Обязанности оператора при сборе персональных данных

Статья 18. Обязанности оператора при сборе персональных данных

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 18 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 18 . Обязанности оператора при сборе персональных данных

ГАРАНТ:

См. комментарии к статье 18 настоящего Федерального закона

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

Информация об изменениях:

Федеральным законом от 21 июля 2014 г. N 242-ФЗ статья 18 настоящего Федерального закона дополнена частью 5, вступающей в силу с 1 сентября 2015 г.

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Источник: http://base.garant.ru/77688035/a573badcfa856325a7f6c5597efaaedf/

Обязанности оператора при обработке персональных данных

Andrey_Popov / Shutterstock.com

Работа с персональными данными накладывает на оператора ряд обязанностей. Рассмотрим несколько наиболее существенных из них.

Уведомить Роскомнадзор о начале обработки персональных данных (ст. 22 закона о персональных данных). Такое уведомление необходимо направить в ведомство до начала обработки данных, указав в нем:

СОДЕРЖАНИЕ

При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно. Это, например, обработка работодателем данных работников, получение оператором данных клиента при заключении с ним договора (если эта информация не предоставляется третьим лицам без согласия на то субъекта и используется исключительно для исполнения указанного договора), обработка общедоступных персональных данных, оформление лицу однократного пропуска на территорию оператора, использование только ФИО субъекта и др. (ч. 2 ст. 22 закона о персональных данных).

Обеспечить конфиденциальность персональных данных. Это значит, что распространять их без согласия на то субъекта нельзя (ст. 7 закона о персональных данных). Данная обязанность лиц, получивших доступ к персональным данным, является одной из основных. В частности, при передаче персональных данных работников работодатель обязан:

Принимать меры для обеспечения безопасности персональных данных (ст. 18.1 закона о персональных данных). Для этого организации следует назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 закона о персональных данных). Такое лицо обязано осуществлять внутренний контроль за соблюдением оператором и его работниками требований к защите персональных данных, доводить до сведения работников положения закона о персональных данных, локальных актов по вопросам обработки персональных данных, а также организовывать прием и обработку обращений и запросов субъектов персональных данных. Кроме того, в этих же целях следует применять технические меры по обеспечению безопасности обработки, а также издать документы, определяющие политику компании в отношении обработки персональных данных, и др.

БЛАНКИ

Должностная инструкция ответственного за организацию обработки персональных данных
Уведомление об обработке персональных данных
Политика обработки персональных данных
Положение о защите, хранении, обработке и передаче персональных данных работников
Другие бланки

При этом политику обработки персональных данных организация должна сделать публичной (ч. 2 ст. 18.1 закона о персональных данных). Наиболее оптимальным способом является размещение документа на сайте оператора. Но в том случае, когда это невозможно, достаточно установить «кармашек» с политикой на бумажном носителе в любом доступном для посетителей организации месте. Исключение составляют операторы, собирающие персональные данные непосредственно через Интернет, – им необходимо опубликовать политику именно на сайте и обеспечить возможность доступа к указанному документу. На официальном сайте Роскомнадзора можно ознакомиться с рекомендациями по составлению политики в отношении обработки персональных данных.

Не стоит путать политику, распространяющуюся в основном на третьих лиц (контрагентов, клиентов и др.), с Положением о защите, хранении, обработке и передаче персональных данных работников – этот документ в отличие от политики является локальным нормативным актом, поэтому делать его публичным не нужно, а вот ознакомить с ним под роспись работников следует обязательно (ст. 22 ТК РФ).

МАТЕРИАЛЫ ПО ТЕМЕ

О том, с какими проблемами может столкнуться оператор при соблюдении требований о локализации персональных данных и как их наиболее эффективно их решить, читайте в нашем материале «Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса».

Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (ч. 5 ст. 18 закона о персональных данных). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало вопросов. Среди них отсутствие ясности, на какие именно персональные данные будет распространяться данное требование, каких операторов это затронет, допускается ли обработка персональных данных одновременно на российском и иностранном сервере, как определить гражданство субъекта и т. д. На большую часть этих вопросов Роскомнадзор ответил еще до вступления новых требований закона в силу. Так, например, ведомство предоставило операторам право самостоятельно решать вопрос определения гражданства лица, чьи данные обрабатываются, либо применять требование о локализации к персональным данным всех субъектов. Кроме того, Роскомнадзор уточнил, что в том случае, когда при сборе персональные данные были записаны в российскую базу данных, в дальнейшем они могут обрабатываться и в электронной базе, находящейся за пределами страны.

И в политике обработки персональных данных, и в Положении о защите, хранении, обработке и передаче персональных данных работников следует прописать, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России, а также указать место нахождения такой базы данных.

Своевременно прекратить обработку персональных данных. Если цель обработки персональных данных достигнута или субъект отозвал свое согласие на их обработку, оператор должен прекратить обработку этих данных и удалить их в 30-дневный срок, если иной срок не определен в соглашении (ч. 4-5 ст. 21 закона о персональных данных).

Источник: http://www.garant.ru/actual/persona/obyazannosti/

Статья 18. Обязанности оператора при сборе персональных данных

Внимание! Это архивная редакция статьи.

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

• 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
• 2) цель обработки персональных данных и её правовое основание;
• 3) предполагаемые пользователи персональных данных;
• 4) установленные настоящим Федеральным законом права субъекта персональных данных;
• 5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

• 1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
• 2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
• 3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
• 4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
• 5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

Источник: http://dogovor-urist.ru/%D0%B7%D0%B0%D0%BA%D0%BE%D0%BD%D1%8B/%D0%B7%D0%B0%D0%BA%D0%BE%D0%BD_%D0%BE_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85/%D1%81%D1%82_18/%D1%80%D0%B5%D0%B4-27.07.2011/

Обязанности оператора при сборе персональных данных

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию[364]. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

· наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

· цель обработки персональных данных и ее правовое основание;

· предполагаемые пользователи персональных данных.

Правительство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Контроль и надзор за выполнением требований, установленных Правительством РФ осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСО), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Уполномоченный орган по защите прав субъектов персональных данных.

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи[366].

Субъекты персональных данных могут обращаться в уполномоченный орган по поводу содержания персональных данных, а также способов их обработки. Уполномоченный орган рассматривает обращения субъектов и принимает решение о коррекции персональных данных или изменении порядка их обработки.

Уполномоченный орган по защите прав субъектов персональных данных имеет право:

· запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

· осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

· требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

· принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;

· обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

· направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

· направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

· вносить в Правительство РФ предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

· привлекать к административной ответственности лиц, виновных в нарушении законодательства в области персональных данных.

В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

Уполномоченный орган по защите прав субъектов персональных данных обязан:

· организовывать в соответствии с требованиями законодательства РФ защиту прав субъектов персональных данных;

· рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

· вести реестр операторов;

· осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

· принимать в установленном законодательством РФ порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

· информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

· выполнять иные предусмотренные законодательством РФ обязанности.

Лица, виновные в нарушении требований законодательства РФ о персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность[367].

Дата добавления: 2014-12-26 ; Просмотров: 671 ; Нарушение авторских прав? ;

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

Источник: http://studopedia.su/14_77175_obyazannosti-operatora-pri-sbore-personalnih-dannih.html

Статья 18. обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статьи к прочтению:

Закон 152-ФЗ

Похожие статьи:

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении…

1. Физическое или юридическое лицо, которое не выполняет требований настоящего Закона в отношении исключительных прав правообладателей, в том числе…

Источник: http://csaa.ru/statja-18-objazannosti-operatora-pri-sbore/

Статья 18. ЗоПД РФ. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

• наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные настоящим Федеральным законом права субъекта персональных данных;
• источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Если у Вас остались вопросы, то обратитесь за консультацией к нашим юристам.

Для того, чтобы понять как действовать в вашем случае, пожалуйста заполните форму обратной связи. Кратко опишите Вашу ситуацию укажите Ваше Имя город и номер телефона отправьте заявку и получите консультацию нашего юриста в течении 10 минут.

Источник: http://consultant-mos.ru/zakony/zopd/statya-18-zopd-rf.html

Статья 18. Обязанности оператора при сборе персональных данных

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 18 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 18 . Обязанности оператора при сборе персональных данных

ГАРАНТ:

См. комментарии к статье 18 настоящего Федерального закона

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

Информация об изменениях:

Федеральным законом от 21 июля 2014 г. N 242-ФЗ статья 18 настоящего Федерального закона дополнена частью 5, вступающей в силу с 1 сентября 2015 г.

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Источник: http://base.garant.ru/57414711/a573badcfa856325a7f6c5597efaaedf/

Статья 18. Обязанности оператора при сборе персональных данных

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 18 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 18 . Обязанности оператора при сборе персональных данных

ГАРАНТ:

См. комментарии к статье 18 настоящего Федерального закона

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

Информация об изменениях:

Федеральным законом от 21 июля 2014 г. N 242-ФЗ статья 18 настоящего Федерального закона дополнена частью 5, вступающей в силу с 1 сентября 2015 г.

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Источник: http://base.garant.ru/12148567/a573badcfa856325a7f6c5597efaaedf/

Как работодателю не налететь на штраф из-за защиты персональных данных

Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.

Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.

Трудовой кодекс РФ (далее — ТК РФ) устанавливает особенности защиты, а также хранения, использования и передачи персональных данных работника в Главе 14 «Защита персональных данных работника». Правила работы с персональными данными содержатся в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.

Можно привести примерный перечень персональных данных работника:

• фамилия, имя, отчество;
• дата рождения;
• адрес места регистрации/места жительства;
• сведения, содержащиеся в документах, предоставляемых при трудоустройстве: паспорте, трудовой книжке, документе об образовании, свидетельстве о государственном пенсионном страховании;
• сведения о трудовом (страховом) стаже;
• сведения о привлечении работника к материальной ответственности;
• сведения о состоянии здоровья и результатах медицинского обследования работника;
• любые иные сведения, позволяющие определить работника.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными.

Источник получения персональных данных

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Работа с персональными данными

Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора. Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется. Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях.

• в Фонд социального страхования РФ, Пенсионный фонд РФ;
• в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
• когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
• наличия у работодателя доверенности на представление интересов работника;
• когда соответствующая форма и система оплаты труда прописана в коллективном договоре

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника. Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу). По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников. Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации. Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Частью 2 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

Источник: http://www.klerk.ru/buh/articles/483924/