Оператор персональных данных – кто он? защита персональных данных

Статья 3 прямо предусматривает, что статус обработчика персональных данных распространяется на всех лиц, чьи персональные данные обрабатываются через тех же или уполномоченных лиц, которые предварительно определили интеграцию, цель и перечень действий, которые необходимо предпринять. В эту категорию входят как юридические, так и физические лица, как муниципальные органы, так и государственные службы. Фактически, все без исключения компании продают товары и услуги.

Действующее российское законодательство определяет, каким организациям не нужно дополнительно информировать Роскомнадзор об операциях с данными. К ним относятся компании и индивидуальные предприятия, которые получают и используют персональные данные.

  • В соответствии с положениями российского трудового законодательства (каждый работодатель является оператором).
  • после расторжения соответствующего договора, в целях выполнения его условий.
  • в контексте религиозных или открытых сообществ, только если он не передает персональные данные третьим лицам
  • включенных в государственную информационную систему (ГИС), в соответствии с
  • в неавтоматизированных системах, без ущерба для установленных требований федерального закона или других нормативных актов.
  • если это необходимо для защиты интересов и безопасности общества и граждан, в том числе при обеспечении связи, городского и международного транспорта.

Кроме того, обработчикам персональных данных не нужно обновлять данные компетентных органов, если они обрабатывают только имена граждан. Если деятельность не подпадает ни под одну из вышеперечисленных категорий, необходимо направить уведомление, которое сразу же будет включено в реестр; желающие могут в любое время посетить официальные ресурсы Роскомнадзора и найти имена и другую информацию о держателе персональных данных. Если в списке нет информации, это может означать, что предприятие или индивидуальный предприниматель не подали уведомление и тем самым нарушили закон или совершили нежелательное действие.

Наши специализированные центры могут посоветовать вам, стоит ли в вашем случае обращаться в проверяющий орган. Опытные специалисты по защите информации изучат ситуацию и дадут конкретные советы о том, как легализовать деятельность в соответствии с федеральным законом 152.

Независимо от отрасли, в которой работает компания, численности ее персонала и объема обрабатываемых персональных данных, необходимо разработать политику защиты данных и другие внутренние документы, определяющие порядок проведения всех операций. Для тех, кто работает в Интернете, основная документация должна быть опубликована на сайте. Без неограниченного доступа к политике можно получить штраф в размере от 3 до 30 000 рублей.

Однако организация автоматически попадает в уголовный реестр, что негативно сказывается на репутации бизнеса.

Права и обязанности оператора персональных данных

При обработке персональных данных предприниматель или бизнес должен четко соблюдать законодательные нормы. Например, можно использовать полученные данные для совершения таких действий, как.

  • Копирование, …
  • Сбор, анализ, хранение
  • Изменение, дополнение, обновление или
  • распространение
  • использование, хранение
  • Систематизация и накопление, хранение
  • обезличивание,.
  • блокирование, уничтожение и удаление.

Однако существуют ограничения на продолжительность хранения и способы их использования. Запрещается продолжать обработку персональных данных после завершения первоначальной цели и временных ограничений.

Что касается требований к оператору персональных данных, то основными из них являются.

  1. Уведомления, отправляемые в начале работы с персональными данными работников или клиентов, список руководства, полное название организации, предмет и тип обрабатываемых данных, правовая основа деятельности, предпринятые меры безопасности. Также должна быть раскрыта дата начала работы с персональными данными, условия завершения работы, передавалась ли информация друг другу (за границу).
  2. Мы обеспечиваем защиту персональных данных от несанкционированного доступа. Компания должна назначить сотрудников, ответственных за выполнение и контроль работ, а также разработать и интегрировать организационные и технические меры безопасности. Для реализации мер безопасности требуется достаточно большой перечень локальных документов, начиная от должностных инструкций и заканчивая моделями актуальных угроз персональным данным.
  3. Конфиденциальность информации. Операторам необходимо организовать свою деятельность таким образом, чтобы доступ к ней имели только уполномоченные лица. Никаких упущений, никаких случаев передачи ПДн третьим лицам без предварительного письменного согласия.
  4. Использование локальной идентификации — речь идет о необходимости хранения и обработки данных на российских серверах при сборе персональных данных. Однако дальнейшая трансграничная передача не запрещена.
  5. Прекращение работы по истечении установленного срока или после выполнения первых указанных условий обработки. Кроме того, Федеральный закон № 152 позволяет каждому субъекту написать заявление об отзыве в отношении использования персональных данных. После этого у предприятия или индивидуального предпринимателя есть 30 дней на выполнение этого запроса, если нет законных оснований для продолжать обработку персональных данных.
Это интересно:  Образец и бланк акта демонтажа оборудования 2022 года

Что проверяет Роскомнадзор?

Регулярные проверки организации являются мощным стимулом для предприятий не нарушать положения федерального закона 152. Основные моменты, на которые обращают внимание государственные служащие, следующие

  • При необходимости наличие письменного согласия субъекта; 153.
  • 153. наличие и соблюдение местных документов, регулирующих отношения между оператором и владельцем персональных данных; 154.
  • своевременное уведомление о начале обработки; и
  • цель сохранения информации и срок ее хранения, применяемые меры безопасности, ограничение доступа; 154.
  • применяемых мерах безопасности, применяемой системе ограничения доступа, на
  • сервер, на котором хранится информация о систематизации и хранении.

Конечно, имеет смысл сначала привести деятельность по обработке персональных данных в соответствие с требованиями ФЗ-152, так как обработчики персональных данных проверяются особенно тщательно, если они допускали нарушения в прошлом.

Делегирование обработки ПДн

Вам не обязательно осуществлять обработку самостоятельно. Вы можете доверить организацию обработки данных и защиту данных специалистам. Это может быть поставщик услуг или другая организация (например, центр безопасности данных), которая берет на себя техническую часть в соответствии с условиями заключенного договора и нормами российского законодательства.

Законное право на возбуждение дела в отношении персональных данных закреплено в приказе, наряду с отдельными положениями, устанавливающими необходимость обеспечения безопасности и конфиденциальности обрабатываемых данных.

Чем грозит разглашение личной информации граждан?

Закон предусматривает различные виды ответственности в отношении операций с использованием персональных данных, если оператор не соблюдает требования ФЗ-152.

Для чего были разработаны рекомендации

Во-первых, приводится пример, когда обработка персональных данных (ПД) касается нескольких деловых партнеров. Например, база данных клиентов одной компании хранится на сервере другой, или информация о сотрудниках передается подрядчику для выполнения бухгалтерских задач.

В связи с этим важно уметь различать правовой статус оператора и уполномоченного лица при обработке персональных данных, что необходимо для определения обязательств и ответственности соответствующего субъекта. Для решения этих вопросов были разработаны рекомендации.

Такая документация особенно важна, когда статус деловых партнеров, обрабатывающих одни и те же ПД, не совсем ясен. В то же время следует отметить, что нет разницы в том, как участники формально идентифицируют себя в документации. Статус предприятия или уполномоченного лица определяется на основании содержания обработки ПД.

Кого называют «уполномоченными лицами»

Уполномоченное лицо является субъектом и одновременно выполняет определенные функции

1. это организация (включая юридическое лицо) или физическое лицо (но только в отношении бизнеса или бизнеса, т.е. предприниматели, ремесленники).

Работник компании является представителем органа, поскольку он действует от имени своего работодателя и поэтому не считается отдельно уполномоченным лицом.

Однако, если физическое лицо не имеет иного договора, кроме гражданско-правового (например, договорное соглашение, договор подряда и т.д.), оно является уполномоченным лицом и может иметь статус владельца-собственника (если это лицо обработано PD. 1. лицо находится под контролем оператора и использует ресурсы информации, принадлежащие оператору).

2. лицо обрабатывает ПД от имени или в интересах оператора. Уполномоченное лицо может только обрабатывать ПД, но не может определять основные параметры их обработки.

Контроллер решает, какие персональные данные подлежат обработке, в каком объеме и в какой момент времени, например, в контексте. Контроллер обновляет инструкции. — Уполномоченный орган определяет и информирует уполномоченных лиц, которые должны выполнять указанные инструкции.

В то же время уполномоченное лицо может самостоятельно принимать деловые решения (например, как технически организовать хранение данных), это не делает его оператором.

Ниже приведен пример, когда компания (организация-держатель) хранит персональные данные на сервере, размещенном у хостинг-провайдера (уполномоченное лицо). Хостинг-провайдер как уполномоченное лицо может самостоятельно определять технические детали безопасности хранящихся на сервере клиентов компании на основе собственного опыта, но не может принимать принципиальные решения о том, какие данные и в каком количестве будут храниться. .

В то же время следует помнить, что на практике возможно и внедрение системы провайдера. Например, если две компании заключают соглашение, они обмениваются персональными данными, относящимися к представителям (например, директорам) этих компаний. В этом случае обе компании являются операторами, а не уполномоченными лицами, поскольку каждая компания обрабатывает эти данные для своих собственных целей.

Кроме того, не существует запрета на наем «основного» лица (когда уполномоченное лицо нанимает другое).

Какова правовая основа отношений между оператором и уполномоченным лицом

В случае частных предприятий договор является правовой основой для отношений между предпринимателем и уполномоченным лицом. Договор может быть в виде отдельного документа (договор на обработку персональных данных) или в виде пунктов, основанных на основном договоре, в который передаются ПДС (например, договор на оказание услуг).

Это интересно:  Россети Центр - Общая информация о технологическом присоединении

Согласно статье 7(1) Закона о защите персональных данных, в обоих случаях должно быть четко указано, для каких целей эти данные будут обрабатываться и какие действия будут осуществляться, чтобы обеспечить безопасность и конфиденциальность данных.

Хотелось бы отметить, что данное соглашение должно быть заключено с уполномоченными лицами на иностранной территории.

Каковы обязанности и ответственность сторон договора

Закон позволяет операторам передавать обработку данных уполномоченным лицам, но ответственность за безопасность гражданских данных во время действий уполномоченного лица остается за оператором.

В то же время статья 23.7 Кодекса об административных правонарушениях предусматривает, что ответственность за контроль могут нести как операторы, так и уполномоченные лица. Например, часть 1 этой статьи предусматривает, что умышленный незаконный сбор, хранение, обработка и предоставление персональных данных физических лиц влечет наложение штрафа в размере до 50 базовых величин.

Например, компании формируют базы данных физических лиц и рассылают рекламные сообщения по SMS и электронной почте без надлежащих законных оснований (например, согласия на рекламные сообщения).

С 1 января 2025 года базовая величина составляет 37 белорусских рублей. В результате, Закон о ПД может привести к штрафу в размере до 1 850 белорусских рублей.

Персональные данные и работающие с ними организации

Закон о персональных данных вводит понятие обработчика персональных данных. Это любая форма собственности или организация индивидуального предпринимателя, который в силу характера своей деятельности собирает персональные данные, подлежащие обработке. Не все предприятия знают о процессах, связанных с обработкой персональных данных.

Закон четко предусматривает, что субъект, который получает данные граждан независимо от обработки персональных данных, является оператором.

К ним относятся люди, которые обрабатывают персональные данные.

  • частные организации, такие как владельцы телекоммуникационных услуг или электронных магазинов; и
  • Индивидуальные предприниматели, которые предоставляют формы обратной связи на своих сайтах, и
  • Местные органы власти, в том числе
  • Государственные органы, например, единые государственные экзамены, налоговая информация или информация персонального учета.

Размер штрафов за правонарушения зависит от категории организации. Частные компании несут большую финансовую ответственность, чем индивидуальные предприниматели. В то же время государственные органы, управляющие огромными объемами персональных данных граждан, несут ответственность за нарушение закона по тем же правилам КоАП, что и частные компании.

Однако требования к программному и материальному обеспечению государственных интеллектуальных систем (ГИС) сами по себе более жесткие и их труднее удовлетворить, чем требования небольших частных компаний; в случае ГСП проверка и приемочные испытания являются обязательными, а частные компании могут запускать системы без дополнительного надзора со стороны регулирующих органов.

Обязанности оператора

Когда начинается обработка персональных данных, холдинговая компания должна сообщить об этом в надзорный орган Роскомнадзора. Организация должна

  • Подписать форму своей электронной подписью и заполнить форму электронного уведомления на сайте службы.
  • Отправить копию уведомления организации по электронной почте.

Закон не налагает санкции на участников обработки персональных данных за подачу уведомления, так как процесс обработки персональных данных фактически начался. Если в учредительный документ или украденный код не были внесены изменения в связи со сменой деятельности и получением нового украденного кода, обрабатываемых персональных данных, то дата регистрации организации будет предпочтительнее, чем дата начала Для обработки.

Уведомление Роскомнадзора не требуется, если

  • Организация работает исключительно с персональными данными собственных сотрудников.
  • Мы получаем данные при заключении договора с клиентом, но эти данные используются только для целей исполнения договора.
  • Обрабатываемые данные являются общедоступными персональными данными.
  • Обрабатываются только имена и фамилии.
  • Данные необходимы для выдачи одной оф-лицензии на территории, где организация получает персональные данные.
  • Данные обрабатываются в ГИС (Государственной информационной системе) на федеральном уровне.
  • Перевозчики используют данные без применения автоматизированных средств.

Уведомление должно быть подано в течение трех лет с момента начала участия в деятельности, связанной с обработкой персональных данных. Компания также должна выполнять обязательства, вытекающие из законов и нормативных актов, изданных регулятором (ФСТЭК, которая отвечает за программно-техническую организацию системы защиты персональных данных, и Роскомнадзор, который контролирует выполнение организацией требований). по истечении трех лет проводится первичная проверка и для того, чтобы избежать уголовного преследования по Кодексу об управленческих нарушениях РФ, учреждение должно решить основные вопросы, связанные с защитой персональных данных.

  • обязательное согласие на получение персональных данных, подлежащих обработке, передаче третьим лицам или перекрестной передаче; и
  • веб-сайты учреждений разработать и ввести в действие политику в области персональных данных, надлежащим образом подготовленную для государственного сектора; и
  • соблюдать правила ФСТЭК РФ о соответствии программного обеспечения и документации, а также защищать информацию с учетом рекомендаций организации по управлению персональными данными.
Это интересно:  Все преимущества бонусной карты Эльдорадости.

Академическое соблюдение законов и нормативных актов помогает избежать контроля и ответственности. С 2017 года санкции за несоблюдение ужесточились, но неоднократное несоблюдение нормативных требований может привести к приостановке деятельности организации.

Минимальные меры, необходимые для защиты персональных данных и избежания ответственности:.

  • В нижней части каждого окна сайта или формы, где пользователи вводят свои персональные данные, разместите фразу о согласии на обработку персональных данных и поле для галочки, обозначающее согласие.
  • В окне, где вводится согласие, разместите гиперссылку на политику обработки персональных данных. Документ должен содержать всю необходимую информацию о целях и методах обработки персональных данных.
  • Разместить на сайте всплывающее окно с информацией об использовании cookies или аналогичных технологий, собирающих информацию о трафике.

Роскомнадзор имеет право контролировать выполнение этих требований без необходимости назначения специальной проверки.

Политика или политики обработки персональных данных могут быть подготовлены самостоятельно. Закон не регламентирует ее структуру. Самое главное, что документ должен содержать следующую информацию

  • Данные лица, осуществляющего обработку персональных данных
  • Цель обработки персональных данных, соответствующая указанной в законе
  • Перечень персональных данных, на обработку которых контролер дает свое согласие
  • указание сведений о третьих лицах, если им поручена обработка персональных данных, и цели такого поручения
  • перечень действий, которые необходимо совершить с персональными данными
  • срок действия согласия на обработку персональных данных; и
  • процесс исправления или удаления данных.

Организация, участвующая в обработке персональных данных, может не нести ответственность за необходимость обеспечения конфиденциальности персональных данных.

  • Если персональные данные являются анонимными и из всей информации невозможно установить личность человека, то.
  • если персональные данные обрабатываются на основании специального договора
  • когда персональные данные предоставляются членом общественной или религиозной организации в целях, установленных законом или законодательством.

В некоторых случаях Закон о персональных данных не требует согласия держателя персональных данных на обработку ПД.

  • Если обработка осуществляется на основании закона, заключенного Россией, или международной конвенции, то
  • редактирование осуществляется в целях статистического или иного научного исследования, данные субъектов ПД лишены.
  • Обработка персональных данных необходима для защиты жизни, здоровья и жизненно важных интересов конкретного лица в условиях, когда согласие получено.
  • Обработка персональных данных осуществляется по почте для оказания услуг связи
  • Обработка осуществляется в случаях, когда это прямо предусмотрено федеральным законом.

Правообладатель не всегда может проверить, надлежащим ли образом обрабатываются его персональные данные, соответствует ли оператор заявленной цели.

В рамках национального плана по «цифровой экономике» планируется создать единый портал персональных данных. Операторы смогут размещать информацию о своей деятельности и определять субъекта своих данных.

  • Кто дает согласие на обработку своих персональных данных, и
  • От кого, для каких целей и какие данные обрабатываются.

С помощью ресурсов пользователи должны иметь возможность отозвать свое согласие или исправить свои данные.

Ответственность за несоблюдение законодательства по обработке персональных данных

Большинство мер ответственности относится к области процедур контроля.

Статья 13.11 КоАП предусматривает следующие санкции за отказ от выполнения обязанностей оператора в нарушение российского законодательства о защите персональных данных

  • обработка персональных данных в случаях, не предусмотренных законодательством РФ, или в целях, прямо не указанных холдинговым органом — до 50 000 рублей
  • редактирование персональных данных без согласия их владельца — до 70 000 рублей.
  • Отказ от разработки или публикации политики в отношении правил обработки персональных данных — до 30 000 рублей,.
  • отказать в предоставлении информации об обработке персональных данных законному владельцу — до 40, 000 рублей, и
  • отказ от совершения, исправления или уничтожения недостоверной информации по требованию законного владельца — до 45, 000 рублей; и
  • за хранение персональных данных российских граждан на зарубежных серверах — до 6 миллионов рублей за первое нарушение, до 18 миллионов рублей за повторные нарушения.

Более высокие штрафы не являются проблемой для Facebook или Twitter, но они являются проблемой для небольших компаний. Если организация, обрабатывающая персональные данные, своими действиями наносит ущерб правообладателю, к ней можно предъявить иск о компенсации или неморальном ущербе.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

Adblock
detector