Отсутствие у оператора ваших персональных данных

Отсутствие у оператора ваших персональных данных

САНКТ-ПЕТЕРБУРГ, 5 июня. /ТАСС/.

Сделка по Tele2 будет закрыта в текущем году, ее параметры пока обсуждаются. Об этом журналистам сообщил первый заместитель президента — председателя правления ВТБ Юрий Соловьев.

«Переговоры идут, они включают в себя достаточно широкий спектр контрагентов С самим «Ростелекомом» ведем [переговоры], делаем оценки, ожесточенные переговоры по стоимости. Мы надеемся, что сделка будет завершена в этом году, она двигается по плану», — сказал он, отметив, что, вероятно, сделка будет комбинированной (оплачена частично акциями и частично деньгами).

Сейчас «Ростелекому» принадлежат 45% акций Tele2, остальным пакетом владеет компания Tele2 Russia Holding AB, в которой у ВТБ доля в 50%, Invintel B.V. бизнесмена Алексея Мордашова — 40%, у банка «Россия» — 10%.

В феврале глава ВТБ Андрей Костин в кулуарах Российского инвестиционного форума сообщил, что решение о продаже банком акций Tele2 «Ростелекому» может быть принято в течение месяца. Он уточнил, что ВТБ полностью выйдет из капитала Tele2, продав свой пакет «Ростелекому». Ранее Костин сообщал ТАСС, что банк ведет переговоры с «Ростелекомом» о полной продаже своей доли в мобильном операторе «Т2 РТК холдинг».

Глава «Ростелекома» Михаил Осеевский, пришедший в госоператор из ВТБ, сразу после своего назначения президентом компании весной 2017 г. заявлял о возможности получения контроля над Tele2. Впоследствии он не раз говорил, что этот вопрос ушел с повестки дня, однако затем эта идея вновь вернулась.

30 минут на все номера России (и дома, и в поездках по России), после 1,95 рубля за минуту,
100 СМС на все номера России, далее 1,95 рубля за сообщение,
300 мегабайт, далее безлимит на 64 Кбит/с,
100 рублей в месяц.

Источник: http://4pda.ru/forum/index.php?showtopic=956024&st=1380

Как добиться полного удаления конфиденциальных данных оператором сотовой связи?

В связи с криминальной деятельностью одного из ОПСОС’ов по отношению к клиентам решил сменить оператора сотовой связи. При этом я хочу полностью расторгнуть договор со старым оператором и запретить ему далее обрабатывать мои персональные данные. Можно ли как-то это сделать без участия прокуратуры? При обращении к «специалистам» в офисе оператора, те отказывались принимать заявление на удаление персональных данных, ссылаясь на фрагментацию базы абонентов.

• Вопрос задан более трёх лет назад
• 1948 просмотров

1.Открывайте Word и пишите письмо оператору, мол я требую прекратить дальнейшую обработку моих персональных данных.
2.Находите в сети адрес центрального офиса Вашего оператора в том субъекте федерации, где Вы с ним заключали договор
3.Идете на почту, заполняйте опись вложения, уведомление о вручении и данные на конверте. ВАЖНО! Письмо отправить именно с описью и уведомлением.
4.Почтовую квитанцию, опись и уведомление о вручении обязательно сохранить.

Если после этого всех описанных выше действий Вы получайте от оператора какую-то информацию, которая позволяет Вам полагать, что он обработку Ваших персональных данных не прекратил, тогда пишите жалобу в РосКомНадзор. Именно это ведомство занимается вопросами персональных данных в нашей стране. Они обязаны будут провести разбирательство по Вашему обращению и уведомить Вас о результатах. К обращению в эту структуру, разумеется, прикладывайте копии Вашего уведомления, почтовой квитанции, описи и уведомления о вручении с письма.
Если РосКомНадзор на Ваше обращение никак не реагирует, только тогда Вам есть смысл обращаться в прокуратуру, которая заставит РосКомНадзор работать.

Источник: http://qna.habr.com/q/257842

Роскомнадзор обещает штрафовать по персданным, если в офисе нет жалюзи на окнах

С 1 июля в очередной раз ужесточили ответственность за обработку персональных данных. Теперь действует новая редакция статьи 13.11 КоАП РФ. Список нарушений стал более детализированным, а размеры штрафов значительно выросли — до 75 тыс. руб.

Мы уже пытались разобраться, как с учетом изменений обрабатывать данные. Мнения юристов разделились.

Поэтому нужны разъяснения Роскомнадзора. Для нас их получила юрист Любовь Иванова. Она побывала на Дне открытых дверей в ведомстве.

Одиннадцать лет назад 27 июля в России появился новый закон — Федеральный закон №152-ФЗ «О персональных данных». Традиционно в эту дату Роскомнадзор и его территориальные органы проводят День открытых дверей. Лично для меня результат посещения Управления Роскомнадзора по ЦФО (Центральный федеральный округ) – это получение полезной информации. Делюсь.

Политика конфиденциальности на сайте

Что нужно отразить в этом документе?

Во-первых, в Политике (его можно назвать и соглашением, например) вы декларируете правила обращения с персональными данными, которые оказались в вашем распоряжении. Во-вторых, демонстрируете свое согласие с принципами обработки и уважительное отношение к персданным третьих лиц.

«Политика – обязанность оператора, когда посредством интернет-ресурсов осуществляется сбор информации», — констатировала Коротова Ольга Александровна — Заместитель руководителя Управления Роскомнадзора по ЦФО.

Штрафы за отсутствие Политики по персональным данным на сайте

Чиновники считают, что опубликование Политики по персданным на сайте – это не только требование законодательства, это норма добросовестного поведения в цифровой среде.

В Роскомнадзоре подчеркнули: отсутствие Политики грозит штрафом до 30 тыс.руб. для юрлиц.

Персональные данные – это ВСЕ

В 99,9% случаев основной целью для предпринимателей являются контакты с клиентами и потенциальными клиентами. Любые контактные данные рано или поздно приводят к идентификации лица, с которым вы общаетесь.

Коротова Ольга Александровна озвучила эту мысль другими словами: «Любая информация, относящаяся к субъекту персональных данных, является персональными данными» и «факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных».

Уведомление об обработке персональных данных в Роскомнадзор

Напомню, что статья предусматривает случаи, когда оператор вправе осуществлять обработку персональных данных БЕЗ уведомления Роскомнадзора.

Очевидно, что разница в подходах при толковании указанной нормы предпринимателем и контролирующим органом при проверке приведет к решению не в пользу предпринимателя.

Роскомнадзор прокомментировал на встрече типичные случаи, которые НЕ подпадают под исключения, предусмотренные ст. 22:

1) обработка данных соискателей на должность;

2) уступка права требования;

3) наличие сайта, на котором размещены данные сотрудников;

4) наличие сайта, посредством которого осуществляется обработка данных посетителей сайта.

Примерьте этот далеко не полный перечень к своему бизнесу. Какой напрашивается вывод?

Правильно, проще не рисковать попасть под штраф и направить в Роскомнадзор уведомление. Тем более, что этот документ в числе первых Роскомнадзор запросит при проверке. А вам придется обосновывать его отсутствие.

Роскомнадзор подчеркивает, что уведомление оператором об обработке персданных — это «открытость оператора и лояльность к персональным данным тех лиц, которых вы обслуживаете».

Вывод: излишняя бдительность и подача уведомления в Роскомнадзор, когда это не требуется, не рассматривается как нарушение.

Безопасность персональных данных: все в рамках разумного

Прямой ответ от Роскомнадзора на свой вопрос я, правда, не получила. Общая рекомендация в том, чтобы опираться на практику (использовать по аналогии документы), внедренную различными отраслевыми ведомствами.

Вывод для меня как для юриста не очень утешительный: нет методик в законодательстве – разбирайтесь в документах, которые создали другие люди для других целей.

По крайней мере, представители Управления дали понять участникам Дня открытых дверей, что Роскомнадзор при проверках интересует не столько анализ качества применяемых оператором мер безопасности, сколько сам факт принятия каких-либо мер по защите персональных данных в процессе их обработки.

На что обратят внимание при проверке

• не назначен ответственный за организацию обработки ПДн;
• работники не прошли инструктаж по работе с ПДн;
• шкаф с документами, содержащими ПДн, должен запираться;
• а в офисе на первом этаже, где происходит обработка ПДн, на окнах должны быть жалюзи.

Но в целом, как заверил регулятор, «все в рамках разумного».

Источник: http://www.klerk.ru/law/articles/465018/

Что вам нужно знать о проверках, если вы работаете с персональными данными

Сегодня международный день защиты персональных данных. Роскомнадзор проводит публичный семинар для операторов персональных данных по итогам контрольно-надзорной деятельности ведомства за 2019 год.

Прямой эфир найдете по ссылке.

В зале присутствует Максим Лагутин, основатель и эксперт по защите персональных данных в Б-152. Вот некоторая информация о проверках на соблюдение privacy.

Плановых проверок стало меньше, а нарушений по обработке персональных данных больше.

Штрафы выросли на 38% по сравнению 2018 годом.

Количество жалоб от физических лиц выросло на 22,4% до 50 тыс. Люди стали больше стараться пользоваться своими правами, охраняющими персональные данные.

Вот на что люди жалуются в Роскомнадзор чаще всего: размещение списков должников в подъездах, отправка платежек без конвертов, перевод пенсионных накоплений в НПФ с использованием персданных, передача персональных данных от банков коллекторам, отсутствие политики конфиденциальности в соцсетях и сайтах и т.д.

Приводятся также примеры нарушений по статьям КоАП РФ.

Источник: http://www.klerk.ru/buh/news/495049/

Отсутствие у оператора ваших персональных данных

1. Как быстро поступает оплата?

Платежи зачисляются круглосуточно, в режиме реального времени. Исключением являются «Погашение кредитов»: средства зачисляются в течение 5-ти рабочих дней. Информацию по сроку зачисления можно увидеть на форме оплаты выбранного банка.

2. Мне пришло сообщение, что сервис недоступен. Что делать?

3. Есть ли комиссия при платежах?

Размер комиссии зависит от категории оплачиваемой услуги или товара и отображается в момент оформления на сайте либо указывается в SMS.

4. Как быстро перевести деньги с Tele2 на мобильный телефон?

Наиболее быстрый и удобный способ – набрать команду *159#. Отобразится список популярных категорий, в нем нужно выбрать оператора, ввести номер телефона и сумму платежа. Мобильный портал *159# доступен всем абонентам Tele2 (кроме бизнес-клиентов), не требует доступа в Интернет и запоминания кодов поставщиков услуг.

5. Как узнать сумму, которую я могу использовать для платежей с мобильного счета Tele2?

Наберите в телефоне команду *104# и нажмите «Вызов». Если вы подключены как физическое лицо, отобразится доступная сумма для оплаты со счета Tele2. При помощи команды *104*2# и клавиша «Вызов» можно узнать сумму денежных средств, которые можно перевести в оставшиеся сутки/месяц.

6. Почему сумма доступных средств для мобильных платежей на *104#

отличается от остатка денежных средств на *105#

По запросу на *104#

отображаются только те средства, которые были внесены вами в виде кассовых начислений за минусом неснижаемого остатка, который должен быть на счете после совершения платежа. Неснижаемый остаток для абонентов с момента активации которых прошло более 60 дней – 10 рублей, для остальных абонентов – 100 рублей (200 – для абонентов Москвы и Московской области)

При оценке доступных для мобильных платежей средств не учитываются:

• обещанный платеж;
• кредитные и бонусные начисления;
• компенсации и скидки на услуги связи;
• средства, начисленные по рекламным акциям;
• скидки на первоначальный объем услуг, предоставленных при заключении договора (покупке комплекта).

7. Каким образом я могу закрыть возможность списания денежных средств с мобильного счета?

8. Как подключить услугу «Tele2 кошелек»?

Услуга «Tele2 кошелек» не требует дополнительного подключения. Услуга доступна абонентам физическим лицам всех регионов Tele2 через 60 дней после активации SIM-карты и не представляется на корпоративных тарифах. Абонентам, перешедшим из «Ростелеком» сервисы мобильной коммерции временно недоступны.

9. Есть ли ограничения по сумме платежа и количеству платежей?

Ограничения есть, они зависят от категории платежа и конкретного товара/услуги. Более подробная информация об ограничениях представлена в разделе Ограничения

10. Могу ли я использовать бонусные средства на счете Tele2 для оплаты с мобильного счета?

11. Где можно пополнить счет Tele2 без комиссии?

12. Я переводил деньги на номер другой компании, но они не поступили.

В этом случае вам нужно обратиться в службу клиентской поддержки МОБИ.Деньги по бесплатному номеру 8-800-555-3115 .

13. Я оплатил кредит, но деньги не поступили на счет.

Сумма может поступить на счет в течение 5 рабочих дней. В случае, если срок истек, а сумма не поступила обратитесь в службу клиентской поддержки МОБИ.Деньги по бесплатному номеру 8-800-555-3115 .

14. Я подключен к корпоративному тарифу. Могу ли я платить с мобильного счета за Интернет и другие услуги?

К сожалению, оплата товаров и услуг с мобильного счета доступна только физическим лицам и недоступна на корпоративных тарифных планах (на корпоративных программах).

15. Я не нашел в разделе Интернет и ТВ своего провайдера. Можно ли его добавить на сайт?

Вы можете отправить пожелание через форму обратной связи.

16. Можно ли при помощи «Тele2 кошелек» пополнять счет Тele2 другого региона?

17. В каком формате указывать номер телефона, чтобы перевести деньги на сотового оператора СНГ?

Для платежей в пользу мобильных операторов СНГ номер телефона необходимо указывать в формате [код страны][номер телефона]. Набор цифр 810 добавлять не нужно. При оплате услуг операторов мобильной связи России номер телефона указывается в формате 10 цифр (без +7 и 8).

18. Могу ли я после перечисления средств на счет проездного билета «Подорожник» сразу пройти через турникет метро?

В настоящее время технологическая оснащенность турникетов метрополитена не позволяет сразу зачислять средства на счета «Подорожника» при использовании безналичных источников денег, к которым относится и мобильный счет Tele2. Активировать поступившие на карту «Подорожник» средства можно при помощи визуализаторов и автоматов по продаже проездных билетов, установленных в вестибюлях станций метро или в кассах метрополитена в любое время после совершения платежа.

19. Оплаченная услуга не предоставлена. Что делать?

Если платеж прошел успешно, а услуга вам не предоставлена в полном объеме, обратитесь в службу поддержки магазина, товар или услугу которого вы приобрели. Также по этому вопросу вы можете обратиться по телефону 8-800-555-3115 (круглосуточно, звонок бесплатный) или в письменной форме в службу клиентской поддержки MOBI.Деньги.

20. При платеже был неверно указан номер счета (или телефона) получателя. Возможно ли этот платеж перевести на правильный номер?

Если Вы неверное указали номер счета (или телефона) получателя, просим вас оперативно обратиться в службу клиентской поддержки MOBI.Деньги по телефону 8-800-555-3115 , где вам подскажут точные рекомендации для Вашего случая.

21. Получено SMS: Платеж отменен по техническим причинам. Что делать?

Попытайтесь оплатить товар/услугу еще раз. Если ошибка повторяется, обратитесь в службу клиентской поддержки MOBI.Деньги по телефону 8-800-555-3115 (круглосуточно, звонок бесплатный).

22. Получено SMS: Операция отменена из-за отсутствия у оператора Ваших актуальных персональных данных. Обратитесь в ближайший центр обслуживания Tele2 с паспортом.

Денежные переводы доступны абонентам, актуальные персональные данные которых имеются у оператора. Для получения доступа к мобильной коммерции, обратитесь в ближайший центр обслуживания Tele2 с паспортом.

Источник: http://www.mobi-money.ru/page/tele2new/help/shop/helpfaq

5 мифов о персональных данных

Пару месяцев назад поднялся хайп по поводу изменения законодательства о персональных данных. Находчивые юристы стали наперебой убеждать, что любая форма обратной связи или виджет заказа обратного звонка на сайте свидетельствует об обработке персональных данных пользователей, Роскомнадзор уже штрафует за нарушения и нужно срочно вставать на учет.

Вся эта шумиха основана на мифах о персональных данных. Давайте разберемся, что произошло на самом деле, чем это грозит и как этого избежать.

Правила обработки персональных данных не изменились. В июле 2017 года вступили в силу поправки в КоАП РФ, ужесточающие ответственность за нарушение законодательства о персональных данных. Введены новые составы правонарушений и суммы штрафов повышены до 75 000 рублей. Это правда.

Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц. Максимальный штраф в 75 тыс. руб. установлен для юридических лиц по одному их 7 составов. В остальных случаях максимальный штраф колеблется от 30 до 50 тыс. руб.

Из неприятного – штрафы по различным составам частично могут складываться. Среди возможных нарушений в частности перечислены:

• обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора персональных данных;
• обработка персональных данных при отсутствии письменного согласия субъекта;
• неисполнение обязанности по опубликованию политики по обработке персональных данных.

Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о персональных данных. Чтоб оценить риски привлечения к ответственности рассмотрим 5 наиболее популярных мифов о персональных данных, блуждающих в умах интернет-сообщества.

1. Персональные данные — это любые сведения о физическом лице

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).

Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.

Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

Если у вас остались сомнения в такой трактовке нормы, можно ознакомиться с первоисточником на сайте Роскомнадзора. Дословно норма Конвенции о защите физических лиц при автоматизированной обработке персональных данных звучит так:

«Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (»субъекта данных»)» (ст.2 Конвенции).

«Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».

Если форма обратной связи не предполагает предоставление помимо номера телефона или электронного адреса дополнительных сведений, идентифицирующих пользователя, такая информация не относится к персональных данным. Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными, т.к. имя не идентифицирует гражданина.

«Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая (ч.1 ст.19 ГК РФ)».

Поэтому с точки зрения гражданского законодательства просто имени не достаточно для возникновения юридических последствий. Как минимум, необходимы еще отчество и фамилия.

Аналогичным образом не относятся к ПДн сведения об IP, cookie, и прочие данные, собираемые в автоматическом режиме в связи с активностью на сайте или в приложении пользователя, не прошедшего полную идентификацию.

2. Оператор по обработке персональных – это лицо, осуществляющее их обработку

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).

Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.

На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.

Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.

Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.

3. Все сайты должны опубликовать Политику конфиденциальности

«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).

Однако не забывайте о возможных исключениях из данного правила.

Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).

Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).

4. На обработку персональных данных требуется письменное согласие

1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)

2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:

• в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
• к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).

Таким образом в случае принятия пользовательского соглашения достаточно уведомить пользователя об обработке его персональных данных.

3. Согласие может быть дано оператору в иной форме

«Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (ч.1 ст.9).

Другими словами, если федеральный закон не требует получения согласия строго в письменной форме, оно может быть дано любым иным способом, в том числе путем совершения запрашиваемых действий. Например, такими действиями могут признаваться направление проверочного кода, указанного в СМС, переход по ссылке, направленной на электронную почту пользователя при регистрации в аккаунте и т.п.

4. Согласие в письменной форме может быть подписано электронной подписью

«Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе» (ч.4 ст.9)

Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»).

5. Каждый оператор ПДн должен быть включен в реестр Роскомнадзора

«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (ч.1 ст.22).

Однако при этом забывают, что в той же статье закона предусмотрены исключения из данного правила. К рассматриваемой ситуации обработки ПДн частным интернет-сервисом относятся минимум два основания освобождения от обязанности подачи уведомления.

В частности оператор вправе осуществлять без уведомления Роскомнадзора обработку следующих персональных данных:

«полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22)
«сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22)

1) В первом случае для обработки ПДн без уведомления Роскомнадзора достаточно предложить пользователю принять пользовательское соглашение, которое по сути является договором. Для получения сообщений на номер телефона и адрес электронной почты в любом случае необходимо получать согласие пользователя, поэтому принятие пользовательского соглашение решает две задачи одновременно: с одной стороны вы легально используете данные без уведомления Роскомнадзора, с другой – получаете согласие на обращение к пользователю по указанным номерам и адресам, включая при необходимости рекламную рассылку.

2) Второе исключение из правил касается общедоступных данных. Это основание может пригодиться социальной сети, доске объявлений или сайту поиска работы, где пользователи самостоятельно делают доступной информацию о себе. В таком случае нет необходимости не только уведомлять Роскомнадзор об обработки данной категории ПДн, но и получать дополнительное согласие пользователя на их обработку.

3) Помимо этого вспомните, что не все лица, осуществляющие обработку ПДн считаются операторами. Некоторые из них действуют по поручению оператора (см. миф 2 выше). Поэтому им не нужно направлять уведомление в Роскомнадзор об обработке ПДн, предоставленных оператором.

4) Отдельного упоминания заслуживает регомендация встать на учет «как бы чего не вышло». Это во всех отношениях вредный совет, т.к. Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр. И тогда вам простая политика конфиденциальности не поможет: спросят все внутренние регламенты по информационной безопасности и проверят фактическое выполнение!

Обращайте внимание на детали – в них кроется юрист дьявол.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Источник: http://habr.com/post/337354/

Как работодателю не налететь на штраф из-за защиты персональных данных

Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.

Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.

Трудовой кодекс РФ (далее — ТК РФ) устанавливает особенности защиты, а также хранения, использования и передачи персональных данных работника в Главе 14 «Защита персональных данных работника». Правила работы с персональными данными содержатся в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.

Можно привести примерный перечень персональных данных работника:

• фамилия, имя, отчество;
• дата рождения;
• адрес места регистрации/места жительства;
• сведения, содержащиеся в документах, предоставляемых при трудоустройстве: паспорте, трудовой книжке, документе об образовании, свидетельстве о государственном пенсионном страховании;
• сведения о трудовом (страховом) стаже;
• сведения о привлечении работника к материальной ответственности;
• сведения о состоянии здоровья и результатах медицинского обследования работника;
• любые иные сведения, позволяющие определить работника.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными.

Источник получения персональных данных

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Работа с персональными данными

Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора. Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется. Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях.

• в Фонд социального страхования РФ, Пенсионный фонд РФ;
• в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
• когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
• наличия у работодателя доверенности на представление интересов работника;
• когда соответствующая форма и система оплаты труда прописана в коллективном договоре

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника. Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу). По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников. Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации. Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Частью 2 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

Источник: http://www.klerk.ru/buh/articles/483924/

Руководство по заполнению уведомления оператора персональных данных

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.

Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.

С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.

Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.

В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.

Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Приведем один пример, как делать не нужно.

Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.

Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.

Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».

Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]».

Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации).
В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».

В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]».

В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.

В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.

Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.

И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.

Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД…

Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Источник: http://habr.com/post/454690/