Кого законодатель включает в категорию оператор персональных данных ответ сдо ржд ответы

Кто относится к операторам персональных данных

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Кого законодатель включает в категорию оператор персональных данных ответ сдо ржд ответы

Персональные данные — это любые данные о человеке, по которым можно определить его личность. Например:

  • электронная почта;
  • телефон;
  • имя и фамилия;
  • дата рождения;
  • данные паспорта;
  • адрес;
  • ссылка на сайт.

Кого законодатель включает в категорию оператор персональных данных ответ сдо ржд ответы

По-настоящему бесплатный тариф для бизнеса!

При этом ни в одном законе нет точного списка, что считается персональными данными. Дело в том, что в разных ситуациях одни и те же данные могут быть или не быть персональной информацией.

Ник, ФИО и любая другая информация без дополнительных данных не считаются персональными данными, если по ним нельзя определить конкретного человека.

На листочке в кафе написано «Иванов Иван Иванович» — это не персональные данные. Для регистрации на сайте вы оставляете свою электронную почту — это уже будет считаться персональными данными.

С геопозицией и куками (файлы cookies — многие сайты просят у вас согласие на сохранение куки, чтобы вы могли пользоваться ими дальше) ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные своих клиентов другим компаниям:

  • временные метки;
  • адреса страниц, к которым было обращение;
  • адреса, с которых был переход;
  • информацию о браузере и устройстве, с которого был запрос;

По сути, это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.

Суд с компанией не согласился и назначил штраф 30 000 рублей.

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например, имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями ВКонтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

Кого законодатель включает в категорию оператор персональных данных ответ сдо ржд ответы

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию Double Data и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю. «ВКонтакте» выиграл суд.

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными ВКонтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы ВКонтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку «Далее»».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

  • Обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе. Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника.
  • Получает персональные данные по договору с контрагентом, использует их только для исполнения этого договора и не передает их никому другому. Например, компания по договору получила номер расчетного счета ИП и перечисляет на него деньги за выполнение работ по договору подряда;
  • использует только ФИО, которые сами по себе не указывают на конкретного человека. Например, компания в своем блоге опубликовала статью с примерами, где упоминается Иванов Иван, при этом нет информации, из какого он города, сколько ему лет и т. д.;
  • получает персональные данные для разового пропуска на свою территорию. Например, Марина записала свои ФИО и серию с номером паспорта в журнал на стойке охранника предприятия, чтобы занести своему мужу контейнер с обедом;
  • обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
  • использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор, но есть некоторые исключения.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

В реестре Роскомнадзора 439 тыс. компаний, и цифра постоянно растет:

Кого законодатель включает в категорию оператор персональных данных ответ сдо ржд ответы

Проверить все компании из списка Роскомнадзор не может. Проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление или на которые часто поступают жалобы от пользователей о нарушениях.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируется как оператор. Не ответить на такое письмо — повод для проверки. Роскомнадзор на Дне открытых дверей в 2021 году уточнил, что большинство нарушений компании устраняют в срок и в итоге не привлекаются к административной ответственности.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву «А», которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

  • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
  • карт лояльности;
  • рекламных рассылок;
  • оказания услуг;
  • регистрации на сайтах;
  • звонков потенциальным клиентам.

Все компании Роскомнадзор делит по степени риска от низкого до высокого. Для компаний с высоким риском профилактические проверки проводятся каждые 2 года, с умеренным риском — каждые 3 года, со средним — каждые 4, с умеренным — каждые 6, а для компаний с низким риском регулярные проверки не проводятся.

К компаниям с высоким риском относятся те, которые обрабатывают биометрические данные, передают данные за границу или хранят их на иностранном сервере. В категорию компаний с умеренным риском попадают те, которые обрабатывают данные для целей, отличных от заявленных, хранят данные более 20 000 человек и собирают данные с помощью иностранных сервисов.

Если Роскомнадзор заметит какие-то нарушения в области персональных данных, то он может вынести предостережение, а если ничего не поменяется, то компания рискует получить штраф.

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без письменного согласия — от 6000 до 150 000 руб. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 80 000 руб.

Какие ожидаются изменения

В апреле 2022 года был внесен законопроект, который может заметно ограничить возможности компаний по передаче и использованию персональных данных. Сейчас он проходит рассмотрение во втором чтении.

  • Авторы предлагают ввести понятие трансграничной передачи данных (то есть за рубеж) и ограничить возможность передавать такие, а в некоторых случаях даже запретить. Компании будут обязаны уведомлять Роскомнадзор о том, что они собираются передать любые данные за рубеж, а в течение месяца получают ответ, можно ли передавать такую информацию и в каком объеме.
  • Если лицо, которое предоставило данные, сообщит, что они были получены незаконным путем или необязательны для заявленной цели компании, то оно может потребовать их удалить, а при отказе — обратиться в суд, а организация получит штраф. А еще компании будут обязаны объяснять клиентам, для чего именно нужны конкретные персональные данные, а если клиент попросит прекратить их обработку, то это надо будет сделать в течение 30 дней.
  • Компании будут обязаны сообщать в государственные органы о каждом случае утечки персональных данных в течение 24 часов после инцидента, а Роскомнадзор будет вести реестр таких случаев. Если законопроект вступит в силу, то компании будут рисковать получить штраф за несвоевременное сообщение об утечке данных.

По-настоящему бесплатный тариф для бизнеса!Бесплатная бухгалтерия, перевод до 250 тыс. руб. на личную карту без комиссии и бесплатные платежки контрагентам

Оператор персональных данных

Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 11 января 2017 года; проверки требуют 10 правок.

Оператор персональных данных (согласно закону РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных») — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Требования закона к оператору персональных данныхПравить

Каждый оператор персональных данных обязан иметь пакет документов, подтверждающих защищенность Пдн сотрудников и клиентов.

Перечень необходимых документов может меняться в зависимости от специфики обработки персональных данных, орг. структуры и других особенностей каждого отдельно взятого предприятия.

В соответствии с данным пакетом документов на предприятии должны быть внедрены технические средства защиты персональных данных.

Подготовка документов, необходимых для защиты персональных данныхПравить

Существует несколько способов подготовить документы в соответствии с требованиями 152-ФЗ «О персональных данных»:

  • Подготовка пакета своими силами на базе имеющихся в свободном доступе шаблонов документов;
  • Подготовка при помощи автоматизированных сервисов (систем).

Средства защитыПравить

Практически в каждой организации имеется информационная система персональных данных (сокращённо ИСПДн), которая может содержать, например, фамилию, имя работника, его паспортные данные, ИНН и т. С этой информационной системой работает оператор. В зависимости от того, какие данные содержатся в ИСПДн конкретной организации, эта ИСПДн может относиться к одному из четырёх классов, каждый из которых предусматривает различные средства для защиты персональных данных.

СсылкиПравить

Кого законодатель включает в категорию «Оператор персональных данных»?Государственный орган, муниципальный орган, юридическое или физическое лицоНайти другие ответы на вопросы

Связанные темы

Темы, в которых встречается данный вопрос:

Поиск по разделу СДО

Поиск по сайту доступен на каждой странице в навигационной панели — в самом верху.

Для большего удобства, можно использовать голосовой ввод (значок микорофона), если он поддерживается вашим браузером.

Если значок микрофона отсутствует, значит ваш браузер не поддерживает голосовой ввод.

Если значок микрофона есть, но выдаются разного рода ошибки (даже если вы разрешили использовать микрофон), то вероятнее всего это проблема браузера.

Ответы на популярные вопросы

Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?

Кого законодатель включает в категорию оператор персональных данных ответ сдо ржд ответы

Что такое персональные данные?

Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.

Это Ф. , паспортные данные, СНИЛС, ИНН, дата и место рождения, e-mail, адрес, семейное, социальное и имущественное положение, место учебы и работы, образование, профессия, доходы и т.

С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф. его владельца, он будет считаться ПД.

Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.

Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).

Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.

Обработка таких ПД не допускается, за исключением следующих случаев:

  • вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
  • обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
  • обработка в целях страхования;
  • обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.

Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.

Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

Например, следуя в свой офис, вы проходите пункт охраны. Там вас просят приложить к сканеру палец, что позволяет службе охраны на компьютере видеть ваши ПД на основании взятого отпечатка. Так они могут установить вашу личность. Для использования отпечатка пальца охранная организация должна взять у вас письменное согласие на обработку биометрических ПД.

Что такое обработка персональных данных?

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

  • работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
  • работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
  • продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
  • покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

Кто такой оператор персональных данных?

Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.

  • работодатель, обрабатывающий ПД своих работников;
  • продавец, обрабатывающий ПД клиентов-граждан;
  • госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
  • владельцы сайтов, собирающие ПД пользователей сайта.

Какие условия обязан соблюдать оператор при обработке персональных данных?

Главное условие – наличие вашего согласия. При этом в ст. 6 Закона о персональных данных предусмотрены случаи, когда оператор может обрабатывать ПД при отсутствии согласия:

Например, вы заключили с риелтором договор, согласно которому он ищет покупателя для вашей квартиры. Риелтору нужно знать ваши ПД: Ф. , контактный телефон и e-mail. Так как он использует эти данные только для оказания услуг, ему не нужно ваше согласие на обработку ПД. Если же риелтор желает присылать вам рекламные материалы, которые, естественно, не связаны с оказанием услуг по заключенному договору, то он обязан будет получить ваше согласие на обработку ПД в рекламных целях;

Что такое согласие на обработку персональных данных?

Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.

Согласие на обработку ПД должно быть оформлено:

  • письменно, если того требует закон (см. выше);
  • в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).

Пункты, которые обязательно должно содержать письменное согласие:

  • Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
  • название организации или Ф.И.О. и адрес оператора;
  • цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
  • перечень ПД, которые будет обрабатывать оператор;
  • информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
  • перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
  • срок, на который выдано согласие;
  • способ отзыва согласия;
  • подпись.

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения). Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

Однако оба довода являются спорными.

Почему организация может требовать оформления согласия на обработку ПД?

Причин может быть несколько:

  • оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
  • оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
  • оператор хочет перестраховаться.

Может ли оператор передать кому-нибудь персональные данные?

Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.

Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.

Примеры, когда согласие не нужно:

  • управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
  • работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.

Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.

(Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? О том, как действовать в такой ситуации, читайте в статье «Битва за персональные данные»

Какие персональные данные оператор собирает через сайт и зачем?

ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.

ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф. , адрес, номер телефона, e-mail.

В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:

  • проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
  • принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.

ПД, которые оператор собирает без предоставления вами информации.

В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).

Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.

Законно ли направление мне рекламы без моего согласия?

Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:

  • на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
  • на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.

Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).

Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.

(Подробнее об этом в статье «Клиент жалуется на рекламную рассылку – предприниматель платит»

Как отказаться от назойливой рекламной рассылки?

Обычно в конце рекламного сообщения есть активная ссылка, которая позволяет отказаться от рассылки. Если это не помогло, вы должны обратиться к оператору, от которого получаете рекламу, с требованием прекратить обработку ПД в целях продвижения товаров, работ или услуг. Вы можете обратиться к нему лично, придя в офис, направить по почте письменное требование или через e-mail отправить электронный документ, подписанный усиленной квалифицированной подписью.

При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.

Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.

Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

  • в территориальный орган Роскомнадзора с жалобой на действия оператора;
  • в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение;
  • в суд.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *