А ваша организация – оператор персональных данных?

  • 23 сентября 2015 в 13:30
  • 175К
  • 46
  • 73
  • Пост актуален в 2024 году

    Добрый день, коллеги!

    Удивительно холодно была встречена новость о сентябрьских изменениях в Федеральный закон «О персональных данных» на профессиональном портале «профессиональных» операторов персональных данных. Боюсь, вы зря решили, что вашей компании это всё равно не касается.

    Что такое персональные данные?

    Статья 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» дает такое определение:

    Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    Вся соль в словах «определенному или определяемому физическому лицу». Если по информации или её совокупности можно понять, о ком речь — то перед вами то, что называют персональные данные. Если понять нельзя — то и эту информацию скорее всего нельзя отнести к персональным данным.

    Приведу несколько примеров:

    • Иванов Иван Иванович, паспорт гражданина РФ серии 01 00 номер 000001 — это прямо определенное физическое лицо.
    • Петров Петр Петрович, отец Вовы Петрова из 5-го «Б» класса — это косвенно определенное физическое лицо.
    • Генеральный директор ООО «Ромашка», личный телефон +7(900) 555-00-00 — это определяемое физическое лицо.
    • Брюнет Константин — лицо не определено и не может быть определено (не персональные данные или то, что называется обезличенные данные).

    Поэтому если вы увидите на стене в подъезде надпись «Машка — молодец!», знайте — это не персональные данные, в отличии от записи в ежедневнике «Мария (+7(900) 555-00-99) — встреча в 16:00». Потому что само по себе взятое отдельно имя к персональным данным не относится, но стоит прибавить к нему информацию, достаточно достоверно идентифицирующую личность (например, номер телефона или паспорта, адрес прописки или должность в конкретной организации), и вуаля! — перед нами появляются персональные данные, причем включая то же самое имя.

    Нет четкого списка того, что является персональными данными. Но обычно к ним относят следующее:

    Обратите внимание!
    Исчерпывающего списка персональных данных нет и быть не может. Относятся данные к персональным или не относятся решается в каждой ситуации отдельно.

    • фамилия,
    • имя,
    • отчество,
    • адрес проживания,
    • электронный адрес,
    • номер телефона,
    • дата рождения,
    • место рождения,
    • национальность,
    • вероисповедание,
    • место работы,
    • должность,
    • рост,
    • вес,
    • и так далее.

    Кто является оператором персональных данных?

    Согласно той же 3 статье Федерального закона «О персональных данных»:

    Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    То есть формально — все. Абсолютно все.

    Наверняка, прочитав предыдущий раздел, Вы пришли к выводу, что Ваш телефон, Ваш электронный почтовый ящик, Ваш ежедневник, документы на Вашем столе и даже несколько папочек в сейфе кишмя кишат персональными данными. И что же делать с этой бедой?

    Абсолютно ничего не надо делать в следующих случаях, так как на них ФЗ «О персональных данных» не распространяется (пункт 2 статьи 1 Закона):

    1. Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;
    2. Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
    3. Персональные данные, отнесены к сведениям, составляющим государственную тайну;
    4. Персональные данные относятся к публичной информации о деятельности судов в РФ.

    Скорее всего, ничего не надо предпринимать если:

    Обратите внимание!
    На практике есть много нюансов, которые нужно будет участь, чтобы иметь возможность обрабатывать персональные данные не уведомляя компетентный орган. Поэтому не делайте окончательных выводов основываясь только на этой статье!
    Как минимум, обратитесь к тексту закона — в списке есть прямые ссылки.

    1. Персональные данные обрабатываются исключительно во исполнение требований трудового законодательства (подпункт 1 пункта 2 статьи 22 ФЗ «О персональных данных»);
    2. Персональные данные обрабатываются исключительно для исполнения договора, стороной которого является субъект персональных данных (подпункт 2 пункта 2 статьи 22 ФЗ «О персональных данных»);
    3. Персональные данные о членах общественной или религиозной организации обрабатываются самой этой организацией (подпункт 3 пункта 2 статьи 22 ФЗ «О персональных данных»);
    4. Сам субъект персональных данных сделал их общедоступными (подпункт 4 пункта 2 статьи 22 ФЗ «О персональных данных»);
    5. Персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных (подпункт 5 пункта 2 статьи 22 ФЗ «О персональных данных»);
    6. персональные данные используются для предоставления одноразового пропуска и т.п. (подпункт 6 пункта 2 статьи 22 ФЗ «О персональных данных»);
    7. Обрабатываются персональные данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (подпункт 6 пункта 2 статьи 22 ФЗ «О персональных данных»);
    8. Персональные данные обрабатываются без использования компьютера (но с соблюдением требований установленных Постановлением Правительства РФ от 15.09.2008 N 687) (подпункт 8 пункта 2 статьи 22 ФЗ «О персональных данных»);
    9. Персональные данные обрабатываются в целях транспортной безопасности  (подпункт 9 пункта 2 статьи 22 ФЗ «О персональных данных»).

    Придется позаботится о соблюдении всех требований ФЗ «О персональных данных», если:

    Обратите внимание!
    Не важно, кто является владельцем сайта: физическое лицо или организация. В обоих случаях необходимо зарегистрировать оператора персональных данных.

    1. Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:

    • форумы;
    • социальные сети;
    • многие новостные сайты;
    • интернет-магазины;
    • блоги;
    • сайты с частными объявлениями;
    • и так далее.

    2. Ваш сайт позволяет вносить в формы персональные данные пользователей, которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.

    3. Ваш сайт просто уже содержит реальные персональные данные граждан. 

    4. Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:

    • большинства юридических фирм;
    • абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);
    • реестродержателей;
    • бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;
    • банков, МФО и других компаний финансового сектора, работающих с данными граждан;
    • медицинских учреждений;
    • магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);
    • образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);
    • ТСЖ и управляющих компаний в сфере ЖКХ;
    • турагентств;
    • третейских судов;
    • и так далее.

    5. Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).

    6. Ваша компания использует CRM или аналогичные системы.

    7. Во всех остальных случаях, если Вы или Ваша компания не подпадаете под исключения, которые я описала выше.

    Что делать организации, занимающейся обработкой персональных данных?

    Если вы нашли свою компанию в третьем списке, то, во-первых, придется подготовить пакет документов, предусмотренных законодательством о персональных данных, который включает в себя:

    • Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
    • Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
    • План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных.
    • Перечень должностей и третьих лиц, допущенных к обработке персональных данных.
    • Форма Обязательства о неразглашении персональных данных.
    • Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку.
    • Перечень обрабатываемых персональных данных.
    • Форма Согласия на обработку персональных данных.
    • Форма Согласия на обработку персональных данных для сайта.
    • Перечень информационных систем персональных данных.
    • Перечень применяемых средств защиты информации.
    • Перечень помещений, в которых ведется обработка персональных данных.
    • Технический паспорт информационных систем персональных данных.
    • Приказ о назначении лиц, ответственных за обработку и защиту персональных данных.
    • Инструкция администратора информационной безопасности.
    • Инструкция менеджера обработки персональных данных.
    • Положение по обработке персональных данных.
    • Политика компании в отношении обработки персональных данных.
    • Положение об обеспечении безопасности персональных данных.
    • Уведомление об обработке персональных данных.
    • Приказ об утверждении Инструкции пользователя информационных систем персональных данных.
    • Инструкция пользователя информационных систем персональных данных.
    • Регламент по учёту, хранению и уничтожению носителей персональных данных.
    • Регламент по допуску сотрудников и третьих лиц к обработке персональных данных.
    • Регламент по реагированию на запросы субъектов персональных данных.
    • Регламент по взаимодействию с органами государственной власти в области персональных данных.
    • Регламент по резервному копированию персональных данных.
    • Регламент по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности.

    Во-вторых, уведомить компетентный орган — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о начале обработки персональных данных. После чего компания будет внесена в Реестр операторов персональных данных.

    Например, 1 сентября вступили в силу изменения в Закон, ограничивающие трансграничную передачу данных, в связи с чем до 12 сентября операторы персональных данных должны были сообщить в Роскомнадзор о том, где они обрабатывают персональные данные — в России или за рубежом.

    В-третьих, отслеживать изменения в законодательстве о персональных данных, так как периодически придется направлять в Роскомнадзор новые уведомления и вносить коррективы в действующие внутренние положения, регламенты и другие документы.

    Ответственность за нарушение законодательства о персональных данных

    Роскомнадзор периодически производит проверки как среди компаний, внесенных в Реестр операторов персональных данных, так и среди компаний, которых нет в этом реестре, но они с точки зрения Роскомнадзора потенциально могут заниматься обработкой данных граждан. Со списком запланированных проверок можно ознакомится на сайте органа.

    Кроме того, проверки могут назначаться после поступившей жалобы, чем, к сожалению, периодически пользуются обиженные бывшие работники или недобросовестные конкуренты.

    Если в ходе проверки Роскомнадзор обнаружит нарушения, то компании, её руководителю и сотрудникам может грозить административная ответственность по статьям:

    Кстати, не обольщайтесь совсем небольшим размером штрафов в санкции статьи. Как правило, при проверке выявляется сразу ряд нарушений, а штраф может назначаться за каждое нарушение отдельно, что может увеличить его суммарно до 100 000 рублей и более.

    • Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных):
      предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

    Ряд требований, касающихся обработки персональных данных, установлены трудовым законодательством.

    • Статья 5.27. Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права:
      предупреждение или наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от одной тысячи до пяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей (в первый раз);
      влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до двадцати тысяч рублей или дисквалификацию на срок от одного года до трех лет; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятидесяти тысяч до семидесяти тысяч рублей (при повторном нарушении).
    • Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль:
      наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц — от десяти тысяч до двадцати тысяч рублей.
    • Статья 13.12. Нарушение правил защиты информации:
      влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до пятнадцати тысяч рублей.
    • Статья 13.14. Разглашение информации с ограниченным доступом:
      наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от четырех тысяч до пяти тысяч рублей.

    Кроме того Роскомнадзом имеет право блокировать сайты, нарушающие законодательство, в том числе законодательство о персональных данных.  То есть если на вас пожалуется физическое лицо, то сайт может быть заблокирован.

    Если очень не повезет, то ответственность может стать и уголовной:

    • Статья 137. Нарушение неприкосновенности частной жизни:
      наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;
      наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (если использовалось служебное положение).
    • Статья 140. Отказ в предоставлении гражданину информации:
      наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.

    Кстати, Госдума в начале этого года приняла в первом чтении законопроект, увеличивающий до 300 000 рублей штрафы за нарушения при обработке персональных данных. На настоящий момент законопроект «завис» в ожидании второго чтения. Зная специфику работы нашей Госдумы сложно предугадать дальнейшую судьбу поправок в КоАП: канут они в Лету или будут спешно приняты накануне очередных праздничных дней или каникул — мы пока не знаем.

    Быть или не быть?

    С точки зрения юриста ответ на вопрос очевиден: если компания занимается обработкой персональных данных и не в состоянии свести это обработку к исключениям, указанным в статьях 1 и 22 Закона, то обязательно нужно подготовить все необходимые документы и направить соответствующее уведомление в Роскомнадзор. В таком случае юрист может быть уверен, что риски связанные с проверкой регулирующего органа снижены до минимальных.

    С точки зрения руководителя или собственника бизнеса ситуация не на столько очевидная. Те, кто управляют компаниями, обычно делят риски на допустимые и недопустимые (даже если они это так не называют). И в данном случае степень риска и его допустимость зависят от многих факторов. Во-первых, это так скажем заметность компании на рынке, во-вторых, способы обработки персональных данных, в-третьих, ценность юридического лица и его репутации, в-четвертых, политика работы с клиентами.

    Поясню на примерах, что я имею в виду. Вероятность того, что Роскомнадзор заинтересуется форумом муромских садоводов-любителей стремится к нулю. А вот у крупного портала или интернет-магазина шансов попасть под пристальный взгляд регулирующего органа значительно больше. На мой взгляд это даже скорее вопрос времени. Поэтому чем крупнее бизнес, тем вероятнее назначение проверки Роскомнадзора.

    Способы обработки персональных данных тоже играют большую роль. Сильнее всего рискуют компании, у которых есть сайты, содержащие персональные данные (причем не важно: пользователей или третьих лиц), или позволяющие через формы вносить персональные данные (опять же не важно: пользователей или третьих лиц). Равно высоки риски у компаний регулярно производящих e-mail-рассылки по более или менее крупной базе адресов. Главная проблема и первых, и вторых в том, что Роскомнадзор имеет большой опыт работы именно с интернетом, а также имеет дополнительный способ воздействия на нарушителя — блокировка сайта.

    Кроме того, сильно рискуют компании обрабатывающие персональные данные офлайн, но способами, которые легко установить и доказать. Например, ведение клиентской базы в CRM или аналогах, постоянная работа с документами, содержащими данные граждан (так работают регистраторы, реестродержатели, внешние бухгалтеры, банки, МФО, турагентства, третейские суды и некоторые другие).

    Третий фактор — ценность юридического лица и его репутации. С одной стороны, это то, о чем обычно не принято говорить вслух. Но мы с вами юристы и прекрасно знаем, что относительно устоявшийся способ решения половины проблем бизнеса — это «закрыть старое ООО, открыть новое». Хозяева бизнеса, которые придерживаются такой философии, редко всерьез заботятся о «безупречности» юридической стороны своего дела, поэтому и риски проверок Роскомнадзора их вряд ли будут волновать.

    С другой стороны вопрос репутации становится крайне важен для компаний, заработавших себе определенное имя. И особенно это важно владельцам популярных сайтов. Блокировка сайта на 90 дней способна не только на долгое время выбросить сайт из топ-10 Яндекса или Гугла, но и сильно пошатнуть отношение клиентов или пользователей сайта.

    Агрессивная политика работы с клиентами или потенциальными клиентами также может сильно увеличить риск проверок. Кому не звонил в выходной день на сотовый телефон бойкий менеджер какой-то неизвестной компании с «отличным предложением»? Кому не приходилось маниакально по сотому разу добавлять в спам и черный список ненужные рассылки от интернет-магазинов?

    Не знаю, как вы, а я очень люблю таким менеджерам напомнить, что их компания нарушает Закон «О рекламе» и Закон «О персональных данных», и порекомендовать исключить мои данные из их базы, а то «мне же придется писать на вас жалобы, а так не хочется…». Но ладно я — я только пугаю, а писать жалобы у меня действительно желания мало. Есть же и более решительные юристы (и не только юристы), которые с удовольствием ввяжутся в это дело, еще и компенсацию морального вреда потребуют. Напомню, что свои проверки Роскомнадзор может производить на основании поступивших жалоб.

    Ещё один фактор я не упомянула — это юридическая чистота бизнеса. К сожалению, в нашей стране частично в силу качества законов, частично из-за устоявшейся привычки, этот фактор не очень популярен. Особенно это бросается в глаза, когда сталкиваешься с представителями крупных иностранных компаний, для которых нарушить закон — это экстраординарная ситуация. Хочется верить, что и наш бизнес рано или поздно обратится к этой философии, а пока вам решать, обращать на это внимание или нет.

    Собственно, на основании этих факторов и стоит принимать решение по вопросу официальной регистрации в качестве оператора персональных данных.

    Кстати, дополнительный бонус для законопослушных компаний — появляется реальный способ борьбы с бывшими сотрудниками, прихватившими с собой клиентскую базу. «Натрави́те» на них Роскомнадзор — у них ведь не будет даже согласия об обработке персональных данных от клиентов, не говоря уже о полноценной строчке в Реестре операторов персональных данных.

    Коллеги, мне интересно ваше мнение по проблеме нелегитимной обработки персональных данных!

    Добавить
    Для того, чтобы оставить комментарий или проголосовать, вам необходимо войти под своим логином или пройти несложную процедуру регистрации
    Также, вы можете войти используя:

    Спасибо! Хорошо написано и познавательно. Интересно, а что делает Регфорум для соблюдения закона о персональных данных в отношении форумчан? Хотелось бы знать...

    P.S. мысль с Роскомнадзором - весьма любопытна. спасибо за наводку.

    23 сентября 2015 в 13:372

    Спасибо за отзыв!

    Про Регфорум, боюсь, вопрос не ко мне) Но, полагаю, они над этим работают.

    23 сентября 2015 в 15:311

    Сообщение от Александр Зверев

    « а что делает Регфорум»

    знакомится с содержанием поста

    23 сентября 2015 в 17:583

    вопрос: А разве под это все нельзя подвести? Персональные данные обрабатываются исключительно для исполнения договора, стороной которого является субъект персональных данных (подпункт 2 пункта 2 статьи 22 ФЗ «О персональных данных»);??

    23 сентября 2015 в 15:00

    Многое -- нельзя.

    Например, если Вы записываете перс. данные потенциального клиента (в CRM или exel), то договора как такового ещё нет, а обработка данных уже началась.

    Для регистраторов -- это вообще нереально, так как чаще всего договор заключается не с тем лицом, чьи данные обрабатываются (субъект ПДн).

    Кроме того, многие обрабатываемые данные сложно обосновать необходимостью исполнения договора -- например, если в договоре не прописать прямо, зачем используется телефон клиента, то формально получается, что эта информация избыточная и не подпадает под п.п. 2 п. 2 статьи 22 Закона. Да и сам способ обработки не всегда подведешь под исполнение договора, если Вы хотите хранить и использовать эти ПДн после завершения оказания услуг по договору (рассылки клиентам, да и просто хранение клиентской базы или архива подготовленных документов).

    23 сентября 2015 в 15:412

    Сообщение от Виталия Фончикова

    «Для регистраторов -- это вообще нереально, так как чаще всего договор заключается не с тем лицом, чьи данные обрабатываются (субъект ПДн).»

    ну я левые данные не использую. только сторона по договору.

    вопрос ведь в чем как проверяющий орган может установить, что я использую персональные данные третьего лица не в связи с заключенным с ним договором?

    Ко мне обращались из Роскомнадзора с требованием подать им какую-то бумажку о том, что я ялявюсь оператором персональных данных. На мой вопрос о том, с чего это вы решили? ответ последовал в таком духе, но ведь к вам граждане обращаются!!

    Исходя из позиции роскомнадзора все юристы только и делают, что занимаются сбором персональных данных, а именно так он толкует.

    25 сентября 2015 в 17:451

    Не хочу ставить Ваши слова под сомнение, но я не представляю, как регистратор может вовсе не работать с данными лиц, которые не являются стороной по договору. Например, при создании ООО несколькими учредителями, Вы заключаете договор со всеми сразу? Или при внесении изменений в ЕГРЮЛ или устав договор чаще всего заключается с юрлицом, тогда персональные данные директора -- это данные лица, с которым нет договора, т.к. директор не от своего имени подписывал договор, а от имени ООО. И много еще других примеров можно привести.

    Вопрос не в совсем "левых" данных, т.к. криминальные и полу-криминальные схемы здесь не обсуждаются, а в данных лиц, с которыми нет договора, несмотря на то, что и они получены с полного согласия этих лиц.

    Но это про регистраторов. А юрист более широкого профиля вполне может жить и без строчки в реестре операторов, т.к. в широкой юридической практике можно оставаться в исключениях из 22 статьи. Естественно, за этим нужно следить, но это возможно.

    28 сентября 2015 в 14:48

    Сообщение от Виталия Фончикова

    «Например, если Вы записываете перс. данные потенциального клиента (в CRM или exel), то договора как такового ещё нет, а обработка данных уже началась.»

    Существует возможность акцепта посредством совершения действий (п. 3 ст. 438 ГК РФ). Предоставление своих персональных данных - это действие. Если в оферте оно квалифицируется как акцепт, то в момент их предоставления договор считается заключенным. Вот например:

    http://www.trim.ru/component/option,com_ivforms/Itemid,125/

    http://www.trim.ru/component/option,com_ivforms/Itemid,124/

    http://www.trim.ru/component/option,com_ivforms/

    28 сентября 2015 в 12:47

    Вам ни о чем не говорит эта ссылка: Политика НПП "СпецТек" в отношении обработки персональных данных? Мне она говорит о том, что в Вашем примере компания как раз зарегистрирована в качестве оператора персональных данных.

    Предоставление персональных данных не является акцептом если это прямо не прописано в оферте. Поэтому, если Вам позвонил потенциальный клиент, Вы спросили его имя и контактный телефон, он их озвучил, это ещё не значит, что он согласился на Ваше предложение и фактически заключил договор. Он вообще может в итоге обратиться к кому-то ещё, а не к Вам. Зато Вы в данной ситуации уже обрабатываете его персональные данные.

    28 сентября 2015 в 13:11

    Не каждый оператор обязан регистрироваться в Роскомнадзоре - об этом говорят исключения в ст. 22. И если оператор не выходит за пределы исключений, то направлять уведомление он не обязан.

    И в то же время каждый оператор обязан опубликовать политику в отношении обработки персональных данных (п. 2 ст. 18.1). Поэтому из наличия политики не следует, что компания зарегистрирована в Роскомнадзоре.

    В данном случае в оферте как раз указано, что нажатие на кнопку "отправить данные" с заполненной формы на сайте является акцептом. После этого посетитель может купить товар у кого-то другого, а можети вообще ни у кого не купить. Но договор-то в данном случае заключается не на куплю-продажу нашего товара, а на 1) предоставление информации о товаре и услугах, 2) предоставление права использования демонстрационной версии программного обеспечения.

    28 сентября 2015 в 13:26

    Согласна с Вами, организация из примера не зарегистрирована Роскомнадзором -- в реестре её нет. В принципе, если они, действительно, используют ПДн только в целях исполнения лицензионного соглашения, то вероятно они подпадают под исключения из 22 статьи. Единственное, я бы уточнила, необходимы ли все эти данные для исполнения договора и что происходит с ПДн после его исполнения.

    Но вообще Ваш пример тогда и не противоречит мои словам -- договор же все-таки заключается вместе с отправкой ПДн. А я писала про ситуации, когда договора нет в принципе.

    28 сентября 2015 в 14:39

    Необходимы ли ВСЕ эти данные для исполнения договора - вопрос интересный, надо обдумать. Вы полагаете, что необходимость именно всех данных нуждается в обосновании, чтобы не вылететь из исключений ст. 22?

    А что касается судьбы ПДн после исполнения договора - там срок действия лицензионного соглашения практически бесконечный (на весь срок действия исключительного права). А соглашение о предоставлении информации автоматически продлевается на следующие 12 месяцев, если ни одна из сторон не заявила о его расторжении. Поэтому исполнение договора формально может не закончиться никогда.

    28 сентября 2015 в 14:54

    Сообщение от Игорь Антоненко

    «Вы полагаете, что необходимость именно всех данных нуждается в обосновании, чтобы не вылететь из исключений ст. 22? »

    По той практике, с которой сталкивалась лично я, Роскомнадзор именно так и трактует 2 подпункт. Они апеллируют к 5 пункту 5 статьи: "Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки".

    Сообщение от Игорь Антоненко

    «срок действия лицензионного соглашения практически бесконечный»

    В таком случае, проблем быть не должно.

    28 сентября 2015 в 19:08
    мне вот интересно, Роскомнадзор считает нарушением, что до заключения договора мы не получили согласие на обработку ПД? То есть до того, как клиент зашел в кабинет и сказал свое ФИО или показал документы.
    16 октября 2016 в 0:16

    Виталия, вот, кстати, интересное решение суда по этому вопросу: http://www.resheniya-sudov.ru/2010/245464/

    Цитата:

    Оценив обстоятельства дела, суды первой и апелляционной инстанций установили следующее. В данном случае физические лица - потенциальные клиенты на получение ипотечного кредита, заполняя анкету-запрос в письменном электронном виде на веб-ресурсах www.kredituem.com и www.creditsbrf.ru, последовательно отвечали на вопросы анкеты, содержащей сведения о персональных данных; цель предоставления данных - получение ипотечного кредита и обработка персональных данных, поскольку в анкете было указано, что кредит предоставляется банком, а не ответчиком. Затем данные физические лица отправляли анкету в электронном виде ООО "Кредитмарт", которое непосредственно имело доступ в административную часть порталов указанных веб-ресурсов под профилем "Руководитель офиса" (подпункт 1.1.2 Договора).

    Оценив обстоятельства дела с учетом названных норм, суды пришли к выводу, что, отправив свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выразили свое согласие на передачу своих персональных данных, то есть при обработке персональных данных указанных лиц ООО "Авторим" получало их письменное согласие в смысле, определенном пунктом 4 статьи 9 Закона "О персональных данных".

    28 сентября 2015 в 13:492

    чудесно

    28 сентября 2015 в 13:52
    Дополнение к комментарию
    Адресация на сайте изменилась, поэтому указанные выше ссылки перестали работать. А переходы по этим ссылкам идут...
    Поскольку нет возможности отредактировать свой же комментарий, привожу работающие новые ссылки:
    http://trim.ru/sites/default/files/pdf/license.pdf - прямая ссылка на договор,
    http://trim.ru/modal_forms/nojs/webform/889 - собственно, оферта.
    3 февраля 2017 в 16:05

    может, не очень внимательно читал (мого букв )) )

    но мне кажется (и не только мне), что оператор ПДн

    это тот, кто ведёт базу ПДн

    ну, мне может же так казаться? )))

    23 сентября 2015 в 17:061

    Может и не внимательно...

    Согласно той же 3 статье Федерального закона «О персональных данных»:
     

    Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    Дело в том, что обработка персональных данных включает в себя ведение базы ПДн, но далеко не ограничивается этим. Что ещё может считаться обработкой персональных данных, я написала в блоке:

    Цитата из статьи

    «Придется позаботится о соблюдении всех требований ФЗ «О персональных данных», если: 

    1. Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры...»

    Т.е. операторы ПДн -- это не только полугосударственные органиации, которые занимаются обезличиванием ПДн и т.п., но и многие другие.

    23 сентября 2015 в 17:36

    уточните Ваш ответ, пожалуйста

    и, если можно, отделите бузину в огороде

    от дядьки в Киеве

    23 сентября 2015 в 17:561

    Если Вы спрашиваете про то, кто является оператором персональных данных -- так статья именно об этом.

    Если про тех, кто ведёт базу ПДн -- то я ответила выше, что к операторам относятся не только они.

    Если ещё про что-то -- то уточните, пожалуйста, вопрос.

    24 сентября 2015 в 9:021

    Добрый день! Вот я тоже пытаюсь понять, являемся ли мы операторами или нет, если у нас в компании  используется корпоративная почта Microsoft Outlook. Я читала, что их база находится в Ирландии. 

    23 сентября 2015 в 17:232

    Добрый день!

    Хороший вопрос, я уточню у коллег и позже Вам напишу.

    23 сентября 2015 в 17:45

    Я бы еще добавил про СМИ, ведь многие организации и коллеги ведут страницы в соц.сетях, форумы и при определенном колличестве подписчиков (с персональными данными конечно) должны регистрироваться как СМИ и несут немалую административную ответсивенность.

    23 сентября 2015 в 18:36

    Боюсь, это лучше написать отдельной статьей)

    24 сентября 2015 в 9:03

    Респект. Прекрасная подача материала. Когда я изучал данный закон перед внесением в реестр, мне очень не хватало подообных комментариев. Пришлось читать закон раз 15, чтобы понять в чем соль, что нужно солить и как не попасть в рассол.

    23 сентября 2015 в 19:213

    Спасибо!

    24 сентября 2015 в 9:03

    Спасибо! Очень познавательно (честно скажу, не вникала пока глубоко в эту тему). Особенно впечатляет обилие бумажек, необходимых, чтоб удовлетворить Роскомнадзор. 

    Само по себе идея контролировать обработку персональных данных - вещь неплохая. Возможно, кто-нибудь действительно когда-нибудь задумается и не станет названивать с предложением всего на свете в неурочное время. С другой стороны, вот еще один вентель, который перекрывает кислород для маленького и юного бизнеса...

    24 сентября 2015 в 5:492

    Спасибо, Софья!

    Сообщение от Sofiamo

    «С другой стороны, вот еще один вентель, который перекрывает кислород для маленького и юного бизнеса...»

    Вспоминается расхожая фраза про то, что строгость наши законов компенсируется необязательностью их исполнения, особенно для самых маленьких. Хотя, конечно, слишком рассчитывать на это тоже не стоит.

    24 сентября 2015 в 9:071

    Сообщение от Виталия Фончикова

    «Вспоминается расхожая фраза про то, что строгость наши законов компенсируется необязательностью их исполнения, особенно для самых маленьких.»

    О да! В таком ключе у меня проходят семинары со студентами на тему юридической ответственности и такого ее принципа, как неотвратимость. Последний часто спит. Но умеет невовремя просыпаться. 

    25 сентября 2015 в 13:312

    Это жестко, в принципе как и всегда

    25 сентября 2015 в 10:55

    Спасибо, Виталия, за статью! В список компаний и ИП, на постоянной основе занимающихся обработкой персональных данных граждан, Вы не включили операторов связи (провайдеров). Как Вы считаете, им нужно подавать в Роскомнадзор уведомления об обработке персональных данных?

    28 сентября 2015 в 10:191

    Если провайдер работает с физ. лицами, то ему точно нужно регистрироваться в качестве оператора персональных данных.

    28 сентября 2015 в 11:032

    Спасибо за ответ!

    28 сентября 2015 в 13:13

    Я хочу поблагодарить автора за то, что благодаря таким постам у нас всегда будет работа.
    Начнём, хотя бы, с такого вопроса: где в законе написано, что если ваша компания попадает под исключения статьи 22, то вам не надо выполнять требования закона или надо но не полностью?

    11 октября 2015 в 14:13
    Дополнение к комментарию

    А в ответ тишина.. Я сам себе отвечать не буду)

    13 октября 2015 в 10:08

    Николай, к сожалению или к счастью, но ответы на комментарии под моими статьями -- это не основная моя работа, поэтому при всем желании я не всегда имею возможность делать это оперативно)

    А теперь по сути. Во-первых, я не написала, что компаниям, попадающим под исключения из 22 статьи, закон можно вовсе не соблюдать. Соблюдать не нужно только тем, кто попадает под исключения 1 статьи.

    Во-вторых, в самой этой статье сказано: "Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ..." и собственно перечисление исключений. Таким образом требование закона о регистрации в качестве оператора ПДн к ним все-таки не относится, т.е. это то самое "не полностью". В остальном закон, конечно, распростаняется.

    14 октября 2015 в 16:521

    Т.е. муниципальный архив или районный суд могут не соблюдать требования закона?

    19 октября 2015 в 10:15
    Добрый день. Подскажите, мы ООО, к нам обращаются юр.лица в которых учредители физ.лица. Нам дает согласие на обработку ПД ген.директор. обратившегося юр.лица. Можем мы в рамках такого согласия проверять учредителей которые являются  физ лицами? если нет то, что нужно чтобы проверять учредителей юр.лица которые являются физ лицами, если от них нет согласий?.
    17 февраля 2017 в 16:38
    А вот как быть с указанием ФИО и паспортных данных гендиректора компании в протоколе о его избрании? Без пасп. данных же такой протокол не сделаешь. Или указать их там, а контрагентам и т.п. делать выписки без пасп.данных, с указанием только ФИО гендиректора?Вряд ли их это устроит.(( А по Фз-115 о легализации всё равно будут требовать паспорт гендира(
    25 мая 2016 в 11:19
    Вот мне интересно, мэйл вместе с ФИО является ПД или нет? Определяемое ли лицо выходит?
    16 октября 2016 в 0:19
    Добрый день. Подскажите, мы ООО, к нам обращаются юр.лица в которых учредители физ.лица. Нам дает согласие на обработку ПД ген.директор. обратившегося юр.лица. Можем мы в рамках такого согласия проверять учредителей которые являются  физ лицами? если нет то, что нужно чтобы проверять учредителей юр.лица которые являются физ лицами, если от них нет согласий?.
    17 февраля 2017 в 16:38

    Здравствуйте, очень полезная информация, подскажите если организация обрабатывает данные субъектов лишь для составления и продления договоров не передавая эти данные третьим лицам, то организация вправе не уведомлять контролирующий орган? Речь идёт об организации предаставляющей торговые площади в аренду арендаторам. Попадаем ли мы под п.2 ст.22 ФЗ? Спасибо.

    15 марта 2017 в 22:46
    Вопрос: является ли номер телефона или адрес электронной почты персональными данными, если о лице, которому они принадлежат, ничего не известно - даже имени нет?
    25 мая 2017 в 15:19
    Хороший вопрос. Если это личные данные, то есть при приобретении номера или при регистрации почтового ящика они были указаны — то по сути являются. А если просто симку в переходе купил, или ящик на вымышленное имя - то нет. В общем, если по ним можно установить привязку к конкретной личности - то являются.
    25 мая 2017 в 15:57
    Про привязку - верное замечание. Сейчас РКН склоняется к тому, что и номер телефона сам по себе, и почта сама по себе тоже являются перс. данными, так как по ним можно легко узнать остальные - ВК, facebook и прочие позволяют осуществлять поиск по телефону/e-mail.
    25 мая 2017 в 16:01
    Очень интересная статья, но не соглашусь со списком документов. по моему опыту работы в организациях операторов ПДн было достаточно следующей последовательности действий: (1). Приказ о назначении ответственного за обработку и защиту ПНД в организации. ( 2.) Приказ об утверждения перечня ПНД обрабытываемых в организации и Инф. Систем в которых обрабатываются ПНД. (3.) Приказ о создании комиссии по классификация информационных систем (4.)  Акт Классификации ИС в сооствествсии в Постановлением ПР 1119. (5.) Политика в отношении обработки и защиты ПНД. Размещение политики на сайт. (6.) Приказ со списком лиц допущенных к обработке ПНД. (7.) Пересмотр договоров с клиентами, форм отправки персональных данных с сайта и других информационных систем с целью добавления согласия на обработку. Включение в должностные инструкции и трудовые договоры обязанностей сотрудников выполнять требования по обеспечению безопасности ПНД.
    (8.) Уведомления Роскомнадзора не позднее чем через две недели от приказа в п.1
    (9.) Разработка и утверждения регламента обработки запросов субъектов ПДн (10.)  Разработка и и утверждение Политики Защиты ПДн в соответствии с Актом классификации П.4 и 21 Приказом ФСТЭК (11.) Реализация политики зпщиты ПДн.Цитировать
    31 мая 2017 в 12:02
    Виталия какое Ваше мнения, могу ли я являясь Индивидуальным предпринимателем оказывать услуги юридическим лицам по приведению в соответствия обработки ПДн в соответствии с законом о ПДн не имея лицензию ФСТЭК на защиту конфиденциальной информации?
    31 мая 2017 в 12:081
    можете
    25 сентября 2018 в 2:13
    Здравствуйте! Подскажите, если ИП оказывает услуги по временному размещению гостей (не гостиница) и передает данные в ФМС, нужна ли ему регистрация? Спасибо.
    8 июня 2017 в 13:151
    нужна
    25 сентября 2018 в 2:14
    В свете применения онлайн касс не придется ли теперь всем торговым организациям и ИП уведомлять Роскомнадзор?
    Они же должны будут по желанию клиента направлять чек в электронной форме на эл.почту или телефон. Пусть не напрямую, а через, например, "Контур".
    20 июня 2017 в 15:491
    В свете последних событий если компания не утверждала политику и почти никак не обрабатовало ПД, как быть сейчас, утверждать все нынешней датой или делать все "задним" числом, с учетом того что у фирмы около 2 тыс. ПД ее клиентов
    29 июня 2017 в 16:03
    отдельно почта или телефон не относятся к ПДн + чек на он-лайн кассе это все таки исполнение договора КП
    25 сентября 2018 в 2:15
    начать от текущей даты с новыми, а со старыми лучше озаботиться получением согласия
    25 сентября 2018 в 2:16
    а работодателям нужно что-то предпринимать, просто Закон действует 11 лет и по ка ни у кого вопросов не возникало, кто делал кто-то нет.
    30 июня 2017 в 12:20
    только в части соискателей, с работниками - НЕТ
    25 сентября 2018 в 2:17
    Я дважды перечитал статью Виталии и дважды статью 22 и вижу тут противоречие статьи автора закону, хотя может я неправильно понимаю закон и заранее извиняюсь, рассчитывая получить ответ на такой вот вопрос: Если я регистрируюсь на сайте для покупки товара, указав имя и электронную почту, то владелец сайта должен уведомить уполномоченный орган, и если я прихожу в юридическую фирму для создания компании, предоставляю им все данные, то фирма должны уведомлять уполномоченный орган, - так написано в статье Виталии в разделе "Придется позаботиться". Но при этом пункт 2 статьи 22 освобождает владельца сайта и юридическую фирму от уведомления, например, я получаю по электронной почте уведомление о возможности забрать товар или о готовности документов, то есть данные были использованы только для исполнения договора и не распространялись неограниченному кругу лиц. Так получается, что не распространяй сайты персональные данные и не придется им уведомлять, или есть из-за чего паниковать?
    2 июля 2017 в 0:50
    Если я в свою очередь правильно поняла статью Виталии, то Вы не правы))) Речь идет не о разовых уведомлениях на каждого конкретного обратившегося заказчика. Речь идет о системном предоставлении услуг. Если ваш сайт регистрирует участников с использованием персональных данных - Вы единожды подаете уведомление в Роскомнадзор, для включения Вас в реестр операторов. 
    23 августа 2017 в 14:56
    Здравствуйте! Подскажите, пожалуйста. Я являюсь администратором сайта и он оформлен на меня. Сайт организации ООО. Кому нужно регистрироваться оператором ПД  именно для того, что бы обрабатывать данные, которые физ лица отправляют через формы на сайте?
    6 июля 2017 в 11:51
    тому, кто обрабатывает. Т.е. ООО
    15 ноября 2017 в 20:40
    Спасибо, большое!
    15 ноября 2017 в 16:55
    Добрый день!

    Подскажите, пожалуйста, НКО тоже надо регистрироваться, если она ведёт базу физ лиц, которые делают пожертвования, подписывает различные обращения/петиции и т.д.?
    И нужно ли как-то особенно регистрировать/проверять саму CRM, если в ней большое количество субъектов ПД? Например, в ФСБ...
    30 ноября 2017 в 16:43
    да, нужно. Исключений по ОПФ не делается
    25 сентября 2018 в 2:19
    Нет ли у кого полного пакета по защите и обработке персональных данных третьих лиц для сайта - готова рассмотреть условия приобретения - в личку
    6 апреля 2018 в 1:23
    Если сайт российской компании обрабатывает персональные данные иностранных граждан (их собирают на территории иностранного государства -СНГ) - это трансграничная передача?
    15 апреля 2018 в 20:17
    это уже по законодательству той страны
    25 сентября 2018 в 2:20
    Добрый день! А если ли шаблоны документов для ОПД?
    19 марта 2019 в 11:381
    Присоединяюсь! Либо возможно кто то может поделиться за "огромную благодарность"
    19 марта 2019 в 12:53
    Присоединяюсь к вопросу ! Буду очень благодарен
    11 июля 2019 в 17:00
    Добрый день. У кого есть шаблоны документов для ОПД? Буду крайне благодарен
    11 июля 2019 в 17:01
    Добрый вечер! Подскажите пожалуйста, не приходило ли кому-то письмо от компании - Департамент защиты персональных данных СДС "Росконтроль", в нем они пишут, что нашей организации нет в реестре операторов персональных данных и о том, что необходимо принять меры по защите персональных данных. Это какая-то частная компания? или они работают от Роскомнадзора?
    17 июля 2019 в 21:48
    Клиентам приходили подобные письма.Думаю частная лавка. Ищут клиентов.Кроме Роскомнадзора никто не может писать от его имени.
    18 июля 2019 в 10:45

    Прямой эфир

    Александр Саратов4 декабря 2024 в 11:43
    Участник ООО не смог оспорить в суде «размытие» своей доли
    Александр Саратов4 декабря 2024 в 11:41
    Два опциона на один и тот же предмет. Кому в итоге он достанется?
    Андреев Николай27 ноября 2024 в 11:06
    Непубличное АО, наименование на английском, смена адреса. Вопросы из чата