Перечень документов по защите персональных данных в организации 2022

Образец приказа об обработке персональных данных работников

специалист по трудовым отношениям, экономист 18 марта 2022 Приказ об утверждении положения о защите персональных данных — обязательный документ для всех компаний и индивидуальных предпринимателей, которые собирают и каким-то образом используют в своей деятельности личную информацию граждан. Среди таких организаций и работодатели. Поэтому они обязаны предпринять меры для защиты сведений о своих сотрудниках.

Предлагаем изучить и скачать положение о защите персональных данных работников 2022, тем самым избежав наказания со стороны проверяющих органов. Содержание Мировая тенденция развития законодательства в области защиты персональных данных демонстрирует ужесточение норм, регламентирующих наказание за незаконное использование личной информации.

Российское право в этом вопросе не стоит особняком и также стремится к усилению контроля над утечкой данных. При организации защиты конфиденциальных сведений на предприятии необходимо опираться на и . Они помогут разобраться, как выглядит корректный образец приказа о положении о защите персональных данных.

Прежде чем разбирать образец приказа об утверждении политики обработки персональных данных, стоит разобраться, какая информация относится к ним. По закону, это такие сведения:

  1. расовая и национальная принадлежность;
  2. Ф.И.О.;
  3. биометрические данные;
  4. адрес проживания;
  5. политические взгляды;
  6. профессия;
  7. состояние здоровья.
  8. вероисповедание;
  9. образование;
  10. возраст (год рождения);
  11. семейное положение;

Материалы по теме Этот список далеко не полный, в него могут быть включены многие другие типы информации о человеке. Однако все их нельзя разглашать и обрабатывать без разрешения того, к кому они относятся.

Об этом говорит закон № 152-ФЗ от 27.07.2006. Исключение составляют, например, случаи, когда раскрытие этой информации необходимо для предотвращения угрозы безопасности самого человека или государства. Чтобы не нарушить эти правила, на предприятиях должна быть разработана локальная нормативная база.

И все эти нюансы содержит образец приказа о допуске к персональным данным работников. На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя.

Назначенный сотрудник должен подготовить определенный пакет документов, среди которых:

  1. образец приказа о хранении персональных данных;
  2. положение об обработке и защите конфиденциальной информации. Образец приказа об утверждении положения о персональных данных 2022 детально описан в специальном ;
  3. журнал учета передачи данных.
  4. ;
  5. соглашение о неразглашении;
  6. перечень лиц, имеющих доступ к ним;
  7. политика предприятия в отношении таких сведений;

Перечисленные документы вводятся в действие соответствующим распоряжением руководителя организации. Учтите, что недостаточно утвердить такой приказ. Всех работников надо ознакомить с ним под подпись ().

Пакет названных документов поможет не только соблюсти закон, но и обезопасить организацию от претензий со стороны Роскомнадзора — проверяющего органа в этой сфере.

Права и обязанности контролирующего органа и инспектируемой организации регулируются . А с 23.02.2019 вступило в силу , которое описывает правила проведения проверок за соблюдением законодательства об обработке личных данных.

Контролеры обращают внимание и на наличие документации, и на выполнение предусмотренных в ней мер безопасности.

За разглашение личной информации сотрудников работодателю и его должностным лицам (руководителю, бухгалтеру, секретарю, сотрудникам отдела кадров) может грозить ответственность:

  1. дисциплинарная — на основании пп. «в» п. 6 ч. 1 ;
  2. административная — на основании (штраф до 75 000 рублей);
  3. уголовная — с учетом положений (штраф до 300 000 рублей либо лишение свободы на срок до 3-4 лет).

Работодатель должен помнить, что вся информация о работнике должна быть получена от него самого или из третьих источников, но только с его письменного согласия. Воспользоваться такой возможностью можно, если утрачены какие-либо документы. Нередки случаи, когда сведения о сотруднике меняются, например, при смене фамилии или изменении семейного положения.

Законодательство не устанавливает конкретный срок, в течение которого работник должен уведомить работодателя об изменениях.

Поэтому рекомендуется закрепить сроки в локальном нормативном акте. Уведомить работодателя необходимо посредством соответствующего заявления, подкрепленного документами, удостоверяющими изменения. На некоторых предприятиях на основании заявления издается приказ об изменении информации о сотруднике.

На некоторых предприятиях на основании заявления издается приказ об изменении информации о сотруднике.

Образец этого документа можно скачать ниже.

Но для облегчения процедуры зачастую просто готовится дополнительное соглашение, вносятся изменения в личную карточку, трудовую книжку работника и другие документы при необходимости.

Особое внимание уделяется конфиденциальности информации о пациентах медицинских учреждений.

Прежде всего обязанность хранить молчание о состоянии пациентов лежит на самом враче. Но это не снимает с администрации лечебного учреждения необходимость издать приказ

«Перечень персональных данных пациентов, подлежащих защите»

.

Правовые документы специалист по трудовым отношениям, экономист В 2014 году закончила МАУП по специальности экономика. С 2013 по 2014 год работала секретарем в компании «Недвижимость и инвестиции». С 2015 года — автор PPT. Дорогие читатели, если вы увидели ошибку или опечатку, помогите нам ее исправить!

Для этого выделите ошибку и нажмите одновременно клавиши «Ctrl» и «Enter».

Мы узнаем о неточности и исправим её.

КАДРОВИКУ: СТАТЬИ РУКОВОДИТЕЛЮ: СТАТЬИ Подписывайтесь на наш канал в Telegram Мы расскажем о последних новостях и публикациях. Читайте нас, где угодно. Будьте всегда в курсе главного! Подписывайтесь на наш канал в Яндекс Дзен Узнавайте важные новости вовремя!

Сделано в Санкт-Петербурге © 1997 — 2022 PPT.RU Полное или частичное копирование материалов запрещено, при согласованном копировании ссылка на ресурс обязательна Ваши персональные данные обрабатываются на сайте в целях его функционирования . Если вы не согласны, пожалуйста, покиньте сайт. Ошибка на сайте Сообщение должно быть длинной не менее 10 символов Удаление аватара Вы уверены, что хотите удалить используемое изображение и заменить его аватаром по умолчанию?

Выход Вы уверены, что хотите выйти?

Примерный перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных

Согласно ч.4 ст.22.1 Закона № 152-ФЗ, лицо, ответственное за организацию обработки персональных данных, в частности, обязано организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

  1. Документ о классификации информационных систем;
  2. Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.

В соответствии со ст.ст. 86-88 Трудового кодекса РФ от 30 декабря 2001 года № 197-ФЗ работодатель обязан иметь документ, устанавливающий порядок обработки персональных данных работников, с которым работники и их представители должны быть ознакомлены под роспись.

Действие Закона № 152-ФЗ распространят свое действие как на случаи обработки персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и, в большинстве случаев, без использования таких средств. Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.2008 г.

№ 687 (далее – Положение № 687), урегулированы вопросы обработки персональных данных (использование, уточнение, распространение, уничтожение) без использования средств автоматизации.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Оператором персональных данных при обработке персональных данных, осуществляемой без использования средств автоматизации, должны быть оформлены также следующие документы. • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации. Согласно п.6 Положения № 687, лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

• Типовые формы документов. Согласно п. 7 Положения № 687, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться определенные условия: — типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; — типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных; — типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; — типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. • Документ, устанавливающий требования к ведению журналов (реестров, книг…), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор.

Согласно п.8 Положения № 687, при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия: — необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных; — копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается; — персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор. • Документ, устанавливающий требования к хранению материальных носителей, содержащих персональные данные Согласно п.15 Положения № 687, при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Перечень документов по защите персональных данных

По российскому федеральному законодательству, проверять эффективность и функциональность мероприятий по защите персональных данных (ПД) должны:

  1. Федеральная служба по техническому и экспертному контролю, ФСТЭК.
  2. Правительство.
  3. Роскомнадзор.
  4. ФСБ.

Эти контролирующие органы всегда требуют предоставлять отчетную документацию о защите ПД.

Любая компания-оператор ПД обязана иметь бумаги, представленные в таблице. Название документа Содержание документа Положение о защите ПД (или Положение о персональных данных сотрудников, при условии неиспользования иной личной информации) Порядок работы с персональной информацией, включая сбор и использование Приказ о допуске к персональным данным Перечень сотрудников, которые могут обрабатывать этот класс информации Инструкция по защите персональных данных Детальное описание мер безопасности Уведомление для Роскомнадзора об обработке ПД Обоснование необходимости и методики сбора персональной информации Приказ, которым назначается лицо, отвечающее за безопасность ПД Перечень компетенций этого сотрудника Список помещений для данных мероприятий Технический список площадей, задействованных в проверке ПД Приказ, утверждающий места хранения ПД Описываются методы архивации и параметры созданных хранилищ персональных данных Описание порядка создания резервных копий баз данных, бэкапа для всех программ, средств защиты информации и баз данных Техническая информация, предназначенная в том числе для ответственных лиц из отдела программирования и системного администрирования, содержащая все способы резервирования и восстановления ценных данных Приказ по уничтожению персональных данных Порядок утилизации уже неактуальной информации Заключение о запуске информационной системы Экспертное заключение о стартовавшей структуре безопасности План проведения проверок внутри предприятия по защите персональных сведений Табличное представление плана периодического проведения контроля оборудования и режима защиты ПД Журнал для учета носителей информации Список накопителей информации, используемой организацией Журнал учета обращений субъектов ПД База данных по физическим лицам, чья личная информация была использована организацией Акт классификации системы Включает категориальное описание персональных данных, прав доступа, список лиц, обрабатывающих информацию, технические данные о структуре сети и электронных устройствах Правила обработки без применения автоматизированных средств Все, что касается документации на традиционных носителях, т. е. всей бумажной корреспонденции Инструкция по антивирусной защите и защите пароля Информация об использовании антивируса, а также мер по защите паролей Журнал тестирования средств информационной защиты Заметки тестировщиков о проводимых проверках Инструкция по внештатным ситуациям Описание действий персонала в условиях угрозы раскрытия конфиденциальности информации Соглашение о неразглашении Описание правового режима по данным, которые не подлежат разглашению, с подписями задействованных лиц Положение о защите персональных данных от несанкционированного доступа Описание полномочий, зоны ответственности, правовых санкций, действующих на оператора персональных данных

Роскомнадзор о персональных данных в 2022

26 ноября 2022 г.

Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон 152-ФЗ в следующем году.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

На семинаре прозвучали доклады: Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.

Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:

  1. в банковской сфере;
  2. в ЖКХ;
  3. в связи;
  4. в интернете;
  5. в торговле.

Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы.

Здесь полная двухчасовая версия: Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления чиновников. Читайте и имейте в виду, что практика в регионах может отличаться. Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2022 году.

GDPR и российские компании GDPR может применяться к российским компаниям в нескольких случаях:

  • Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
  • Российская компания имеет филиалы на территории Европы.
  • Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
  • предусмотрены расчеты в евро.
  • сайт доступен на языках стран ЕС;

Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются. Будет ли приведено российское законодательство к требованиям GDPR По словам Контемирова, это дискуссионный вопрос.

Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем.

Трудовые отношения Как передавать персональные данные сотрудников в рамках групп компаний Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе. Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч.

4 ст. 9 Закона “О персональных данных”). Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.

Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании Да, нужно.

Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).

В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника. Порядок уничтожения персональных данных Порядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.

Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами. Что относится к персональным данным по мнению Роскомнадзора Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2022 года.

Сбор копий документов, содержащих персональные данные Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст.

6 Закона “О персональных данных”. Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч.

4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным. Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.

Являются ли идентификаторы персональными данными Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным.

Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.

Комбинация: фамилия, имя и телефон — персональные данные.Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.

Фотографии и видеозаписи в контексте персональных данных Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных” Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ. Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных.

Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные. Профилирование и оценка личностных качеств Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя.

Профилирование и оценка личностных качеств Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя.

По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности.

Для проведения профилирования необходимо получать согласие на обработку персональных данных. О согласиях на обработку персональных данных Несколько целей в одном согласии Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия.

Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель. Получение согласия на обработку персональных данных при заключении договора Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы. Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.

Согласия на обработку персональных данных соискателя и близких родственников Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие. Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников.

В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников. Например, сообщить о необходимости проверки конфликта интересов. Обработка персональных данных родственников сотрудника имеет ряд особенностей Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует.

Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств.

Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски. Срок согласия на обработку персональных данных По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора. Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные.

Например, неправильно установить срок согласия на 15, 50 или 70 лет. Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

Форма согласия на получение рассылки от иностранного сайта Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ? Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации.

Следовательно, такая форма выдачи согласия допустима. Передача персональных данных третьим лицам Что делать, если персональные данные передаются третьим лицам?

Причем этот список может изменяться. Если для обработки персональных данных необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т.

д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.

Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам. Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных.

Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней. Договоры поручения на обработку персональных данных Является ли провайдер облачных услуг оператором? Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.

Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?

Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.

Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?

Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации.

В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.

Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?

Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам. Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом. Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?

Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных? Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо. Персональные данные представителей компаний в договоре Типичная ситуация: два юридических лица заключили между собой договор.

С одной стороны договор подписал представитель по доверенности.

Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору. Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к.

обработка ПД доверенного лица осуществляется в рамках договора. Ответственное лицо Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?

К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст.

19.5 КоАП РФ. Можно ли назначить нескольких лиц, ответственных за обработку ПД? В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных.

Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.

Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?

Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст.

22 Закона № 152-ФЗ. Заключение Если вы дочитали и не нашли каких-то ответов — это нормально.

Отрасль развивается и даже регулятор не может дать четких рекомендаций.

Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте вашей ситуации.

Контемиров пообещал, что по результатам работы Центров компетенций в 2022 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными.

РКН хочет, чтобы такой портфель был хорошим подспорьем.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

Почитайте пост о Реестре операторов персональных данных.

Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе. Остаюсь с вами на связи. Все вопросы по статье можно написать в чат в Я.Дзене.

ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи. Поделитесь в соцсетях

  1. 1
  2. 2

Метки персональные данные, Роскомнадзор Навигация записи Веселящая реклама закиси азотаПрокуратура продолжает штрафовать за Wi-Fi в общественных местах

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2022 г. N 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»

Анонсы 11 мая 2022 Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ».

Слушателям, успешно освоившим программу выдаются удостоверения установленного образца. 17 мая 2022 Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

22 апреля 2022 Зарегистрировано в Минюсте РФ 21 апреля 2022 г. Регистрационный N 63204 В соответствии с частью 9 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст.

3451; 2022, N 1, ст. 58), абзацем 2 пункта 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст.

1431), приказываю: 1. Утвердить требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

1.1 Настоящий приказ вступает в силу с 1 сентября 2022 г. и действует до 1 сентября 2027 г. 2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.

Руководитель А.Ю. Липов Утверждены приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.07.2022 г. N 18 Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения Согласие должно содержать следующую информацию: 1) фамилия, имя, отчество (при наличии) субъекта персональных данных; 2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных); 3) сведения об операторе-организации — наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных); сведения об операторе — физическом лице — фамилия, имя, отчество (при наличии), место жительства или место пребывания; сведения об операторе-гражданине, являющимся индивидуальным предпринимателем, — фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных); 4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных; 5) цель (цели) обработки персональных данных; 6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных: персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных); специальные категории персональных данных1 (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости); биометрические персональные данные2; 7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов3 (заполняется по желанию субъекта персональных данных); 8) условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных)4; 9) срок действия согласия.

—————————— 1 Статья 10 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». 2 Статья 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». 3 Часть 9 статьи 10.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». 4 Часть 9 статьи 10.1 Федерального закона от 27 июля 2006 г.

4 Часть 9 статьи 10.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Обзор документа С сентября будут действовать требования к содержанию согласия на обработку персональных данных.

Роскомнадзор определил требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Законодательные нормы об установлении таких требований действуют с 1 марта 2022 г. Указываются в т. ч. цели обработки персональных данных, срок действия согласия, сведения об информресурсах оператора, через которые будет предоставляться доступ к данным и выполняться иные действия с ними.

Приказ вступает в силу с 1 сентября 2022 г. и действует до 1 сентября 2027 г. Зарегистрировано в Минюсте РФ 21 апреля 2022 г.

Регистрационный № 63204. © ООО «НПП «ГАРАНТ-СЕРВИС», 2022.

Система ГАРАНТ выпускается с 1990 года.

Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ. Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года. ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д.

1, стр. 77, . 8-800-200-88-88 (бесплатный междугородный звонок) Редакция: +7 (495) 647-62-38 (доб.

3145), Отдел рекламы: +7 (495) 647-62-38 (доб.