Есть ли у оператора персональных данных обязанности до начала обработки персональных данных сдо ржд

Персональные данные и их определение не в полной мере конкретизированы в соответствующем законе. Под это понятие попадает неограниченный круг информации, раскрывающей отдельные аспекты публичной и частной жизни гражданина. Организации, которые в силу служебной необходимости осуществляют обработку этих сведений, признаются операторами персональных данных.

Персональные данные и работающие с ними организации

Закон «О персональных данных» вводит понятие оператора персональных данных. Это организация любой формы собственности или индивидуальный предприниматель, которые по роду деятельности собирают персональные данные граждан для обработки. Далеко не все компании осознают, что они являются участниками процессов, связанных с обработкой персональных данных. Закон четко определяет, что оператором становится любая организация, получающая сведения о гражданах с целями, которые не связаны с обработкой информации о персонале.

К лицам, обрабатывающим персональные данные, относятся:

  • частные организации, например, поставщики услуг связи или владельцы интернет-магазинов;
  • индивидуальные предприниматели, размещающие на своем сайте форму обратной связи;
  • муниципальные органы;
  • государственные органы, например, при проведении ЕГЭ, при сборе налоговой информации или сведений персонального учета.

Размеры штрафов за нарушения зависят от категории организации, например, частные компании будут привлечены к более серьезной материальной ответственности, чем индивидуальные предприниматели. При этом государственные органы, работающие с огромными объемами ПД граждан, за нарушение законодательства будут отвечать по тем же нормам КоАП, что и частная компания. Но сами требования по программным и техническим средствам, которые предъявляются к государственным информационным системам (ГИС), строже и трудновыполнимее, чем задачи, поставленные перед небольшой частной организацией. Для ГИС обязательны аттестация и приемочные испытания, частные компании могут вводить в действие систему без дополнительного контроля со стороны регулятора.

Обязанности оператора

Начиная работу с персональными данными, оператор обязан сообщить об этом в надзорное ведомство – Роскомнадзор. Организации необходимо:

Закон не преследует участников обработки персональных данных за подачу уведомления после того, как они фактически приступили к процессу обработки персональных данных. Если в уставные документы или коды ОКВЭД не вносились изменения, связанные со сменой вида деятельности и получением нового кода ОКВЭД, на основании которого осуществляется обработка ПД, то в качестве даты начала такой обработки лучше поставить дату регистрации организации.

Уведомлять Роскомнадзор не нужно в следующих случаях:

  • организация работает только с персональными данными собственных сотрудников;
  • компания получает данные при заключении договора с клиентом, но они используются только в целях исполнения этого договора;
  • обрабатываемая информация является общедоступными персональными данными;
  • к обрабатываемым сведениям относятся только ФИО;
  • сведения необходимы для оформления разового пропуска на территорию, где располагается организация, получающая ПД;
  • данные обрабатываются в ГИС (государственных информационных системах) федерального уровня;
  • оператор работает с данными без применения средств автоматизации.

Подать уведомление необходимо в течение трех лет после начала занятия деятельностью, связанной с обработкой персональных данных. Также компания должна выполнять обязанности, предусмотренные законом и подзаконными нормативными актами, издаваемыми регуляторами – ФСТЭК РФ, отвечающей за программную и техническую организацию системы защиты персональных данных, и Роскомнадзором, следящим за соблюдением организационных требований. Через три года могут быть первые проверки, и во избежание преследования в рамках КоАП РФ организации нужно решить основные задачи по охране персональных данных:

  • обязательно получать согласие субъекта персональных данных на их обработку, передачу третьим лицам или трансграничную передачу;
  • разработать и разместить на сайте организации в открытом доступе правильно подготовленную Политику по работе с персональными данными;
  • выполнять правила ФСТЭК РФ по соответствию программных и технических средств защиты информации рекомендациям ведомства по работе с персональными данными.

Скрупулезное выполнение закона и подзаконных актов поможет избежать административной и гражданско-правовой ответственности. Штрафы за нарушения повысились с 2017 года, при неоднократном отказе от соблюдения правил возможно приостановление деятельности организации.

Минимальные меры, необходимые для защиты персональных данных и избегания ответственности:

  • под любым окном на сайте или формой, в которую пользователь заносит любые персональные данные, поместить фразу о предоставлении согласия на обработку ПД и чек-бокс для проставления галочки, говорящей о согласии;
  • разместить в окне, в котором проставляется согласие, гиперссылку на Политику обработки персональных данных. Документ должен включать всю информацию, связанную с целями и методами обработки ПД;
  • разместить на сайте всплывающее окно с информацией об использовании файлов cookie или схожих технологий, собирающих информацию о посещаемости.

Роскомнадзор вправе даже без назначения специальной проверки контролировать выполнение этих требований.

Положение или Политику обработки персональных данных можно подготовить самостоятельно, закон не регламентирует ее структуру, главное, чтобы в документе содержалась следующая информация:

  • данные об операторе персональных данных;
  • цели обработки персональных данных, совпадающие с описанными в законодательстве;
  • перечень персональных данных, на обработку которых правообладатель оставляет свое согласие;
  • указание информации о третьем лице, если ему поручена обработка персональных данных, и цель такого поручения;
  • перечень действий, которые будут осуществляться с персональными данными;
  • срок действия согласия на обработку персональных данных;
  • порядок корректировки или удаления данных.

Существуют ситуации, когда на организацию, связанную с обработкой персональных данных не возлагается ответственность за необходимость обеспечения их конфиденциальности:

  • если персональные данные обезличены и из массива информации невозможно выделить сведения, позволяющие идентифицировать конкретного человека;
  • если персональные данные обрабатываются в рамках конкретного договора;
  • если ПД предоставлены общественной или религиозной организации ее членами для выполнения целей, определенных законом или уставом.

В ряде случаев закон «О персональных данных» не требует получения от правообладателя согласия на обработку ПД:

  • если обработка производится на основании закона или международного договора, заключенного Россией;
  • обработка проводится в целях статистического или иного научного исследования, а данные субъекта ПД обезличены;
  • обработка ПД необходима для защиты жизни, здоровья, жизненно важных интересов конкретного лица в условиях, когда получить его согласие проблематично;
  • обработка ПД проводится на почте для оказания услуг связи;
  • обработка производится в случаях, прямо предусмотренных федеральными законами.

Далеко не всегда правообладатель может проконтролировать, насколько правильно обрабатываются его персональные данные и насколько точно оператор придерживается заявленных им целей.

В рамках национального проекта «Цифровая экономика» планируется создание единого портала персональных данных, где операторы будут размещать информацию о своей деятельности, а субъекты ПД смогут уточнить:

  • кому было предоставлено согласие на обработку ПД;
  • кем, с какой целью и какие данные обрабатываются.

При помощи ресурса пользователь должен иметь возможность отозвать свое согласие или откорректировать данные.

Ответственность за несоблюдение законодательства по обработке персональных данных

Большинство мер ответственности реализуется в сфере административного судопроизводства.

Статья 13. 11 КоАП вводит следующие штрафы за нарушение законодательства РФ в сфере защиты персональных данных и отказ от выполнения обязанностей оператора:

  • за обработку персональных данных в случаях, не предусмотренных российским законодательством, или с целями, прямо не заявленными оператором, – до 50 тысяч рублей;
  • за обработку ПД без согласия их обладателя – до 70 тысяч рублей;
  • за отказ от разработки или публикации Политики по правилам обработки ПД – до 30 тысяч рублей;
  • за отказ от представления информации об обработке персональных данных правообладателю – до 40 тысяч рублей;
  • за отказ от блокировки, корректировки или уничтожения недостоверной информации по требованию правообладателя – до 45 тысяч рублей;
  • за хранение персональных данных российских граждан на иностранных серверах – до 6 миллионов рублей за первое нарушение и до 18 миллионов – за повторное.

Высокие штрафы – не проблема для Фейсбука или Твиттера, но не для небольшой компании. Если организация, обрабатывающая персональные данные, своими действиями причиняет ущерб правообладателю, против него может быть подан иск о возмещении убытков или морального ущерба.

Правила проверки организаций, обрабатывающих персональные данные

Чтобы привлечь оператора персональных данных к ответственности, Роскомнадзор должен соблюдать правила проведения проверок, утвержденные весной 2019 года. Ранее действовал только ведомственный регламент, позволяющий отступать от строгих правил. Теперь ответственность ведомства устанавливается за соблюдение регламента проверок в полной мере.

Регламент проверок соблюдения требований законодательства о персональных данных следующий:

  • плановая проверка проводится раз в три года, срок ее проведения без продления составляет 20 рабочих дней. Узнать о планируемых проверках по защите персональных данных можно на сайте Генпрокуратуры, о конкретной дате визита инспекторов организацию предупредят за три дня;
  • срок предоставления документов организацией в рамках плановой проверки сокращен до пяти дней, ранее оператору предлагали подготовить запрошенные материалы за 20 дней;
  • внеплановая проверка проводится вне графика в случае получения жалобы. Срок ее проведения составляет 10 рабочих дней, организацию предупредят за сутки;
  • внеплановая проверка не может быть документарной, для нее предусмотрена только выездная форма;
  • добавились дополнительные основания для продления срока проверки, например, разветвленность организационной структуры компании, обработка персональных данных в нескольких информационных системах;
  • запрос документов в связи с обращениями граждан проверкой не считается;
  • Роскомнадзор вправе следить за деятельностью операторов в Интернете и при выявлении нарушений проводить внеочередные выездные проверки.

Регулирующая деятельность ведомства усилилась. Возможно, это связано с участившимися случаями утечек персональных данных российских граждан, особенно когда они публикуются на зарубежных сайтах. Операторы, являющиеся российскими организациями, должны уделить повышенное внимание соблюдению требований законодательства. Это поможет избежать ответственности и обеспечить надлежащую защиту персональных данных.

Подготовлена редакция документа с изменениями, не вступившими в силу

(в ред. Федерального закона от 25. 2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

(часть 3. 1 введена Федеральным законом от 14. 2022 N 266-ФЗ)

В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

(часть 5. 1 введена Федеральным законом от 14. 2022 N 266-ФЗ)

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 — 5. 1 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

(в ред. Федерального закона от 14. 2022 N 266-ФЗ)

Знание законодательной базы для того, кто намерен осуществлять обработку ПДн в рамках своей деятельности, является обязательным, и главным нормативно-правовым актом является Федеральный Закон № 152, принятый в 2006 году. Он регулирует взаимоотношения владельцев личной информации и тех, кто использует эти сведения для коммерческих и иных целей. Детальный анализ ФЗ позволит разобраться, кто признается оператором персональных данных, какие у него права и обязанности, может ли быть обработчиком поручитель, какие требования предъявляются к тем, кто собирает, хранит, копирует, распространяет, уничтожает и блокирует сведения. Особого внимания заслуживает вопрос необходимости исполнения закона о ПДн в полном объеме, например, в отдельных случаях нет необходимости отправлять уведомление Роскомнадзору об осуществлении обработки информации.

В статье 3 четко прописано, что статус оператора ПДн имеют все, кто сами либо с помощью уполномоченных лиц обрабатывают персональные данные, предварительно установив их состав, цели и список выполняемых действий. Под данную категорию попадают как юридические, так и физические лица, а также муниципальные органы и государственные структуры. Фактически это все без исключения компании, реализующие товары или услуги.

В действующем законодательстве РФ указаны организации, которым не нужно дополнительно информировать Роскомнадзор о проведении операций с ПДн. К ним относятся фирмы и ИП, которые получают и используют личные сведения субъектов:

  • на основании положений ТК России (каждый работодатель — это оператор);
  • после заключения соответствующего договора для исполнения его условий;
  • в рамках деятельности религиозного или общественного сообщества, но только в том случае, если они не будут передавать ПДн третьим лицам;
  • входящие в состав государственных информационных систем (ГИС);
  • в неавтоматизированных системах с соблюдением установленных требований ФЗ и других подзаконных актов;
  • в ситуациях, когда требуется защита интересов и обеспечения безопасности общества и граждан, в том числе при оказании услуг связи, междугородных и международных перевозок и т.п.

Кроме того, оператор личных данных не должен сообщать в компетентный орган, если обрабатывает исключительно Ф. гражданина, сведения для выдачи однократных пропусков и ПДн, которые имеют общедоступный характер. Если ваша деятельность не относится ни к одной из перечисленных категорий, то уведомление посылать необходимо, причем сразу после этого вы будете включены в реестр. Каждый человек может в любое время зайти на официальный ресурс Роскомнадзора и узнать наименование и другие сведения об операторе персональных данных. Если в перечне информации нет, это может значить, что фирма или ИП не подали уведомление, соответственно, нарушили закон либо совершают операции, для которых не требуется его предоставлять.

Независимо от того, в какой сфере работает компания, насколько большой штат сотрудников и объем обрабатываемой личной информации, в обязательном порядке необходима разработка Политики обработки ПДн и прочей внутренней документации, определяющей порядок совершения всех операций. Для тех, кто ведет бизнес онлайн, предусмотрено требование опубликовать основные документы на сайте. При отсутствии неограниченного доступа к Политике можно получить штраф в пределах от 3 до 30 тысяч рублей, в дополнение к этому организация автоматически попадает в реестр нарушителей, что негативно скажется на деловой репутации.

Права и обязанности оператора персональных данных

Занимаясь обработкой ПДн, предприниматель или фирма должны четко придерживаться законодательных нормативов. Например, есть возможность осуществлять с полученными сведениями такие операции, как:

  • копирование;
  • сбор, анализ и сохранение;
  • изменение, дополнение, обновление;
  • распространение;
  • использование;
  • систематизация и накопление;
  • обезличивание;
  • блокировка, уничтожение, удаление.

Но при этом установлены ограничения относительно продолжительности хранения и способа применения. Запрещено продолжать обрабатывать ПДн после достижения изначально поставленных целей и сроков.

Что касается требований к операторам персональных данных, то основными среди них являются:

  • Отправка уведомления о начале проведения действий с ПДн сотрудников, клиентов с обязательным указанием адреса, Ф.И.О./названия организации, субъектов и типов обрабатываемых сведений, правового обоснования деятельности, списка операций, предпринятых мер обеспечения безопасности. Также нужно сообщить дату начала работ с ПДн, сроки и условия её завершения, наличие трансграничной передачи информации (передачи на территорию иностранного государства).
  • Обеспечение защиты ПДн от несанкционированного доступа. На предприятии должен быть сотрудник, ответственный за внедрение и контроль операций, а также разработаны и интегрированы организационные и технические меры защиты. Для внедрения мер обеспечения безопасности требуется составить достаточной большой список локальных документов, начиная от должностных инструкций, заканчивая моделью актуальных угроз ПДн.
  • Конфиденциальность информации. Операторы должны организовать свою деятельность таким образом, чтобы к ней имели доступ только уполномоченные лица, не происходило утечек, и не было случаев передачи ПДн третьей стороне без предварительного получения письменного согласия.
  • Использование локальных ИСПДн — имеется ввиду необходимость хранения и обработки на российских серверах при сборе ПДн. При этом возможность дальнейшей трансграничной передачи не запрещена.
  • Прекращение операций после истечения предусмотренного срока или достижения изначально установленных условий обработки. Кроме того, ФЗ-152 позволяет каждому субъекту написать заявление с просьбой отозвать согласие на использование его ПДн, после чего у фирмы или ИП есть 30 дней на исполнение данного требования, если конечно же нет законных оснований для продолжения обработки его ПДн.

Что проверяет Роскомнадзор?

Регулярные проверки ведомства — мощный стимул для организаций не нарушать положения ФЗ-152. Главное, на что обращают внимание представители госструктуры:

  • наличие письменного согласия субъектов в случае их необходимости;
  • присутствие локальной документации, регулирующей взаимоотношения между оператором и владельцем ПДн, а также их соблюдение;
  • своевременное уведомление о начале обработки;
  • поставленные цели и длительность хранения информации;
  • применяемые меры защиты, налаженная система ограничения доступа;
  • сервера, на которые помещаются сведения для систематизации и хранения.

Делегирование обработки ПДн

Осуществлять обработку самостоятельно необязательно — можно поручить организацию обработки и защиту информации специалистам. Это может быть сервис-провайдер либо иное лицо (например, наш Центр безопасности данных), которое возьмет на себя обеспечение технической части согласно условиям подписанного договора и нормативам российского законодательства. Юридическое право выполнять действия с ПДн закрепляется в поручении, где отдельным пунктом прописана необходимость обеспечения безопасности и конфиденциальности обрабатываемых данных граждан.

Чем грозит разглашение личной информации граждан?

Закон предусматривает различные виды ответственности за несоблюдение оператором требований ФЗ-152 в отношении операций с ПДн, а именно:

  • замечание, выговор и увольнение сотрудника, допустившего разглашение конфиденциальной информации;
  • взыскание суммы ущерба с работника-нарушителя;
  • возмещение морального вреда субъекту персональных данных в результате гражданских исков;
  • наложение административного штрафа, размер которого может варьироваться в зависимости от обстоятельств дела (от 15 тысяч до 18 миллионов рублей);
  • и другие виды ответственности, вплоть до уголовной для руководителя при значительных нарушениях, повлекших за собой серьезные последствия для субъекта.

Оператор до начала обработки персональных данных обязан: (Выберите все правильные ответы)Проверить правильность функционирования информационной системыУведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 152-ФЗУведомить своего руководителя о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 152-ФЗНе обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных обрабатываемых в соответствии с трудовым законодательствомНайти другие ответы на вопросы

Добавить комментарий

Ваш адрес email не будет опубликован.