Порядок и условия обработки персональных данных



Порядок и условия обработки персональных данных

Обработка персональных данных


субъекта;

  • место регистрации или проживания;
  • налоговый идентификатор;
  • e-mail;
  • номер мобильного, стационарного телефона;
  • дата рождения, в том числе место;
  • фотокарточка;
  • ссылка на личный портал или аккаунт в социальных сетях;
  • указано образование, трудовая деятельность;
  • финансовый и семейный статус;
  • геоположение, IP, cookies.
  • В категорию личных сведений может входить и другая информация, т. к. не вводит ограничений в этот список.

    Субъектом ИСПД выступает физлицо, личность которого возможно определить прямым или косвенным способом за счет полученной информации. Таким образом, каждый пользователь попадает под действие закона, если владелец web-портала собирает сведения.В связи с этим нормативный акт определяет права субъектов персональной информации:

    • Получать информирование о переработке его ИСПД. В частности:
    1. название и расположение оператора;
    2. факт обработки;
    3. цель;
    4. законные основания;
    5. предполагаемая передача;
    6. способ переработки;
    7. если от лица оператора выступает третий участник, то указывается Ф.

      И. О. и адрес проживания.

    8. источники;
    9. период хранения и действия процедуры;
    • Получать отчет в доступном формате по запросу.
    • Пользователь сайта вправе потребовать уточнить состав ИСПДН, а также подвергать блокировке и удалять, если они неполные, утратили актуальность, либо получены незаконным путем.
    • Направлять повторный запрос.

    За оператором остается право отказывать субъекту в исполнении повторного запроса, если он не соответствует частей № 4, 5 настоящего Федерального закона.

    Под ПДН понимаются любые операции или комплекс мер, совершаемых с применением систем автоматизации или без использования подобных средств.

    Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных

    Статья 4.

    Законодательство Российской Федерации в области персональных данных 1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов. 2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных.

    Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных. Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

    3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона. 4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

    4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора. Глава 2. Принципы и условия обработки персональных данных Статья 5. Принципы обработки персональных данных 1.

    Обработка персональных данных должна осуществляться на основе принципов: 1) законности целей и способов обработки персональных данных и добросовестности; 2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; 3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных

    Персональные данные: ответы на популярные вопросы

    Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

    Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД. Примеры:

    1. госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
    2. работодатель, обрабатывающий ПД своих работников;
    3. продавец, обрабатывающий ПД клиентов-граждан;
    4. владельцы сайтов, собирающие ПД пользователей сайта.

    Главное условие – наличие вашего согласия.

    При этом в ст. 6 Закона о персональных данных предусмотрены случаи, когда оператор может обрабатывать ПД при отсутствии согласия:

    1. в связи с вашим участием в суде; например, при подаче документов в суд вы должны указать свои Ф.И.О. и адрес;
    2. в целях, предусмотренных законами РФ, когда на оператора возложены определенные обязанности; например, работодатель обязан передать ПД в налоговые органы;
    3. для исполнения судебного акт; например, суд по результатам рассмотрения дела выдает исполнительный документ, в котором указываются Ф.И.О., адрес, ИНН и иные данные должника;
    4. для исполнения договора, в котором вы являетесь стороной, выгодоприобретателем (например, в вашу пользу застраховано имущество) или поручителем.
    5. в целях, предусмотренных международным договором России, например договором, позволяющим выдавать преступников другой стране (экстрадиция);
    6. в целях получения госуслуг – в таких случаях мы всегда подписываем согласие на обработку ПД. В недавнем определении Верховный Суд РФ подтвердил, что отказ лица от подписания согласия не может являться основанием для отказа в предоставлении услуги органом власти1;

    Политика обработки персональных данных: как составить документ

    К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

    Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152 Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные.

    Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

    Что указывается в этом разделе:

    1. сроки обработки персональных данных.
    2. перечень действий, совершаемых с персональными данными;
    3. способы обработки персональных данных;

    Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

    1. указать наименование и местонахождение третьих лиц;
    2. перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
    3. пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
    4. обозначить цели передачи данных и их объем;

    Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

    В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19). Кроме того, оператору нужно указать условие прекращения обработки персональных данных.

    Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

    Положение о персональных данных и политика об обработке персональных данных

    Подборка наиболее важных документов по запросу (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

    Открыть документ в вашей системе КонсультантПлюс:Внимание! Не стоит путать Положение о работе с персональными данными с Политикой обработки персональных данных, определяющей цели и общие принципы обработки, а также методы защиты всех (а не только полученных от работников) персональных данных. О том, как составить Политику обработки персональных данных, мы рассказали в статье «Как составить Политику обработки персональных данных» (см.
    О том, как составить Политику обработки персональных данных, мы рассказали в статье

    «Как составить Политику обработки персональных данных»

    (см.

    ГК, 2021, N 22, с. 79). Открыть документ в вашей системе КонсультантПлюс:1.1 Настоящая инструкция по работе с материальными носителями персональных данных при осуществлении неавтоматизированной обработки персональных данных в банке (далее — инструкция) является внутренним документом банка (далее — банк), разработанным в соответствии с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 N 687, политикой информационной безопасности банка (далее — политика ИБ), частной политикой обработки персональных данных в банке (далее — политика обработки ПДн), положением об обработке персональных данных в банке (далее — положение об обработке ПДн).

    6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. Открыть документ в вашей системе КонсультантПлюс:1.

    Настоящий Порядок, разработанный в соответствии с законодательством Российской Федерации в области обработки и защиты персональных данных, политикой ОАО «РЖД» по обработке и защите персональных данных, Положением об обработке и защите персональных данных работников ОАО «РЖД» и другими нормативными документами ОАО «РЖД», устанавливает единые корпоративные требования к обработке и обеспечению режима защиты персональных данных работников ОАО «РЖД».

    Персональные данные сотрудника: как с ними работать

    Можно воспользоваться .

    Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем.

    Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте. Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
    Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

    А во-вторых, она должна соответствовать требованиям . Это значит, что:

    1. в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
    2. в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
    3. в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
    4. анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;

    Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле. В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

    Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

    Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

    Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т.

    п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме. По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: Конклюдентное согласие Согласие в письменной форме Иные формы согласия + Легко получить (за исключением случаев, когда нужно согласие в письменной форме) При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме) – Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ Форма согласия должна соответствовать требованиям ч.

    4 ст. 9 Закона № 152-ФЗ Для каждой цели нужно получать отдельное согласие, т.к.

    в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям.

    Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме). Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать ), либо запросить у него согласие на обработку персональных данных.

    Способ уведомления при этом определяется организацией-оператором обработки данных.

    Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

    Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.11.

    Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

    Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в настоящей статьи.14.
    Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в настоящей статьи.14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд.

    Данное лицо обязано прекратить передачу

    Статья 6. Условия обработки персональных данных

    обработка персональных данных необходима для осуществления профессиональной журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в настоящего Федерального закона, при условии обязательного обезличивания персональных данных;9.1) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных», в порядке и на условиях, которые предусмотрены указанным Федеральным ;(п. 9.1 введен Федеральным от 24.04.2020 N 123-ФЗ)10) утратил силу с 1 марта 2021 года.

    — Федеральный от 30.12.2020 N 519-ФЗ;(см. текст в предыдущей редакции)11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.1.1. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным от 27 мая 1996 года N 57-ФЗ «О государственной охране».(часть 1.1 введена Федеральным от 01.07.2017 N 148-ФЗ)2.

    Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно и настоящего Федерального закона.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных,

    Статья 6.

    Условия обработки персональных данных

    обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных», в порядке и на условиях, которые предусмотрены указанным Федеральным законом; 10) утратил силу с 1 марта 2021 г. — от 30 декабря 2020 г. N 519-ФЗ 11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. от 1 июля 2017 г. N 148-ФЗ статья 6 настоящего Федерального закона дополнена частью 1.1 1.1.

    Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных от 27 мая 1996 года N 57-ФЗ «О государственной охране». 2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно и настоящего Федерального закона. 3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).

    Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

    В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со настоящего Федерального закона. 4.

    Как ужесточились требования к работе с персональными данными в 2021 году

    0 Ответить П Павел , добрый день!

    У нас на сайте отсутствует личный кабинет и в принципе какой-либо сбор данных. В этом собственно и вопрос: как запрашивать у него эти данные?

    80% наших клиентов оплачивает услуги через мобильный банк (именно совершает оплату по QR на квитанции). Банк в реестре ПД не передаёт, только лицевой счёт и сумму оплаты.

    0 Ответить Яна Аржанова, главный редактор , добрый день! Вы можете описать подробнее схему взаимодействия с клиентами? Как они заказывают у вас товар?

    Как вы передаете им квитанции с QR-кодом? 0 Ответить П Павел , спасибо за обратную связь.

    Мы оказываем услуги по ежемесячному техническому обслуживанию оборудования физических лиц.

    Практически в 100% случаев договора на обслуживание заключались ещё до вступления в силу 54-ФЗ, поэтому в договоре такие поля как номер мобильного телефона и адрес электронной почты были необязательными к заполнению. Квитанции передаём через почтовые ящики.

    Далее, как я уже описывал, клиенты оплачивают удобным им способом. 0 Ответить Яна Аржанова, главный редактор , поскольку в данном случае вопрос об обработке персональных данных связан с выдачей чеков, то пришлось привлечь эксперта Контура по ККТ Оксану Кобзеву. Давайте по порядку, чтобы было понятно.

    Обработка ПД возможна с согласия субъекта ПД. Но, согласно , обработка ПД, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта ПД.Согласие на обработку данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий на обработку данных, разрешенных субъектом для распространения ( ).Если клиент предоставил продавцу (пользователю ККТ) до момента расчета номер телефона или адрес электронной почты, продавец обязан отправить ему чек или БСО в электронной форме на один из указанных контактов, но при наличии технической возможности для этого.

    5 шагов по организации учета и хранения персональных данных

    Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных.

    Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно.

    То же самое правило действует в отношении соискателей. В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных).

    Например, письменное согласие работника на обработку его персональных данных требуется: 1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ). В уведомлении необходимо указать (п.

    3 ст. 86 ТК РФ):

    1. цели получения персональных данных работника у третьего лица;
    2. предполагаемые источники информации (лица, у которых будут запрашиваться данные);
    3. способы получения данных, их характер;
    4. возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

    Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин.

    Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).