Правовое основание обработки персональных данных что писать
Правовое основание обработки персональных данных что писать
ПАМЯТКА ОПЕРАТОРАМ ПЕРСОНАЛЬНЫХ ДАННЫХ о форме, способах и механизмах получения согласия на обработку персональных данных .PDF
Уважаемые заявители!
Заполнение электронных форм заявительной документации позволяет сократить сроки оформления лицензий, разрешений, свидетельств о регистрации, внесения сведений об операторах персональных данных в реестр операторов персональных данных и т.д.
К сожалению, действующее в настоящий момент российское законодательство не позволяет полностью исключить бумажные носители. Правовыми основаниями для совершения официальных регистрационных действий являются бумажные варианты оригинальных или заверенных в установленном порядке документов.
По мере совершенствования действующего законодательства Российской Федерации и развития инфраструктуры единого пространства доверия электронной подписи Роскомнадзор сможет исключить бумажные носители из всех процедур разрешительной деятельности.
Уважаемые заявители!
Для исполнения ч.2.1. ст.25 Федерального закона №152-ФЗ (в редакции от 25.07.2011 N 261-ФЗ )»О персональных данных» необходимо представлять информационное письмо (вариант письма смотри ниже).
Методика составления информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных
В случае изменения сведений, указанных в уведомлении об обработке персональных данных оператор, зарегистрированный на территории Свердловской области, обязан направить в адрес Управления Роскомнадзора по Уральскому федеральному округу информационное письмо о внесении изменений сведений в реестре операторов, осуществляющих обработку персональных данных, в течение десяти рабочих дней с даты возникновения таких изменений.
Порядок внесения изменений:
— зайти на сайт Управления 66.rkn.gov.ru (вкладка «Направления деятельности», раздел «Персональные данные»);
— заполнить электронную форму информационного письма (заполнять только те поля, которые изменяются или дополняются) При этом обязательно заполнить: реквизиты организации (наименование, адрес, регистрационный номер записи в Реестре, основание изменений, регион, ИНН, ОГРН, ОКВЭД, ФИО и контактная информация исполнителя); поле «ОСНОВАНИЕ внесения изменений»; поле «Срок или условие прекращения обработки ПД»;
— ввести защитный код;
— распечатать письмо в 2х экземплярах на бланке организации (или поставить угловой штамп на отпечатанных листах);
— подписать (законный представитель организации);
— зарегистрировать письмо в журнале исходящих документов (при наличии);
2. Подготовить заверенную печатью организации копию документа – основания изменения данных об организации (Указ Губернатора, Постановление Правительства СО, или другое).
3. Направить заказным письмом указанные документы в адрес Управления Роскомнадзора по Уральскому федеральному округу.
Методические рекомендации по составлению уведомления об обработке персональных данных
(сопроводительный документ не делать. )
Угловой штамп, бланк организации
Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Уральскому федеральному округу
Исх. №, дата
УВЕДОМЛЕНИЕ
об обработке (о намерении осуществлять обработку) персональных данных
Тип оператора: юридическое лицо (выбрать: государственный, муниципальный орган, юридическое или физическое лицо)
Стачек ул., д.1, г. Заречный, Каменский р-н, Свердловская обл., РФ, 620014.
ИНН7717036194; ОГРН1056601892159; ОКВЭД 45.2; КПП 663001001.
Цель обработки персональных данных (то, что отражено в Уставе; Положении; Лицензии и другие цели):
Предоставление услуг связи ; выполнение договорных обязательств; проведение расчетов с клиентами; ведение личных дел сотрудников; работа с жалобами, заявлениями; обеспечение кадрового резерва.
Правовое основание обработки персональных данных (обязательно указать соответствующие статьи, пункты определяющие обработку персональных данных) например:
Ст.ст. 86-90 Трудового кодекса РФ; ст. 53, ч. 2 ст. 54 Федерального закона от 07.07.2003г. № 126-ФЗ «О связи»; п. 4.5 Лицензии № 33799 от 10.08.2005г., выдана ООО «Совинтел» Федеральной службой по надзору в сфере связи на осуществление деятельности по оказанию услуг связи; п.3 Устава ООО «Совинтел», утверждённого на общем собрании акционеров 20.01.2006г., протокол № 1.
Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных» ( обязательно заполнить два поля: а) описание мер и б) средства обеспечения безопасности ):
а) Организационные меры : разграничение прав доступа сотрудников к базе персональных данных; наличие положения и инструкций об обработке персональных данных. Технические меры : обеспечение охраны помещений с базами персональных данных; информация передается на магнитных и бумажных носителях, а также по специально выделенной сети.
б) Средства обеспечения безопасности (обязательно заполнить поле!) :
Сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными; наличие установленного антивирусного программного обеспечения; сигнализация; видеонаблюдение; сетевые экран; решетки на окнах.
C ведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации. Лица, осуществляющие обработку персональных данных, обучены и проинструктированы под роспись. Хранение носителей баз данных, содержащих персональные данные, обеспечено. Несанкционированный доступ к базам персональных данных, исключён. Не контролируемое проникновение или пребывание посторонних лиц в помещениях, где ведётся обработка персональных данных, исключено. Контроль учета лиц, допущенных к работе с персональными данными, ведётся. Модель угроз безопасности персональных данных при их обработке определена, система защиты разработана.
(п. 11 введен Федеральным законом от 25.07.2011г. № 261-ФЗ). (В соответствии с ПП РФ от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и ПП РФ от 15.09.2008г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»).
Дата начала обработки персональных данных (число, месяц, год): 31.05.2006г.
Срок или условие прекращения обработки ПД: выбрать по условию:
Ликвидация (реорганизация) ООО «Совинтел».
Сведения об информационной системе
непосредственно персональные данные (фамилия, имя, отчество; год, месяц, дата рождения; место рождения; адрес; семейное, социальное, имущественное положение; образование; профессия; доходы);
специальные категории персональных данных (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, состояние интимной жизни);
Обязательно заполнить поле « Другие категории персональных данных, не указанные в перечне» (например: Данные документов: паспорта РФ, военного билета, свидетельства о рождении, свидетельства о браке/расторжении брака, об образовании, пенсионного удостоверения, водительского удостоверения, ИНН; СНИЛС; номер контактного телефона).
4. Категории субъектов, персональные данные которых обрабатываются: Сотрудники, с которыми заключены трудовые договоры; ближайшие родственники сотрудников; граждане, обратившиеся с жалобами, заявлениями; граждане, направившие мини-резюме при устройстве на работу, для участия в конкурсе на замещение вакантных должностей; клиенты и их законные представители; физические лица, состоящие в договорных или иных гражданско-правовых отношениях;
6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: Обязательно заполнить поле «Перечень действий с персональными данными»! :
Сбор, анализ, обобщение, хранение, изменение, дополнение, передача, уничтожение персональных данных.
способ обработки персональных данных: смешанная обработка персональных данных; без передачи (или с передачей) по внутренней сети юридического лица; c передачей (или без передачи) по сети Интернет.
использование шифровальных (криптографических) средств :
Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ:
выбрать: страну, адрес ЦОДа и указать имеется ли собственный ЦОД
Ответственные за организацию обработки персональных данных: фамилия, имя, отчество физического лица или наименование юридического лица, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
Директор подпись (И.И.Иванов)
Исполнитель: ФИО; номер контактного (рабочего) телефона.
Информация размещена на сайте: 66.rkn.gov.ru
Регистрацию в РОПД можно посмотреть на сайте: pd.rsoc.ru (набирать только ИНН. )
Адрес: 620000, Екатеринбург, Ленина пр-т, д. 39, а/я 337.
Подписанное Уведомление на бумажном носителе направлять обязательно!
Первоочередные задачи оператора персональных данных по организации обработки персональных данных
1. Проверить, как ведется в организации обработка ПД на данный момент, устранить выявленные нарушения, не ждать проверки надзирающего органа исполнительной власти.
2. Подготовить требуемую действующим законодательством в области персональных данных документацию по обработке ПД, разработать инструкции для сотрудников, довести. Разработать (уточнить в соответствии с новой редакцией 152-ФЗ и подзаконными актами) и утвердить положение об обработке ПД в организации.
3. Получить согласие субъектов ПД на обработку ПД (в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в соответствии с ч. 4 ст. 9).
4. Утвердить списки лиц, допущенных к обработке ПД.
— факт допуска их к обработке ПД;
— о способе обработки ПД;
— о перечне категорий персональных данных, которые они будут обрабатывать.
Обязать работников (сотрудников), обрабатывающих ПД, обеспечить безопасность обработки ПД.
6. Обеспечить надежное хранение носителей ПД.
7. Зарегистрироваться в установленном порядке в Реестре операторов ПД.
8. Дополнить договоры с организациями, которым оператор поручил обработку ПД, перечнем действий (операций) с ПД, целями обработки ПД, обязанностью обеспечения конфиденциальности при обработке ПД переданных им для выполнения условий данного договора, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9. Привести в соответствие с требованиями действующего законодательства в области персональных данных деятельность по обработке ПД (если этого ещё не сделано).
10. Организовать периодический контроль руководства организации за работой лиц, допущенных к обработке персональных данных.
11. Проверить порядок хранения документов, содержащих персональные данные, и порядок их уничтожения по достижению цели обработки этих персональных данных.
12. Представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:
— п.5 ч.3 ст.22 – правовое основание обработки персональных данных;
— п.10 ч.3 ст.22 – сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
— п.11 ч.3 ст.22 – сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленные Правительством Российской Федерации (ст.19 ещё не установлены! С июня 2012).
* Типичные ошибки при составлении Уведомления об обработке персональных данных см. здесь
Время публикации: 16.12.2015 08:42
Последнее изменение: 23.05.2019 10:58
© 2009-2021, Версия 2.15.18
Официальный интернет-ресурс Федеральной службы по надзору
в сфере связи, информационных технологий и массовых коммуникаций
Политика обработки персональных данных: как составить документ
Разрабатывая Политику обработки персональных данных, обязательно пропишите в документе шесть компонентов.
1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.
Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.
Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.
Структура Политики обработки персональных данных
Ведомство рекомендует предусмотреть в документе шесть основных компонентов:
1. Общие цели
В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.
2. Цели сбора персональных данных
Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.
Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:
3. Правовые основания обработки персональных данных
Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.
Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.
К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).
5. Порядок и условия обработки персональных данных
Что указывается в этом разделе:
Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:
Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.
В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).
Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.
Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.
Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.
На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.
Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.
Размещение Политики обработки персональных данных в офисе и на сайте
Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.
Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.
Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Правовое основание обработки персональных данных что писать
Методические рекомендации по заполнению полей, предусмотренных формами Уведомления и Информационного письма
! Методические рекомендации по заполнению полей, предусмотренных формами Уведомления и Информационного письма
Наименование ТО Роскомнадзора
Необходимо указывать наименование ТО Роскомнадзора, а именно «Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области» (или «Управление Роскомнадзора по Челябинской области»).
Тип оператора
Необходимо указывать тип оператора: (выбирается один из вариантов: государственный орган, муниципальный орган, юридическое или физическое лицо, индивидуальный предприниматель, иностранный гражданин).
Необходимо указывать адрес оператора, ИНН, ОГРН
Зачастую полное наименование организации на бланке и (или) печати и в уведомлении не соответствуют. Необходимо точное соответствие.
В Информационных письмах обязательно указание регистрационного номера записи оператора в реестре. Для того чтобы узнать регистрационный номер необходимо перейти на Портал персональных данных по ссылке: https://pd.rkn.gov.ru и в поле Реестр воспользоваться поиском по ИНН или расширенным поиском по ИНН, наименованию Оператора.
Правовое основание обработки персональных данных
Необходимо указывать соответствующие статьи и номер закона или иного НПА, регулирующих осуществляемый вид деятельности и касающихся обработки персональных данных (статьи Трудового кодекса, Указов Президента РФ, Постановлений Правительства РФ и других НПА)
Цель обработки персональных данных
Необходимо указать как цели, указанные в учредительных документах (уставе, учредительном договоре, положении) оператора, так и цели фактически осуществляемой оператором деятельности.
Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке
Необходимо указать конкретные организационные и технические меры, принимаемые оператором в соответствии со ст.18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных, в том числе факт использования шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации
Необходимо указывать конкретные меры, предпринимаемые Оператором для обеспечения безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Например, какие конкретные меры предпринимает оператор в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Дата начала обработки персональных данных
Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными. Например, 01.01.2019.
Зачастую дата начала обработки совпадает с датой присвоения ОГРН (ОГРНИП).
Срок или условие прекращения обработки персональных данных
Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных.
Например, дата: «01.01.2020» или условие «ликвидация (реорганизация) юридического лица».
Категории персональных данных
Категории субъектов, персональные данные которых обрабатываются
Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором), клиенты, пациенты. Слово «и др.» писать не нужно.
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных
Конкретные действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, которые оператор осуществляет с персональными данными);с указанием конкретных способов обработки:
— неавтоматизированная обработка персональных данных;
-исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
— смешанная обработка персональных данных с передачей полученной информации по сети или без таковой.
А также необходимо указывать порядок передачи информации при смешанной и (или) автоматизированной обработке.
-«информация передается/ не передается по внутренней сети юридического лица»;
-«информация передается/ не передается с передачей по сети
Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки
В случае трансграничной передачи персональных данных необходимо указывать страны, в которые происходит передача персональных данных в процессе их обработки.
Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ
В данном поле необходимо указывать страну и конкретный адрес (например, страна: Россия, адрес ЦОДа: в формате Регион/Город или населенный пункт/Улица/Дом/Офис).
Необходимо указывать на принадлежность ЦОДа (например, собственный ЦОД (Да / Нет), в случае выбора варианта «Нет», необходимо указывать какой организации принадлежит ЦОД).
Ответственное лицо за организацию обработки персональных данных
В данном поле необходимо указывать ФИО ответственного лица или наименование организации, ответственных за организацию обработки персональных данных.
Обязательно: номер телефона, почтовый адрес, адрес электронной почты ответственного лица или организации. Например, Иванов Иван Иванович, тел. 8(351) 000-00-00, Регион/Город или населенный пункт/Улица/Дом/Офис, E-mail: info@info.ru.
Исполнитель
В данном поле необходимо указывать ФИО, должность, контактную информацию исполнителя, то есть лица, заполнившего данную форму.
Подпись
Сформированная печатная форма Уведомления или Информационного письма в бумажном виде должна быть подписана руководителем организации или лицом, имеющим право подписи документов и направлена в Управление Роскомнадзора по Челябинской области почтовым отправлением или доставлена нарочно.
Номер и ключ уведомления
В случае заполнения электронных форм на Портале персональных данных Вашему документу будет присвоен номер уведомления и ключ.
Напоминаем, что недопустимо внесение в сформированные печатные формы изменений, а также удаление информации о номере и ключе уведомления.
Время публикации: 05.09.2019 08:02
Последнее изменение: 05.09.2019 08:02
© 2009-2021, Версия 2.15.18
Официальный интернет-ресурс Федеральной службы по надзору
в сфере связи, информационных технологий и массовых коммуникаций