Главная-Браузеры-Ведение реестра операторов осуществляющих обработку персональных данных. Обязана ли компания регистрироваться в Реестре операторов персональных данных? Реестр операторов персональных данных

Ведение реестра операторов осуществляющих обработку персональных данных. Обязана ли компания регистрироваться в Реестре операторов персональных данных? Реестр операторов персональных данных

Данный портал создавался, чтобы предоставлять гражданам сведения относительно деятельности Роскомнадзора в разных направлениях. Кроме того, через этот сайт легко получить доступ к любому другому оператору, занимающемуся обработкой данных.

Что это такое

Портал персональных данных Роскомнадзора – инструмент, позволяющий вести тщательный контроль, как обычных граждан, так и индивидуальных предпринимателей, коммерческих организаций . Любая компания, обрабатывающая личные данные, должна сначала зарегистрироваться у Роскомнадзора, и только после этого приступать к соответствующей деятельности.

Для чего нужен


Персональной считается любая информация, которую можно использовать для идентификации конкретного человека . Портал нужен, чтобы пользователям было легче взаимодействовать с операторами, обрабатывающими любые данные, осуществляющими различные действия для этого.

Так же можно сообщать самой контролирующей организации, если выявлены какие-либо нарушения. В этом случае, применяются соответствующие наказания.

Кто может пользоваться

Специализированный портал функционирует в открытом доступе . Так что воспользоваться его возможностями и размещённой информацией могут любые граждане. Достаточно ввести наименование интересующего оператора либо использовать его ИНН. Результатом поиска станут сведения, касающиеся того или иного участника рынка.

Реестр операторов

К персональным сведениям можно относить большое количество явлений, включая :

  1. Адрес электронной почты.
  2. Точное описание текущего места проживания.
  3. Номера мобильных телефонов.
  4. Сведения из удостоверений.
  5. ФИО гражданина.

Персональной может быть признана любая информация, относящаяся к тому или иному конкретному лицу. В некоторых случаях, для идентификации хватает ФИО и номера автомобиля. При других обстоятельствах необходим регистрационный адрес, сведения о водительском удостоверении.

  1. Самостоятельно обрабатывают персональные данные, либо объединяются для этого с другими лицами.
  2. Сами определяют операции с данными, их состав, цели работы.

Оператором будут считать любого, кто пользуется личными данными, отправляет соответствующие запросы. Такие компании работают во всех сферах. Именно данные о них заносятся в реестр. Клиенты могут сами изучать ИНН, разрешительную документацию и так далее.

Видео, на котором рассказывается, как зарегистрироваться в реестре операторов обработки персональных данных Роскомнадзора.

Регистрация на сайте

Регистрация на портале не требуется , вся информация находится в открытом доступе, дополнительных действий осуществлять не нужно. То же касается различных документов, посвящённых защите информации посетителей.

Интерфейс, использование

Здесь нет ничего сложного. Кнопка с поиском по реестру располагается в самой верхней части главной странице портала. В этой строчке вводятся любые данные, известные по той или иной компании. Чуть ниже располагается ссылка с расширенным поиском. То есть, можно вбивать не только наименование, но и ИНН, регистрационный номер при его наличии.

Нормативная регламентация

Регламентирует деятельность Роскомнадзора, связанную с контролем выполнения законодательства по личным данным граждан. Но в самом тексте статьи отсутствует точное наименование органа, наделённого соответствующими полномочиями. Потому в качестве опоры разрешается ещё использовать Постановление Правительства РФ №228 «О реестре лиц, уволенных в связи с утратой доверия» , выпущенное в 2009 году. Именно в этом тексте полномочия закрепляются конкретно за Роскомнадзором.

Согласно законодательству, представители данного учреждения имеют следующие полномочия и права :

  1. Самостоятельное привлечение к административной ответственности при выявлении нарушений, связанных с персональными данными.
  2. Обращение к правоохранительным органам и судебным инстанциям с целью защиты интересов граждан. То же можно делать, если обнаруживаются какие-либо нарушения.
  3. Ограничение доступа к информации при наличии нарушений со стороны оператора. Либо выставление требований с просьбами заблокировать, уничтожить или уточнить те или иные сведения.
  4. Запрос по получению информации, связанной с обработкой персональных данных.

Проведение проверок Роскомнадзором

Для проведения таких мероприятий существует специальный регламент. Он утверждён соответствующим Приказом Министерства связи №312 от 2011 года . Пункт 32 данного регламента посвящён ситуациям, когда должны проводиться плановые проверки по отношению к операторам:

  1. Когда компания только начинает заниматься обработкой персональных данных.
  2. После того, как прошло 3 года после предыдущей проверки. Или с момента начала деятельности.

О предстоящей проверке надо обязательно уведомить организацию, минимум за 3 дня до непосредственной организации мероприятия.

У Роскомнадзора имеется право по проведению и внеплановых проверок . Например, если имеются обращения от граждан и других организаций по вопросам нарушения прав. Или когда появляется угроза жизни, здоровью. В данном случае, уведомление должно поступить за 24 часа до проведения .

По результатам проверки специалисты оформляют соответствующий акт . При наличии нарушений последние подробно описываются в сопроводительном документе. Обязательно указываются лица, ставшие виновными в тех или иных нарушениях. Приводится описание правовых оснований, позволяющих привлечь к ответственности граждан или компании.

Когда требуется согласие на обработку данных

Обработка информации может проводиться только в том случае, если прежний владелец даёт своё согласие либо когда имеются другие законные основания. Каждый отдельный случай рассматривается индивидуально :

  1. В сфере ЖКХ согласия жильцов не требуется, когда управляющие компании привлекают платёжных агентов для расчёта за пользование услугами.
  2. Некоторые ситуации требуют получения разрешения в письменной форме. Особенно это касается специальных категорий персональных данных. К примеру, когда речь идёт о биометрической информации.

Ответственность за нарушения

– основной документ, который до недавнего времени устанавливал наказания за нарушения в данной сфере. Юридические лица могли столкнуться с наложением штрафов в размере 5 000 — 10 000 рублей либо предупреждением, вынесенным компетентными органами.

Для выявления нарушений проводились контрольные мероприятия в виде проверок . По поводу нарушений отправлялись специальные сообщения представителям прокуратуры. В случае одобрения заявления, организовалось судебное делопроизводство.

Но с недавнего времени ситуация изменилась. Теперь законы стали более детально описывать соответствующие процедуры. Изменения касаются следующих направлений :

  1. Увеличения штрафов.
  2. Появления полномочий составлять протоколы и возбуждать дела, не обращаясь в прокуратуру.

О регистрации в качестве оператора


Данное мероприятие не обязательно для следующих категорий населения и участников рынка :

  1. Компании, запрашивающие данные, к примеру, для покупки билетов. Это касается любых перевозчиков, работающих в режиме онлайн.
  2. Те, кто обрабатывает данные без использования компьютерной техники.
  3. Системы, получившие статус государственных автоматизированных инфосистем. Или организации, созданные для защиты общества, порядка.
  4. Любые компании с действующей системой пропусков. Не нужно регистрироваться, если информация гражданина считывается только один раз, для получения пропуска.
  5. Компании и частные лица, пользующиеся сведениями, раскрытыми самими гражданами.
  6. Те, кто используют информацию для достижения целей, описанных в учредительной документации.
  7. Компании из сферы сотовой связи, которым данные нужны исключительно для осуществления услуг.
  8. Руководители предприятий.

Потому многие компании могут не попасть в реестр, располагающийся на официальном сайте Роскомнадзора. Для завершения процедуры регистрации достаточно подать заявление, следуя установленным требованиям. Рекомендуется подавать заявления в электронной форме либо с использованием фирменных бланков.

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

  • работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
  • компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
  • общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
  • организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
  • любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
  • системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
  • граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687 ;
  • организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям сайт доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Закон о персональных данных № 152-ФЗ от 27.07.2006 обязует пройти регистрацию в специальном реестре всех, кто занимается обработкой персональных данных. Что это за реестр, для кого включение в него является обязательным, и как происходит процедура регистрации – об этом наша статья.

Кто является оператором персональных данных

К операторам закон № 152-ФЗ относит госорганы, организации и физлиц, которые собирают персональные данные, а также самостоятельно определяют цели сбора, состав сведений, и совершаемые с ними действия (ст. 3 закона № 152-ФЗ).

Проще говоря, оператор персональных данных, это тот, кто использует личные данные граждан для трудовых и прочих отношений. Их главной задачей является сохранение конфиденциальности полученных персональных данных, т.е. запрет передавать данные третьим лицам и распространять их без согласия самого физлица, если только эти данные не обезличены.

Реестр операторов персональных данных Роскомнадзора

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных - Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ). Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор. В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Уведомление достаточно подать единожды за весь период работы оператора. В то же время, закон содержит перечень исключений, когда работать с личными данными можно без включения в реестр операторов персональных данных (ч. 2 ст. 22 закона № 152-ФЗ):

  • когда операторы-работодатели обрабатывают только данные, полученные в соответствии с трудовым законодательством;
  • если оператор получил данные от контрагента в связи с заключением договора и не использует их в иных целях, кроме исполнения договора;
  • когда оператор персональных данных - религиозная или общественная организация, которая обрабатывает личные данные своих участников для целей, предусмотренных ее уставом;
  • если гражданин сам сделал общедоступными свои персональные данные;
  • если персональные данные не включают ничего, кроме Ф.И.О.;
  • когда данные получают для оформления разового пропуска;
  • при обработке персональных данных государственными автоматизированными инфосистемами;
  • если личные данные обрабатываются «на бумаге», т.е. без применения автоматизации;
  • когда данные используются для обеспечения безопасности транспортных систем.

Все, кто не указан в данном списке, уведомление для включения в реестр операторов персональных данных Роскомнадзора подать обязаны. Многие ИП и организации игнорируют данное требование либо узнают о нем слишком поздно. Но подать уведомление для включения в реестр можно и позже, указав в нем реальную дату начала обработки персональных данных, при этом никаких штрафных санкций за опоздание не последует.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

  • сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
  • правовое основание и цели обработки данных согласно уставу;
  • описание мер и средств защиты личных данных;
  • фактическую дату начала обработки персональных данных оператором;
  • условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
  • категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
  • действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
  • данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

1. Настоящее Положение о ведении реестра операторов, осуществляющих обработку (далее - Положение), разработано в соответствии с Федеральным законом от 27.07.2006 N "О персональных данных" (далее - Закон) (Собрание законодательства Российской Федерации, 31.07.2006, N 31 (1 ч.), ст. 3451), для реализации полномочий по ведению реестра операторов, осуществляющих обработку персональных данных (далее - Оператор), возложенных на Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - Служба) в соответствии с Положением о Службе, утвержденным Постановлением Правительства Российской Федерации от 06.06.2007 года N 354 (Собрание законодательства Российской Федерации, 11.06.2007, N 24, ст. 2923; N 52, ст. 6462).


2. Настоящее Положение устанавливает порядок ведения реестра операторов, осуществляющих обработку персональных данных (далее - Реестр).

3. Понятия, используемые в настоящем Положении:

реестр - перечень, список операторов, осуществляющих обработку персональных данных;

ведение реестра операторов - деятельность Службы, включающая сбор, фиксацию, обработку, хранение и предоставление данных, составляющих систему ведения реестра операторов, осуществляющих обработку персональных данных;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

II. Состав сведений, включаемых в реестр

4. Реестр содержит следующие сведения об Операторах:

а) регистрационный номер;

б) наименование (фамилия, имя, отчество), адрес оператора;

в) адреса филиалов (представительств) оператора, осуществляющих обработку персональных данных (при наличии);

г) дата направления уведомления;

д) цель обработки персональных данных;

з) правовое основание обработки персональных данных;

и) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

к) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

л) дата начала обработки персональных данных;

м) срок или условие прекращения обработки персональных данных;

н) дата и основания включения в реестр операторов;

о) дата и основание исключения из реестра операторов;

п) внесенные изменения.

III. Условия включения операторов в реестр

5. Операторы включаются в Реестр при выполнении следующих условий:

Направление в территориальное управление Службы уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление). Сведения, указанные в Уведомлении, должны соответствовать части 3 статьи 22 Закона;

Регистрация полученного Уведомления в территориальном управлении Службы, его обработка для принятия решения по утверждению или отклонению;

Подписание приказа руководителем Службы или заместителем руководителя о включении Оператора в Реестр.

6. Оригинал направленного Оператором Уведомления с приложением всех поступивших документов должен храниться в соответствующем территориальном управлении Службы.

IV. Порядок включения операторов в реестр

7. Служба по результатам анализа обработанных территориальными управлениями Службы Уведомлений вправе осуществлять проверку достоверности и полноты представленной Операторами информации, содержащейся в Уведомлении, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий. Также Служба вправе запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию, в том числе в случае необходимости уточнения или дополнения недостающих сведений.

8. По результатам проверки сведений, содержащихся в обработанном Уведомлении, Служба в течение тридцати дней с даты поступления Уведомления, принимает решение о включении Оператора в Реестр, которое оформляется в виде приказа руководителя Службы или заместителя руководителя Службы о включении Оператора в Реестр.

9. На основании изданного приказа в Реестр вносится запись об Операторе, которой присваивается регистрационный номер.

10. Датой внесения Оператора в Реестр считается дата подписания приказа.

11. Информация о внесении Оператора в Реестр должна быть опубликована на официальном сайте Службы в сети не позднее трех дней с даты подписания приказа.

V. Порядок ведения Реестра

12. Ведение Реестра осуществляется с применением единой информационной системы (далее - ЕИС) в электронном виде.

13. Ведение Реестра осуществляет Служба, которая при наличии условий, определенных настоящим Положением, включает Операторов в Реестр путем внесения в Реестр соответствующих записей, изменяет сведения, содержащиеся в указанных записях, исключает Операторов из Реестра путем дополнения ранее внесенных записей сведениями об исключении Операторов из Реестра.

14. В случае изменения сведений, содержащихся в Уведомлении после включения Оператора в Реестр, он обязан уведомить об изменениях Службу в течение десяти рабочих дней с даты возникновения таких изменений. Внесение указанных изменений в Реестр производится на основании приказа руководителя Службы или заместителя руководителя и не приводит к изменению регистрационного номера соответствующей записи в Реестре.

15. Сведения, содержащиеся в Реестре, за исключением подпункта "к" пункта 4 настоящего Положения, являются общедоступными.

16. Информация о Реестре публикуется на официальном сайте Службы.

17. Операторы, включенные в Реестр, вправе получить выписку из Реестра по письменному обращению в Службу в срок не позднее тридцати дней.

VI. Порядок исключения операторов из Реестра

18. Вопрос об исключении Оператора из Реестра рассматривается в следующих случаях:

Поступление в Службу или ее территориальные управления письменного заявления (обращения) от Оператора, включенного в Реестр, об исключении с приложением обоснований;

Принятие Службой или ее территориальными управлениями мер по приостановлению или прекращению Оператором обработки персональных данных, осуществляемой с нарушением требований Закона.

19. Операторы исключаются из Реестра при наступлении одного из следующих условий:

Ликвидация Оператора;

Прекращение деятельности Оператора в результате его реорганизации, за исключением реорганизации в форме преобразования;

Аннулирование лицензии на осуществление лицензируемой деятельности Оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

Наступление срока или условия прекращения обработки персональных данных, указанных в Уведомлении;

Решение суда о прекращении оператором деятельности по обработке персональных данных;

Иные, установленные законодательством Российской Федерации в области персональных данных.

20. Решение об исключении Оператора из Реестра оформляется приказом руководителя Службы или заместителя руководителя Службы.

На основании изданного приказа в Реестр вносятся сведения об исключении Оператора из Реестра. После исключения Оператора из Реестра регистрационный номер соответствующей записи в дальнейшем не используется.

21. Информация об исключении Оператора из Реестра должна быть опубликована на официальном сайте Службы в сети Интернет не позднее трех дней с даты подписания приказа.

Как организовать обработку персональных данных сотрудников. Реестр операторов персональных данных Роскомнадзора. Как получить согласие сотрудника на обработку его персональных данных.

Вопрос: Обязано ли МУП зарегистрироваться реестре операторов персональных данных Роскомнадзора,а также разработать комплект документов по защите персональных данных?

Ответ: Да, МУП обязано зарегистрироваться в реестре операторов персональных данных, а также разработать комплект документов по защите персональных данных, если в МУП работают работники и МУП обрабатывает их персональные данные или МУП обрабатывает персональные данные различных физических лиц (клиентов, партнеров).

Обоснование

Как организовать обработку персональных данных сотрудников

Понятие персданных

Какие персональные данные сотрудника вправе получить организация

Общедоступные персданные

Вопрос из практики: какие персональные данные считаются общедоступными

Общедоступная информация - это общеизвестные сведения и иная информация, доступ к которой не ограничен. Такая информация может использоваться любыми лицами по их усмотрению при соблюдении законно установленных ограничений на ее распространение. Об этом говорится в пунктах , статьи 7 Закона от 27 июля 2006 г. № 149-ФЗ.

Общедоступные персональные данные - данные, которые субъект персональных данных сделал таковыми. К общедоступным персональным данным могут относиться сведения, доступные неограниченному кругу лиц (например, данные из открытых справочников, адресных книг и др.).

Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

При обработке таких данных оператору не нужно уведомлять об этом уполномоченный орган по защите прав субъектов персональных данных (п. 4 ч. 2 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

Согласие на обработку персданных

Как получить согласие сотрудника на обработку его персональных данных

По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись сотрудника.

Такие требования установлены в части 4

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме . В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей, а также от лиц, с которыми заключены в организации гражданско-правовые договоры. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Универсальное согласие

Вопрос из практики: можно ли при заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения

Нет, нельзя.

Для передачи данных сотрудника третьим лицам организация обязана получить письменное согласие этого сотрудника. Без письменного согласия сотрудника его персональные данные могут быть переданы третьим лицам тогда, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, и в других случаях, предусмотренных федеральными законами. Такие правила установлены частью 1 статьи 88 Трудового кодекса РФ.

В Трудовом кодексе РФ не содержится требований к содержанию письменного согласия на передачу данных. Однако пунктом 1 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ установлено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Из этого следует, что организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу. Лишь при таких условиях требование о конкретности и сознательности согласия может считаться выполненным. Перечень сведений, которые должны содержаться в письменном согласии на передачу персональных данных, установлен в пункте 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Обработка персданных исполнителей по гпд

Вопрос из практики: нужно ли получать письменное согласие на обработку персональных данных граждан, с которыми заключены гражданско-правовые договоры

Да, в общем случае нужно, в том же порядке, как и со штатными сотрудниками.

Обработка персональных данных возможна только с письменного согласия субъекта персональных данных, за исключением отдельных случаев, когда такая обработка возможна и без их согласия (). При этом субъектами персональных данных могут быть как сотрудники, работающие по трудовому договору, так и граждане, с которыми у организации заключены гражданско-правовые договоры.

Таким образом, организация в общем случае должна получить согласие на обработку персональных данных в том числе и граждан, с которыми заключены гражданско-правовые договоры, чтобы исключить любые споры по поводу несанкционированной передачи данных за пределами действия условий гражданско-правового договора.

Отказ исполнителя давать такое согласие, это не является препятствием для заключения гражданско-правового договора.

Обработка данных без согласия

В каких случаях согласие сотрудника на передачу персональных данных не требуется

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

  • Пенсионный фонд РФ ();
  • налоговые органы ();
  • военные комиссариаты ();
  • иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Кроме того, согласие не требуется в следующих случаях:

  • обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, Законом от 21 ноября 2011 г. № 323-ФЗ , Законом от 9 февраля 2009 г. № 8-ФЗ и рядом иных актов);
  • проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной форме № Т-2 или самостоятельно разработанной форме), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
  • обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
  • обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
  • обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Если же в локальном документе предусмотрены варианты расчетов с сотрудниками или вообще данный момент не прописан, то сотрудники вправе самостоятельно решить, получать им зарплату через кассу или на банковскую карту. И если работодатель решит всем сотрудникам перечислять зарплату на банковские карточки, то у каждого сотрудника следует запросить согласие на обработку персональных данных и их передачу третьей стороне - банку. В такой ситуации сотрудники вправе не давать согласие, а работодатель при отсутствии такого согласия не сможет продолжить обработку данных и передать банку информацию о тех сотрудниках, которые ответили отказом.

Еще по теме: Нужно ли повторно получать согласие сотрудников на обработку персональных данных при смене банка для перечисления зарплаты.

Вопрос из практики: нужно ли повторно получать согласие сотрудников на обработку персональных данных при смене банка для перечисления зарплаты

Нет, не нужно, при условии, что в уже имеющихся согласиях не был указан конкретный банк, в который предоставляли данные. Если же предыдущее согласие было составлено под конкретный банк, то работодателю придется получить новое согласие по общим правилам ().

Кроме того, получать согласие не нужно, если в локальных документах организации предусмотрена выплата зарплаты именно на банковские карты и сотрудник при приеме или в процессе работы был ознакомлен с этими документами (ч. 2 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ). См. подробнее.

Уведомление Роскомнадзора

Как уведомить контролирующее ведомство о начале обработки персональных данных сотрудников

До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;
  • сделанных сотрудниками общедоступными;
  • полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
  • относящихся к членам (участникам) общественного объединения или религиозной организации;
  • включающих в себя только фамилии, имена и отчества сотрудников;
  • необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  • обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.

В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в произвольной форме ().

Вопрос из практики: что следует понимать под обработкой персональных данных сотрудника

Защита персональных данных

Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в (ст. , ТК РФ, ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации.Об этом говорится в части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме .

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях , утвержденных . На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. , Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13-16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119 . Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер , утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21 .

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

Положение о персональных данных

Вопрос из практики: является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников . Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников .

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Вопрос из практики: как защитить персональные сведения, находящиеся в компьютерной базе данных

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8?16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119 .

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119 .

Вопрос из практики: можно ли не работающим в службе персонала сотрудникам предоставить право доступа к персональным данным других сотрудников

Да, можно, если доступ к таким сведениям необходим сотрудникам для выполнения определенных трудовых функций.

Доступ к персональным данным сотрудников могут иметь только специально уполномоченные лица, которым такой доступ необходим для выполнения конкретных функций. Об этом говорится в Трудового кодекса РФ.

Как правило, доступ к персональным данным сотрудников в силу специфики деятельности должны иметь:

  • сотрудники службы персонала;
  • сотрудники бухгалтерии;
  • генеральный директор и при необходимости его заместители;
  • руководители подразделений и непосредственные руководители.

При этом каждой из указанных категорий сотрудников устанавливается свой уровень доступа. Так, например, сотрудникам бухгалтерии может быть предоставлен доступ в части адресных данных сотрудников и их семейного положения, руководителям подразделений - в части персональных сведений исключительно по своим подчиненным.

Уровни доступа тех или иных лиц, а также конкретный порядок передачи персональных данных сотрудников внутри организации должен быть прописан в ее локальных документах, например в Положении о защите персональных данных сотрудников (абз. 5 ст. 88 ТК РФ). Уполномоченные лица должны быть ознакомлены с положениями документа и предупреждены о своих правах и обязанностях, а также об ответственности за использование сведений не по назначению ().

Совет: условия о размещении персональных данных сотрудников на корпоративном сайте пропишите в Положении о работе с персональными данными . При этом к нему составьте приложение , в котором укажите список сотрудников согласных (или несогласных) на размещение персональных данных. Таким образом, требование будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.

В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые Трудового кодекса РФ. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (). Или могут быть уволены с формулировкой «за разглашение персональных данных другого сотрудника на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса РФ».

Вопрос из практики: вправе ли руководитель структурного подразделения требовать от бухгалтерии предоставления ежемесячной информации о начисленной зарплате подчиненных ему сотрудников

Сведения о начисленных сотрудникам суммах относятся к персональным данным (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). Непосредственный руководитель может их запрашивать, если соответствующий допуск установлен в локальном нормативном акте и получено согласие сотрудника на обработку его персональных данных.

Вместе с тем, информацию об окладах и надбавках сотрудников содержит штатное расписание. Штатное расписание является локальным документом организации и к персональным данным не относится. Руководитель структурного подразделения при необходимости может обращаться к данному документу, если это предусмотрено должностной инструкцией руководителя или локальным актом организации. Это позволит ему получить необходимые сведения без обращения в бухгалтерию.

Отказ на обработку данных

Вопрос из практики: как поступить, если человек отказывается давать согласие на обработку его персональных данных

Организация вправе продолжать обрабатывать персональные данные человека без его согласия при наличии определенных оснований. При этом объем такой обработки достаточно велик и позволяет организации осуществлять текущую деятельность без нарушений.

В частности, работодатель может не требовать согласия на обработку персональных данных у соискателей для заключения трудового и гражданско-правового договора, направления персонифицированной отчетности в органы Пенсионного фонда РФ, налоговой отчетности в ФНС России, сведений о военнообязанных в военные комиссариаты, а также для хранения документов с персональными данными, в том числе трудовых и гражданско-правовых договоров, личных карточек, личных дел, и т. д. То есть когда работодатель исполняет возложенные на него законодательством обязанности.

Такие правила установлены в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Для осуществления всех иных действий организации необходимо получать согласие человека на обработку его персональных данных (ч. 4 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Внимание: действующее законодательство не обязывает человека давать согласие на обработку персональных данных, поэтому отказ с его стороны нельзя считать нарушением и основанием для отказа в заключении договора. Штатный сотрудник также не может быть уволен или привлечен к иной дисциплинарной ответственности за отказ от предоставления согласия на обработку персональных данных.

Вопрос из практики: как поступить, если сотрудник отказывается предоставлять персональные данные членов семьи для заполнения кадровых документов

Под обезличиванием персональных данных понимают действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку ().

В случае необходимости обезличивания персональных данных руководители организаций утверждают:

  • правила работы с обезличенными данными;
  • перечень должностей служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.

Такие правила предусмотрены в подпункте «б» пункта 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211 .

Конкретные требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах, установлены в Требованиях и методах , утвержденных приказом Роскомнадзора от 5 сентября 2013 г. № 996 .

Основным требованием к обезличиванию персональных данных является обеспечение не только защиты от несанкционированного использования, но и возможности их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных. К таким свойствам, в частности, относятся:

  • полнота, то есть сохранение всей информации о конкретных людях или группах людей, которая имелась до обезличивания;
  • структурированность, то есть сохранение структурных связей между обезличенными данными конкретного человека или группы людей, которые имелись до обезличивания;
  • применимость, то есть возможность решения задач обработки персональных данных без предварительного обезличивания всего объема записей о людях;
  • анонимность, то есть невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации.

Основными требованиями к методам обезличивания персональных данных являются:

  • обеспечение требуемых свойств обезличенных данных;
  • соответствие предъявляемым требованиям к характеристикам методов;
  • реализация методов в различных программах;
  • решение поставленных задач обработки персональных данных.

К наиболее перспективным и удобным для практического применения относят следующие методы обезличивания:

  • метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблицы соответствия идентификаторов исходным данным;
  • метод изменения состава или семантики, то есть изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений;
  • метод декомпозиции, то есть разбиение массива персональных данных на несколько частей с последующим раздельным хранением;
  • метод перемешивания, то есть перестановка отдельных записей, а также групп записей в массиве персональных данных.

Коммерческие организации в целях безопасности работы с персональными данными работников также вправе, но не обязаны заниматься обезличиванием (п. 3 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). Если организация решит обезличивать персональные данные, то конкретный метод обезличивания нужно закрепить в локальном акте, например в Положении о работе с персональными данными сотрудников (ст. , ТК РФ, ).

Проверки соблюдения требований к обработке персональных данных

Как проводятся проверки соблюдения требований к обработке персональных данных

Проверки работодателя по вопросам обработки им персональных данных проводит Роскомнадзор. Приказом Минкомсвязи России от 14 ноября 2011 г. № 312 утвержден Административный регламент исполнения данной службой функций по осуществлению государственного контроля (надзора).

Предметом контроля деятельности работодателя по обработке персональных данных являются:

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных;
  • информационные системы персональных данных;
  • деятельность по их обработке.

Роскомнадзор осуществляет как плановые, так и внеплановые проверки в форме документарных или выездных ( Закона от 26 декабря 2008 г. № 294-ФЗ). Права и обязанности должностных лиц Роскомнадзора при проведении проверок определен, соответственно, пунктами и Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312 .

Сроки проверки деятельности работодателя по обработке персональных данных при проведении как плановой, так и внеплановой проверки не могут превышать 20 рабочих дней. При этом для субъектов малого предпринимательства общий срок выездных плановых проверок не может превышать в год:

  • 50 часов - для малого предприятия;
  • 15 часов - для микропредприятия.

В исключительных случаях срок проведения выездной плановой проверки может быть продлен, но не более чем на 20 рабочих дней, а для малых и микропредприятий - не более чем на 15 часов. Это возможно, если в ходе осуществления проверки возникнет необходимость в проведении:

  • сложных и длительных исследований, испытаний;
  • специальных экспертиз и расследований.

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб ().

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц оштрафуют. В рамках одной проверки Роскомнадзор может обнаружить несколько разных нарушений. Тогда он взыщет сразу несколько штрафов.

Размеры штрафов зависят от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП - на сумму от 5000 до 20 000 руб., организацию - на сумму от 15 000 до 75 000 руб. Подробнее о том, каковы штрафы за нарушения в работе с персональными данными, см. в таблице .

Такие меры ответственности предусмотрены статьями и Кодекса РФ об административных правонарушениях.

Уголовная ответственность для руководителя организации (иного лица, ответственного за работу с персональными данными) может наступить за незаконное:

  • собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

За указанные нарушения предусмотрены следующие меры ответственности:

  • штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • арест на срок до четырех месяцев;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

  • штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
  • арестом на срок от четырех до шести месяцев;
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Вопрос из практики: можно ли в трудовых договорах сотрудников предусмотреть условие о неразглашении конфиденциальной информации

Да, можно.

Но только в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей (). В этом случае при приеме на работу ознакомьте сотрудника с Положением о работе с персональными данными.

Вопрос из практики: можно ли сообщать сведения о работе сотрудника в организации по телефону представителям других компаний, например банков

Да, можно, но только с письменного согласия самого сотрудника.

Под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному физическому лицу (субъекту персональных данных) (ч. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). При этом перечень персональных данных не является исчерпывающим, то есть любая информация, относящаяся к определенному лицу, является его персональными данными. Таким образом, место работы и сам факт работы, запрашиваемые у организации, например, кредитной организацией для подтверждения факта работы или потенциальным работодателем о бывшем сотруднике, являются персональными данными. Поэтому передавать данные о сотруднике другим организациям можно только с соблюдением общих требований об обработке персональных данных, то есть только с согласия самого сотрудника (п. 3 ч. 1 ст. 86 ТК РФ , ).

Таким образом, предоставлять сведения о факте работы сотрудников по телефону неустановленным лицам, в том числе представляющимися специалистами банка, можно, но только с письменного согласия самого сотрудника, независимо от того, продолжает он работать в организации или уже уволился.

Вопрос из практики: обязан ли работодатель по запросу службы судебных приставов сообщать о факте работы в организации сотрудника-должника

Факт работы в организации относится к персональным данным сотрудника. Судебный пристав-исполнитель, ведущий исполнительное производство, вправе запрашивать у организации сведения о сотрудниках, в отношении которых состоялись судебные решения об уплате алиментов или иных видов присужденных платежей, в том числе и сведения, относящиеся к персональным данным. Данный запрос работодатель игнорировать не вправе. Такие правила установлены Закона от 2 октября 2007 г. № 229-ФЗ.

При этом работодатель вправе сообщать о факте работы в организации сотрудника-должника без его согласия о передаче персональных данных третьим лицам, так как в данном случае обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, подлежащего исполнению в соответствии с законодательством России об исполнительном производстве (п. 3 ч. 1 ст. 6 , п. 6. ч. 2 ст. 10 , ч. 2 ст. 11 Закона от 27 июля 2006 г. № 152-ФЗ).

Таким образом, работодатель обязан отреагировать на запрос службы судебных приставов о факте работы сотрудника-должника. Получать согласие сотрудника на пер

Отвечает Маргарита Орлова,

руководитель департамента администрирования страховых взносов ФСС России

«Чтобы подтвердить основной вид деятельности по обособленному подразделению, которое платит взносы самостоятельно, подайте те же документы, что и в целом по организации. Разница лишь в том, что в них отразите сведения только по подразделению и подадите их в отделение ФСС по месту учета такого подразделения. Как платить взносы, пока не получили из ФСС уведомление о тарифе на текущий год – узнаете в рекомендации.»

Похожие публикации: