Бесплатная горячая линия

8 800 301 63 12
Главная - Другое - Где зарегаться как оператор персональных данных

Где зарегаться как оператор персональных данных

Где зарегаться как оператор персональных данных

152-ФЗ: что нужно знать, если у вас есть сайт

  1. Оглавление

С 1 июля 2017 года штрафы за несоблюдение требований Федерального закона N 152-ФЗ «О персональных данных» выросли в разы. Если раньше предпринимателя могли оштрафовать на сумму до 10 000 рублей, то сегодня — до 295 000 рублей. Мы разобрались, как этого избежать.

Закон действует для всех операторов персональных данных. Оператор персональных данных — это юридическое лицо или ИП, которое собирает, обрабатывает и хранит данные пользователей.

Если на вашем сайте есть форма обратной связи, в которую пользователь вводит своё имя и номер телефона, или вы собираете email-адреса клиентов, чтобы рассылать им рекламные предложения, вы — оператор персональных данных.

«Закон не распространяется на физических лиц, которые обрабатывают персональные данные исключительно для своих личных целей или семейных нужд, если при этом не нарушаются права других людей. Например, Коля и Света составляют список приглашённых на свадьбу.

В этом списке — имена гостей и их контакты, по которым жених и невеста будут рассылать приглашения. Коля и Света обрабатывают данные для семейных нужд и не попадают под действие закона.

152-ФЗ также не распространяется на архивное хранение. Если сотрудник уволился, а его документы переданы на хранение в архив организации, компания не считается оператором персональных данных. И третье: под действие закона не попадают компании, которые работают с данными, составляющими государственную тайну».

Если на вашем сайте есть хотя бы одно из этого, вы — оператор персональных данных:

  1. форма обратной связи;
  2. личный кабинет пользователя;
  3. форма заказа обратного звонка;
  4. Яндекс.Метрика или Google Analytics.
  5. форма заявки;
  6. форма подписки на email-рассылку;

Закон чётко не определяет, что такое персональные данные.

К ним относится любая информация о пользователе.

Чаще всего это:

  1. данные о местоположении;
  2. адрес;
  3. ФИО (вместе и по отдельности);
  4. дата рождения;
  5. список заказанных товаров или услуг;
  6. фотография;
  7. ссылка на профиль в соцсетях;
  8. сookies;
  9. IP-адрес.
  10. email;
  11. телефон;

Сookies — это небольшие текстовые файлы, которые содержат информацию о посещённых сайтах, например имя или пароль от аккаунта, которые при следующем заходе на сайт применяются автоматически Логин и никнейм не считаются персональными данными — их легко придумать и по ним сложно найти пользователя.

Но в привязке к другим данным они могут стать персональными.

Для компаний, должностных лиц и ИП штрафы разные. Они также зависят от типа правонарушения. Например, если вы на своём сайте собираете cookies, но уведомления об этом нет, компанию могут оштрафовать на сумму до 75 000 рублей.

А за то, что вы забыли дать активную ссылку на политику обработки персональных данных, придётся заплатить до 30 000 рублей. Вот подробный штрафов. С данными нужно быть особенно аккуратными, потому что бывают щекотливые ситуации. Например, вы заказали у агентства рекламную рассылку.

Предоставили работникам агентства базу, которую собрали на своём сайте, а они разослали по ней ваше рекламное предложение.

После рассылки сотрудники агентства решили заработать и продали доступ к этой базе другому своему клиенту. Если это вскроется, Роскомнадзор оштрафует вас, а не предприимчивых сотрудников агентства.

«Минкомсвязь законопроект, который вводит новые штрафы: за утечку персональных данных и за их неправильную обработку лицами, обрабатывающими персональные данные по поручению оператора. Поэтому лучше следить за всеми нововведениями касательно персональных данных».

Мы разобрались, что обязательно нужно сделать предпринимателю, который собирает данные пользователей онлайн. Следуйте нашей пошаговой инструкции. Шаг 1. Зарегистрируйтесь как оператор персональных данных. Подайте об обработке персональных данных в Роскомнадзор. Это нужно сделать до публикации сайта, который собирает данные о посетителях (основание — ).

Это нужно сделать до публикации сайта, который собирает данные о посетителях (основание — ).

Уведомление подаётся в электронном виде через сайт Роскомнадзора и в бумажном виде по почте в отделение Роскомнадзора по месту вашей регистрации.

Шаг 2. Выложите на сайт политику обработки персональных данных. Документ можно составить с помощью бесплатного онлайн-конструктора, например, от . После этого необходимо разместить на сайте активную ссылку на политику — обычно это документ в формате PDF.

Ссылка чаще всего располагается в подвале сайта. Не обязательно вставлять в каждую форму сбора данных ссылку на политику с активной галочкой, нажав на которую, пользователь подтверждает, что ознакомился с этим документом.

Такого требования в законе нет. Шаг 3. Составьте согласие на обработку персональных данных. Согласие составляется в свободной форме, вот .

Главное, чтобы в документе было прописано то, что требует :

  1. перечень персональных данных, на обработку которых пользователь даёт согласие;
  2. цель обработки персональных данных пользователя;
  3. срок, в течение которого действует согласие пользователя, а также способ отзыва этого согласия.
  4. название и адрес вашей компании или фамилия, имя, отчество, адрес индивидуального предпринимателя, который собирает персональные данные;
  5. перечень действий, которые вы будете совершать с персональными данными пользователя, и общее описание способов обработки данных, которые вы используете;
  6. наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку персональных данных по вашему поручению (если есть);

По закону в согласии должна быть подпись субъекта персональных данных и его паспортные данные.

Но это требования к письменному согласию.

В онлайне это выполнить невозможно, поэтому при проверках Роскомнадзор не требует этого от предпринимателя. «Часто на сайтах под формой сбора данных мы видим такой текст: „Я соглашаюсь с политикой и даю согласие на обработку своих персональных данных“. И ссылка на политику сбора персональных данных.

Это плохой вариант, потому что в политике обычно перечислены все цели (если перечислены), для которых обрабатываются данные, и пользователь не может понять, для каких именно целей он вводит свои персональные данные в данной форме. Лучше написать так: „Нажимая на кнопку „Заказать звонок“, вы даёте согласие на обработку своих персональных данных“.

И дать активную ссылку на согласие, в котором прописать цели сбора информации для конкретного случая».

Согласие на обработку персональных данных на сайте Точки Шаг 4.

Дайте ссылку на реестр операторов персональных данных.

После того, как Роскомнадзор зарегистрирует вас как оператора персональных данных, он внесёт эту информацию в и присвоит вам уникальный номер.

Ссылаясь на это, вы подтверждаете, что являетесь оператором персональных данных и действуете в соответствии с 152-ФЗ.

Шаг 5. Повесьте на сайт уведомление о сборе cookies и других данных. К этим данным относятся cookies, информация о местоположении пользователя и его IP-адрес.

Прочитав и закрыв такое уведомление, пользователь соглашается, что вы собираете и обрабатываете его персональные данные.

Если он с этим не согласен, должен уйти с сайта.

На сайте Точки о сборе cookies написали в самом низу страницы Шаг 6.

Подготовьте бумажные документы. Роскомнадзор устраивает плановые и внеплановые проверки, а также дистанционно наблюдает за сайтами и проводит профилактику нарушений. В ходе проверок сотрудники Роскомнадзора напрямую общаются с предпринимателями и могут запросить дополнительные документы, например копию устава и справку о статусе оператора как субъекта малого предпринимательства с указанием типа предприятия.

В ходе проверок сотрудники Роскомнадзора напрямую общаются с предпринимателями и могут запросить дополнительные документы, например копию устава и справку о статусе оператора как субъекта малого предпринимательства с указанием типа предприятия. Если у вас их не окажется, Роскомнадзор может заблокировать сайт, выписать штраф и даже приостановить деятельность.

Специалисты из компании Б-152 составили необходимых документов.

Он большой, поэтому бумаги лучше собрать заранее.

  • Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.
  • Чтобы соблюдать 152-ФЗ, надо зарегистрироваться как оператор персональных данных, составить политику обработки персональных данных и согласие на обработку персональных данных, повесить на сайт уведомление о сборе метаданных и подготовить несколько десятков бумажных документов.
  • Законодательство в сфере сбора и обработки персональных данных ужесточилось, а штрафы для предпринимателей выросли в разы. Дальше — больше.
  • Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
  • Для компаний, должностных лиц и ИП штрафы разные. Они также зависят от типа правонарушения.

Рассказываем про налоги, законы, чужой опыт и полезные инструменты для бизнеса.

Оставьте свою почту и получите в подарок книгу «Здоровый мозг. Программа улучшения памяти и мышления».#статьи April 18, 20 8 минут #статьи March 20, 20 6 минут #статьи July 10, 20 10 минут

Обязательность регистрации как оператора персональных данных

В соответствии с ч.

1 ст. 1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Законо персональных данных) этим законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, т.е. позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. В случае если организация осуществляет обработку персональных данных своих сотрудников, т.е.

осуществляет любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, то организация должна соблюдать требования Закона о персональных данных. В соответствии с п. 7 ст. 86 Трудового кодекса РФ защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами. Данное положение означает, что работодатель должен обеспечить правовые, организационные и технические меры по защите персональных данных своих работников.

Таким меры предусмотрены в ч. 1 ст. 18.1 Закона о персональных данных. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, и принятыми в соответствии с ним нормативными правовыми актами.

К таким мерам могут, в частности, относиться: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений; 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона о персональных данных; 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных; 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Иные меры предусмотрены в ст.

19 Закона о персональных данных. При этом сообщаем, что организации, которые осуществляют обработку исключительно в соответствии с трудовым законодательством, вправе осуществлять обработку без подачи уведомления в Роскмонадзор (п. 1 ч. 2 ст. 22 Закона о персональных данных).

Как пройти проверку в Роскомнадзоре и стать оператором персональных данных?

6 февраляЕсли Вы получили уведомление Роскомнадзора о проведении проверки в Вашей компании — не спешите паниковать.

Рекомендуем прочесть:  Закон о тишине рязань 2021 рязань

Мы участвовали уже в нескольких и знаем весь процесс изнутри. Рассказываем, зачем становится оператором персональных данных, как избежать штрафов и пройти всю процедуру максимально легко.Персональные данные — это любая информация, с помощью которой можно идентифицировать личность: например, ФИО, дата рождения, образование, доходы или даже семейное положение.
Рассказываем, зачем становится оператором персональных данных, как избежать штрафов и пройти всю процедуру максимально легко.Персональные данные — это любая информация, с помощью которой можно идентифицировать личность: например, ФИО, дата рождения, образование, доходы или даже семейное положение. Оператор — человек, компания или государственный орган, который собирает, хранит, обрабатывает и совершает иные действия с персональными данными.

Любой контакт с человеком, в том числе в интернете, позволяющий однозначно определить кто это — и вот вы уже владелец персональных данных в лице оператора.И кстати, один из самых больших штрафов предусмотрен как раз за сбор личной информации гражданина без его согласия.С терминологией определились. Теперь поговорим подробнее, как официально стать оператором персональных данных: Они должны быть заверены подписью руководителя и печатью организации.

Также, необходимо приложить сопроводительное письмо с указанием списка предоставляемых документов и, по возможности, их сканированные образцы.

Подготовку лучше поручить специалисту с юридическим образованием или компании, которая занимается электронной отчетностью и документооборотом. Если решили формировать самостоятельно — будьте внимательны, можно получить множество предписаний.Помимо основного пакета компании, нужно предоставить еще несколько дополнительных документов:

  • Приказ о назначении ответственных;
  • Приказ об учете сейфов, металлических шкафов и ключей от них;
  • Приказ о допуске сотрудников к ПДн;
  • Приказ о контролируемой зоне;
  • Приказ о проведении работ по защите ПДн;
  • Должностные инструкции;
  • Журнал прохождения инструктажей.
  • Приказ о назначении комиссии;
  • Приказ об утверждении форм документов;
  • Приказ о криптографической защите;

Сотрудники, работающие с персональными данными, должны пройти инструктаж.

Им нужно знать правила обработки и хранения личных данных клиентов.

После чего, поставить подпись в журнале прохождения инструктажей.Не забудьте про политику конфиденциальности — она должна быть отражена на сайте и всех ресурсах, где собираются персональные данные.

Если у вас есть формы, где пользователи оставляют свои данные, под ними обязательно нужно поставить фразу

«Даю согласие на обработку своих персональных данных»

и чекбокс. Если у вас есть ещё и пользовательское соглашение, то сделайте чекбокс и с ним.И еще момент, политика конфиденциальности должна быть зарегистрирована приказом и зафиксирована в документах.

Для этого, на сайте Роскомнадзора оформите уведомление об обработке персональных данных.

Небольшой лайфхак: всю заполненную информацию скопируйте себе в отдельный документ, т.к.

сайт может подвисать, и Вам придется заполнять все сначала. Форма лучше всего работает на компьютерах с операционной системой Windows и заполнять лучше всего в браузере Internet Explorer.

Там форма работает быстрее и реже выдаёт ошибки.ВАЖНЫЙ МОМЕНТ: после заполнения документа и выводе на печать — не закрывайте окно формы! Там прописывается номер уведомления и ключ. Запишите их себе — при печати может произойти ошибка и придется начинать все сначала.

Подготовьте уведомление в двух экземплярах: одно Вы оставите там, одно, с подписью секретаря или инспектора, заберете себе. Обязательно должно быть отражено: входящий №, дата, подпись и расшифровка, кто принял уведомление.

Проверка занимает от 1 до 7 дней, после чего, Вам укажут на ошибки, выпишут предписания и дадут время на их устранение. Но штрафа удастся избежать, т.к. основной перечень необходимых документов будет у Вас на руках.

Отнеситесь к этому серьезно — штрафы составляют несколько сотен тысяч рублей.

Если остались вопросы, или понадобится помощь в прохождении проверки — команда Aqua Delivery готова Вам в этом помочь. Напишите нам в личные сообщения или оставляйте заявку на сайте .

Давайте поделимся опытом — напишите в комментариях, была ли у Вас проверка, как все прошло или как Вы к ней готовитесь?

Необходимо ли владельцу сайта регистрироваться в Роскомнадзоре, как оператору по обработке персональных данных?

Добрый день!

Должен ли (вправе ли) зарегистрироваться в Роскомнадзоре в качестве оператора по обработке персональных данных индивидуальный предприниматель, являющийся владельцем сайта, а пользователем этого сайта является организация, осуществляющая запись клиентов на приём к через этот сайт? По факту ИП не обрабатывает персональные данные клиентов, но имеет к ним доступ.

Должа ли организация регистрироваться в в Роскомнадзоре так как является оператором по обработке персональных данных? 02 Мая 2017, 15:26, вопрос №1626822 Евгений, г.

Санкт-Петербург

    , ,

Свернуть Консультация юриста онлайн Ответ на сайте в течение 15 минут Ответы юристов (2) 613 ответов 102 отзыва Общаться в чате Бесплатная оценка вашей ситуации Юрист, г. Москва Бесплатная оценка вашей ситуации Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 01.07.2017)«О персональных данных» Статья 22.

Уведомление об обработке персональных данных п.2. данной статьи предусматривает случаи, когда уведомление госоргана не требуется.

29 Июля 2017, 11:35 0 0 10,0 Рейтинг Правовед.ru 14984 ответа 4812 отзывов эксперт Общаться в чате Бесплатная оценка вашей ситуации Адвокат, г. Москва Бесплатная оценка вашей ситуации

  1. эксперт
  2. 10,0рейтинг

Добрый день.

Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных. Основные требования:1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать: 1.1. Перечень персональных данных, которые Вы обрабатываете.1.2.

Сведения о способах обработки персональных данных.1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.1.4. Цели использования персональных данных.1.5.

Принципы обработки персональных данных, которыми Вы руководствуетесь.1.6. Меры, применяемые для защиты персональных данных.1.7.

Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике.

Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.1.8.

Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.1.9.

Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы. 2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение.

Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф.

И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают.

Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно: 3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением.

Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности.

Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст.

3 152-ФЗ).4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса.

Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников.

Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание.

Я как правило предпочитаю объединять эти документы в один общий и именовать его

«Положение о коммерческой тайне и обработке персональных данных»

и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных.

Что касается требований к содержанию положения, то оно должно включать в себя:4.1. Информацию о том, какие данные сотрудников обрабатываются.4.2.

Цели обработки персональных данных.4.3.

Порядок ознакомления сотрудников компании с положением.4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.4.5. Меры по защите персональных данных.4.6.

Порядок доступа отдельных работников к персональных данным сотрудников компании.4.7. Порядок хранения персональных данных.4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании.

2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ). 5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно.

Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).Уведомление направляется по онлайн форме — и плюс должно быть продублировано в письменном виде по обычной почте. Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор.

Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных.

Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности. 7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ.

Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования.

Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза

«О защите физических лиц при обработке персональных данных и о свободном обращении таких данных»

General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г.

Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR.

В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children’s Online Privacy Protection Act (COPPA).

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис. 8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать.

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст.

13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст.

5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток. Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ. Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст.

137 УК РФ.Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь. С Уважением, Васильев Дмитрий.

07 Сентября 2018, 13:34 0 0 Все услуги юристов в Москве Гарантия лучшей цены – мы договариваемся с юристами в каждом городе о лучшей цене.

Похожие вопросы 24 Января 2021, 10:41, вопрос №2658593 05 Февраля 2017, 15:58, вопрос №1526825 05 Апреля 2021, 06:22, вопрос №2317076 23 Июня 2017, 17:38, вопрос №1676615 05 Марта 2021, 18:34, вопрос №2706071 Смотрите также

152-ФЗ: как совладать с персональными данными

14 ноября 2021В детстве нас учили не говорить незнакомым людям, как нас зовут и где мы живем.

А сейчас мы не задумываясь регистрируемся на непонятных сайтах и пишем данные паспорта в странных бланках. Чтобы вашими персональными данными не завладели те самые незнакомые люди, нужно внимательно отнестись к оператору, которому вы их передаете.В законе есть три ключевых понятия: персональные данные, оператор и обработка персональных данных.Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).Оператор — тот, кто организует и обрабатывает персональные данные. Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, обновление, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.Важно еще понять, что относится к самим персональным данным.

В законе нет прямой формулировки, но к ним относят:

  1. фотографии;
  2. адрес;
  3. телефон;
  4. дату рождения;
  5. e-mail;
  6. ссылку на профиль в социальных сетях.
  7. ссылку на персональный сайт;
  8. ФИО (в любых комбинациях);

Другими словами, персданные — это та информация, по которой можно идентифицировать человека. Если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.Все просто — нужно зарегистрироваться в Роскомнадзоре. Для этого необходимо подать об обработке персональных данных.

Оператор заполняет на Портале персональных данных Роскомнадзора.

После того, как уведомление отправлено в систему, нужно распечатать его бумажную копию.

Она заверяется подписью и печатью организации, после чего отправляется в территориальный орган Роскомнадзора по месту регистрации компании-оператора.К операторам относятся физлица, ИП, юрлица, муниципальные органы, государственные органы.

Эти категории влияют на размер штрафов. Список ситуаций, когда не нужно отправлять уведомление, прописан в .

Оператор не должен регистрироваться, если персональные данные:

  1. являются общедоступными данными;
  2. включены в федеральные автоматизированные информационные системы и государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
  3. нужны для однократного пропуска субъекта на территорию, на которой находится оператор;
  4. относятся к субъектам, которых связывают с оператором трудовые отношения;
  5. используются оператором исключительно для исполнения договора;
  6. включают только ФИО субъектов;
  7. обрабатываются без использования средств автоматизации.

Логично, что персональные данные должны быть надежно защищены.

Для этого создаются регламенты и настраивается система безопасности. Но не все данные нужно охранять одинаково.В статье закона прописаны правила, когда обеспечение конфиденциальности персональных данных не требуется:

  1. если данные получены оператором в связи с заключением договора;
  2. если нужно оформить пропуск на территорию, на которой находится оператор;
  3. если данные общедоступны;
  4. если данные включают только фамилии, имена и отчества субъектов персональных данных;
  5. если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.
  6. если данные обезличены — по ним невозможно определить принадлежность информации к конкретному лицу;

Для всех остальных случаев нужно составить политику конфиденциальности.Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:

  1. способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
  2. виды данных для обработки и источники их получения;
  3. информация о том, кто обрабатывает данные.

    Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.

  4. основание и цель сбора персональных данных;
  5. информация о передаче данных за пределы России.
  6. сроки обработки и хранения персональных данных;
  7. наименование, контактные данные и адрес;

Всю эту информацию можно изложить в свободной форме. Требование одно — субъект должен понимать, куда отправляются его персональные данные, как их используют и охраняют. В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации.

В бланке обязательно должны быть следующие данные:

  1. наименование оператора персональных данных;
  2. место и дата составления документа;
  3. фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

  1. срок действия согласия и возможность его отзыва.
  2. каких именно персональных данных касается документ;
  3. в каких целях и что именно допустимо с ними делать;

Если вам нужен бланк, то его и измените под ваши нужды.Есть , когда согласие субъекта персональных данных не требуется. Такое возможно, когда обработка персональных данных:

  1. осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  2. необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
  3. необходима для доставки почтовых отправлений и расчетов с организациями почтовой связи;
  4. осуществляется в отношении данных, подлежащих опубликованию — например, данные лиц занимающих государственные должности.
  5. осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности;
  6. необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  7. осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

Штраф.

С 1 июля 2017 года действуют поправки в . Помимо штрафов, оператор будет внесен в

«Реестр нарушителей прав субъектов персональных данных»

.

А еще придется подготовиться к .

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+