personalnyh-dannyh-poshagovaya-instrukciya-dlya-kompaniy

Что требуется от УК и ТСЖ при работе с персональными данными

В 2019 году четко сформировалась система осуществления административного контроля в сфере организации защиты персональных данных (ПП РФ от 13.02.

2019 №146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»).

Данный документ рассматривает вопросы о проведении плановых и внеплановых проверок и указывает на то, что в целях проверки операторов персональных данных, они могут быть включены в ежегодный план проверок по истечении 3-х лет с момента регистрации или последней проверки.

Сразу дам совет, в начале каждого года просматривать план проверок, публикуемый на сайте прокуратуры, чтобы точно знать какие проверки каких государственных надзорных органов, проводимые на плановой основе, предстоят вам в ближайшем будущем.

Но давайте будем разбираться с защитой персональных данных в организациях, работающих в сфере ЖКХ.

Для начала необходимо условиться о терминологии. Все необходимые для понимания термины указаны в ст.3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — 152-ФЗ). Их желательно прочитать хотя бы один раз в жизни.

Самый первый вопрос, который обычно задают будущие операторы — какой набор данных о физическом лице считать персональными данными (ПДн). Печально, что законодатель в п.1 ст.

3 152-ФЗ дает следующее размытое понятие: ПДн — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

На сегодняшний день лучше всего ориентироваться на то, что персональными данными физического лица являются те данные, которые позволяют однозначно идентифицировать это самое физическое лицо и прямо к нему относятся, например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, имущественное положение и т.д. Юридические лица, как субъекты персональных данных вовсе не имеют.

Далее необходимо разобраться в том, является УК, ТСЖ оператором персональных данных или нет, обязано оно выполнять требования законодательства в области обработки ПДн или нет. Согласно п.2 ст.

3 152-ФЗ оператором является юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, сомнений в том, что УК, ТСЖ является оператором персональных данных не возникает, отсюда у УК, ТСЖ, согласно требованиям Гл. 4 152-ФЗ возникают обязанности по защите ПДн при из обработке. Вот с реализацией этих обязанностей на практике часто возникает множество вопросов.

Давайте разберемся, что нам необходимо сделать с целью выполнения требований законодательства

Первое, что нам надо сделать, четко ответить на следующие вопросы:

– какой набор персональных данных мы обрабатываем (например, фамилия, имя, отчество (заметьте не ФИО, а каждый реквизит в отдельности), адрес, сведения об объектах недвижимости, принадлежащих на праве собственности (или ином праве), суммы платежей и т.д.);

– каковы цели обработки персональных данных (при этом, цели должны быть четко сформулированы, например: управление эксплуатацией жилого и нежилого фондов; ведение реестра собственников помещений в соответствии с ЖК РФ; ведение списка членов ТСЖ «НАЗВАНИЕ», осуществление расчетов с потребителями коммунальных услуг в рамках заключенных договоров; обработка персональных данных работников ТСЖ «НАЗВАНИЕ» в соответствии с ТК РФ). Почему тут нет ничего о ПДн, обрабатываемых при паспортном учете? Автор придерживается позиции о том, что ведение паспортного учета сотрудниками ТСЖ, УК после упразднения ФМС России и обновления редакции Административного регламента по учету граждан МВД от 31.12.2017 №984 не целесообразно, т.к. гораздо дешевле и практичнее осуществлять все операции непосредственно собственникам напрямую в органах МВД или путем направления электронных заявок через портал Госуслуг, чем платить ежемесячно за услуги паспортного стола, ждать когда паспортист съездит в органы МВД. Для ТСЖ это платить зарплату паспортисту, оборудовать помещения паспортных столов в соответствии с требованиями МВД, выделять (и оплачивать) транспорт для путешествий паспортиста. Более того, с учетом положений нового Административного регламента паспортист выполняет функции приема-передатчика не более того, самостоятельно никакого учета он не ведет.

– какие действия по обработке персональных данных мы планируем осуществлять, а это может быть сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных;

– будем ли мы передавать ПДн третьим лицам и, если будем, то на каких правовых основаниях. Важно понимать, это будет передача в силу исполнения положений нормативных правовых актов (например, передача данных в адрес органов социальной защиты на основании ФЗ от 28.12.

2013 №442-ФЗ, налоговые органы на основании положений НК РФ и т.д.) или это будет передача в расчетные центры, агентства по распечатке и доставке платежек по договорам).

Обращаю внимание на то, что передача квитанций по оплате коммунальных услуг, согласно разъяснениям регулятора, должна быть выполнена в конвертированном виде, иначе это является нарушением;

– каким способом («автоматизированным» или «бумажным») мы обрабатываем ПДн. По смыслу новой редакции 152-ФЗ автоматизированной считается любая обработка ПДн в цифровом виде (ранее такой обработкой считалась только обработка в специальной программе, например, 1С, а вот обработка в текстовых документах нет);

– в случае, если мы используем облачные сервисы по обработке ПДн (например 1С: Рарус), нам необходимо уточнить физическое местонахождение серверов и убедиться в том, что серверы компании, оказывающей облачные услуги, располагаются на территории РФ (отсутствует трансграничная передача данных). Обычная проверка Роскомнадзора возможно и не станет так сильно углубляться в детали, а вот проверка ФСБ России может.

После того, как нами составлен такой список, необходимо еще раз пробежаться по перечню персональных данных и убедиться, что данный перечень не является избыточным и соответствует заявляемым нами целям.

Теперь мы можем написать уведомление в органы Роскомнадзора о том, что мы обрабатываем персональные данные, с целью избежать штрафа (ст.13.11 КоАП), но не будем торопиться.

Для начала, имея исходные данные, посмотрим на то, какие меры мы готовы принимать по защите ПДн и выпускать документы, которые от нас как операторов требует ст.19 152-ФЗ. В ст.19 152-ФЗ содержатся основные меры, которые раскрываются, уточняются и дополняются следующими подзаконными актами:

– если у нас только «бумажная обработка» руководствуемся постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

– если у нас автоматизированная обработка

Источник: https://zen.yandex.ru/media/id/5c32e880871d9300abf8bfc6/chto-trebuetsia-ot-uk-i-tsj-pri-rabote-s-personalnymi-dannymi-5c66f57b5f895b00aef0d340

Политика обработки персональных данных: как составить документ

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.

2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц.

Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

Структура Политики обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

• Общие положения
• Цели сбора персональных данных
• Правовые основания обработки персональных данных
• Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
• Порядок и условия обработки персональных данных
• Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

• из анализа правовых актов, регламентирующих деятельность оператора;
• из целей фактически осуществляемой оператором деятельности;
• из деятельности, которая предусмотрена учредительными документами оператора;
• из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.  

К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

Что указывается в этом разделе:

• перечень действий, совершаемых с персональными данными;
• способы обработки персональных данных;
• сроки обработки персональных данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

• пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
• указать наименование и местонахождение третьих лиц;
• обозначить цели передачи данных и их объем;
• перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ.

В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки.

В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу. 

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики обработки персональных данных в офисе и на сайте

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Источник: https://kontur.ru/articles/4871

Обработка персональных данных управляющими организациями

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные.

Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому  управляющие организации являются операторами по обработке персональных данных.

ГИС, сдавайся! (часть VIII) Вносим в ГИС ЖКХ информацию о договоре управления

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили,  вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.Правомерность обнародования списка должников ЖКУ

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или  при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в  отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм  был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Источник: https://roskvartal.ru/deyatelnost-uk/8029/roskomnadzor-ob-obrabotke-personalnyh-dannyh

Правовое основание обработки персональных данных: образец

Данные методические рекомендации приготовлены для того, чтобы разъяснить правовое основание обработки персональных данных операторам, которым предстоит осуществлять ее.

Здесь содержатся сведения, необходимые при проведении такой обработки, информация обо всех изменениях в представленных ранее положениях.

Рекомендации не только дают правовое основание обработки персональных данных, но и поясняют, почему должны быть прекращены эти действия.

Федеральный закон

С марта 2009 года существует Положение по постановлению Правительства РФ, касающееся Федеральной службы по надзору в сфере массовых коммуникаций, информационных технологий и связи, где в первом пункте Роскомнадзор получает полномочия и правовое основание обработки персональных данных для защиты прав субъектов.

В статье 23 (часть 5, пункт 3) 152-ФЗ, где говорится о персональных данных, уполномоченный орган, занимающийся защитой прав субъектов, по обязанности ведет реестр операторов. Он получает правовое основание обработки персональных данных.

Реестр включает в себя внесение сведений об операторе согласно поданному уведомлению. Далее вносятся изменения в сведения, содержащиеся в реестре об операторе согласно полученному информационному письму.

Вносятся сведения о прекращении обработки персональных данных, правовое основание – это поступившее заявление. Оно же дает право на получение выписки из реестра.

Информацию в полном объеме, касающуюся формы ведения реестра, содержит портал персональных данных и официальный сайт Роскомнадзора.

Там же можно найти рекомендованную форму уведомления о намерениях осуществления на правовом основании обработки персональных данных. Образец включен в иллюстрации к статье.

Там же находится и информационное письмо (уведомление, касающееся внесения изменений в реестр относительно сведений об операторе).

Кроме этого, среди приложений есть еще две рекомендованные формы:

1. Заявление относительно прекращения со стороны оператора обработки персональных данных с правовым основанием, образец которого можно скачать и распечатать.
2. Заявление на получение выписки, точно так же – в рекомендованной форме.

Сведения

Сведения об операторе, которые содержатся в реестре, общедоступны. Однако чтобы воспринять содержащуюся в реестре информацию, нужно более подробно коснуться понятийной системы. Иначе не каждому будет понятно, что писать.

Правовое основание обработки персональных данных содержит достаточное количество вопросов. Во-первых, кто такой оператор? Это государственные или муниципальные органы, физическое или юридическое лицо, которое осуществляет на правовом основании обработку персональных данных в организации.

Эти же органы или лицо должно определить цель и содержание такой обработки.

Во-вторых, что подразумевается под понятием правового основания обработки персональных данных? Руководствуясь образцом, можно довольно легко определить, что это любая операция или их совокупность, которая совершается при помощи средств автоматизации работы с персональными данными или без таковых.

Данные можно собрать, записать, систематизировать, накопить, хранить, уточнять, обновлять, изменять, извлекать, использовать, передавать, распространять, предоставлять, создать к ним доступ, обезличить, блокировать, удалять, уничтожать. Вот этим и занимается оператор при заполнении реестра.

Это очень общие сведения правового основания обработки персональных данных.

В школе и детском саду

В последние годы достаточно часто случаются конфликты сотрудников детских садов и школ с родителями, поскольку последние не согласны с тем или иным вариантом обработки персональных данных в школе.

Правовое основание для этого связано с законом, о котором было сказано выше – 152-ФЗ. Чаще всего родители просто не в курсе того, о чем там говорится. Сотрудники не могут найти с ними общий язык, потому что говорят все о разных вещах.

Здесь нужно знать пять важнейших аспектов для предотвращения всяческих недоразумений.

Во-первых, школы или ДОУ всегда являются операторами, которым дано правовое основание обработки персональных данных в ДОУ или школе. Именно операторы отвечают за безопасность всех данных.

Проблемы здесь весьма запутанные, и обычные родители, не соприкасающиеся с обработкой данных, в ней просто не разбираются, но угрозы и претензии, поступающие от них в сторону дошкольных или школьных образовательных учреждений, практически всегда далеки от адеквата.

Принципы закона

Образовательные учреждения любого уровня всегда должны обрабатывать данные родителей, учеников и преподавателей (воспитателей). Прежде всего это делается для продуктивной коммуникации.

Закон гласит, что любая информация, которая связана с конкретным человеком, обрабатывается в соответствии с поставленными целями. И это важнейший из критериев законности такой обработки. Оператор же и отвечает за их сохранность.

Общедоступные данные защиты не требуют, поскольку субъект дал разрешение на их публикацию в открытых источниках. И если это разрешение отозвано, закон требует общедоступные данные защищать.

Школьную информацию в тайне сохранить не получится. Например, ДОУ и любая школа публикует на официальных сайтах имена, отчества, фамилии, квалификационные показатели, а также данные о работе, которая ведется.

Бывают данные обезличенные, которые не позволяют без дополнительного информатора определить субъекта, к которому они относятся. Их защитить гораздо проще.

Для данных, содержащих любую медицинскую информацию (в законе перечислены виды информации помимо медицинских данных), защита осуществляется наиболее жестко.

Гражданский кодекс

Помимо 152-ФЗ, правила обработки данных устанавливает и Гражданский кодекс.

Например, родителей под подпись знакомят с основными принципами прямо при приеме ребенка в детский сад или школу и берут письменное согласие о том, что они разрешают публикацию видео- и фотоизображений ребенка, если это будет необходимо при отражении разнообразных событий образовательного процесса. Отсутствие такого согласия тем не менее не лишает учреждение правовой основы для обработки личных данных. Хотя именно такая ситуация и приносит оператору наибольшие неприятные хлопоты.

В законе есть исключения, когда согласие не требуется вообще, и это может не касаться образовательных учреждений. Например, организуется поездка с детьми. Покупаются билеты по спискам участников. Если образовательные цели преследуются, правовое основание уже присутствует.

Нужен только приказ руководства, выполненный в формулировках 152-ФЗ. Если образовательные цели не преследуются, нужно брать письменное согласие родителей или искать решение в рамках других законов.

Причем отозвать согласие на обработку личных данных субъект может совершенно в любой момент, Гражданский кодекс подтверждает это, хотя обязательно последуют какие-либо административные последствия.

Как иллюстрацию неважности письменного согласия можно рассматривать письмо от 4 марта 2015 года №03-155 Министерства образования и науки, где есть прямой ответ на вопрос о передаче личных данных в информационную систему сдачи ЕГЭ или ОГЭ из школы, где обучается ребенок. Родитель может отказаться, хотя никакого письменного согласия в данном случае и не требовалось. Однако ребенок к сдаче экзаменов допущен не будет.

Один из видов обработки данных – передача их третьим лицам, что является как раз требуемой законом защитой, которая содержит целый ряд специфических мероприятий. Федеральный закон предусматривает такие случаи конкретно.

Например, если поступает угроза здоровью или жизни людей. Относительно публикации информации в электронных классных журналах существуют ответы на проблемные вопросы в письме АК-3358/08 от 21 октября 2014 года Минобрнауки РФ.

Другие организации

Любые другие учреждения и организации, являющиеся операторами по сбору, обработке и хранению данных, так же точно выполняют общие требования, определенные законодательством РФ, в том числе и статьей 86 Трудового кодекса. Правовое основание обработки персональных данных сельхозпредприятия, промышленного объекта, в принципе, любого образования состоит только в соблюдении существующих законов и других нормативных актов.

Целью такой обработки может служить содействие в трудоустройстве, в профессиональном росте и обучении, в обеспечении безопасности личной и корпоративной, в контроле за качеством и количеством продукта деятельности и во многом еще. Все персональные данные после того, как были получены, проходят обработку и передаются на хранение на бумажных или электронных носителях (с помощью информационных систем).

Согласие и условия

Для того чтобы начать обработку, работодатель должен попросить письменное согласие у своего работника. Форма этого документа как образец присутствует здесь в иллюстрациях. Передача личных данных производится при различных условиях.

Без письменного согласия работника данные третьей стороне не передаются, кроме случаев угрозы здоровью и жизни, а также прочих, установленных законодательством.

Тем более нельзя использовать данные работника в целях коммерческих, если такового согласия работник не дал.

Лица, получающие информацию личного характера, обязаны соблюдать полную конфиденциальность. Доступ к личной информации разрешается только тем работникам, которые имеют правовое основание для сбора, хранения и обработки данных.

Информация о состоянии здоровья сотрудника запрашивается только в тех объемах, которые необходимы для выполнения трудовой деятельности. В каждом своем действии оператор обязан руководствоваться правилами, установленными ТК РФ.

Хранение и защита

Каждое предприятие, в том числе и сельскохозяйственного направления, оформляет, формирует, ведет и хранит содержащую персональные данные информацию.

И всегда эта работа выполняется теми, кто имеет на то правовое основание, зафиксированное в должностных инструкциях. Ответственный за такую деятельность назначается генеральным директором.

Допуск к информации посторонние не имеют, список допущенных к этой деятельности лиц также утверждается руководством предприятия и визируется подписью генерального директора.

Постоянное право доступа к личным данным имеют генеральный директор, администрация в лице начальника и сотрудников, отвечающих за работу с персоналом, инспектор по кадрам, инженер, отвечающий за организацию и нормирование труда в структурных подразделениях.

На некоторых предприятиях в любой момент может запросить любую персональную информацию главный бухгалтер, если необходимо подготовить определенные документы. Всегда имеет доступ к конфиденциальной информации ответственный за безопасность и его сотрудники в рамках полномочий.

Этот список варьируется в зависимости от правил врутреннего распорядка предприятия.

Передача данных

Передавать данные можно сугубо по письменному запросу государственных властных органов: в правоохранительные органы, налоговые инспекции, суды, органы безопасности, МЧС, в миграционную службу, военкоматы, органы социалного страхования, статистики, в пенсионные фонды и тому подобные.

Однако без письменного сгласия работника и этого делать нельзя ни по факсу, ни по телефону, ни по электронной почте, ни на каких носителях. Исключения содержатся в законодательстве РФ.

Источник: https://FB.ru/article/364913/pravovoe-osnovanie-obrabotki-personalnyih-dannyih-obrazets