памятка операторам обработки персональных данных

Практика деятельности работодателей в соответствии с требованиями Федерального закона № 152-ФЗ "О персональных данных"

Федеральный закон № 152-ФЗ «О персональных данных» обязывает работодателей принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Работодатель и его представители при обработке персональных данных работника обязаны соблюдать требования, предусмотренные ст. 86 Трудового Кодекса Российской Федерации. Организация, в целом, должна осуществлять обработку персональных данных физических лиц (клиентов, пациентов и др.) с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ "О персональных данных".

Что относится к персональным данным?

Федеральным законом № 152-ФЗ "О персональных данных" определяется, что персональные данные делятся на три категории:

• общие;

• специальные;

• биометрические.

К общим персональным данным относят фамилию, имя, отчество, дату рождения, место регистрации, паспортные данные, сведения об образовании, иные данные, то есть любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Специальные персональные данные - это сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья (ч. 1 ст. 10 Закона № 152-ФЗ), а также сведения о судимости (ч. 3 ст. 10 Закона № 152-ФЗ). При этом разъясняется, что обработка сведений о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

К биометрическим данным относят сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (ч. 1 ст. 11 Закона № 152-ФЗ).

Какие меры должна принять организация, чтобы обеспечить соблюдение требований законодательства Российской Федерации в области персональных данных. Насколько важно назначать ответственное должностное лицо для организации работы с персональными данными?

Согласно п. 1 ч. 1 ст. 18.1 Закона № 152-ФЗ оператор (организация) обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами, в частности к таким мерам относится, в том числе назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных. Более полный перечень мер отражён в ч. 1 ст. 18.1 Закона № 152-ФЗ.

Для операторов, являющихся государственными или муниципальными органами перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, определен в постановлении Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

В каких случаях необходимо размещать на официальном сайте организации документы, определяющие политику в отношении обработки персональных данных.

Если организация осуществляет сбор персональных данных граждан с использованием информационно-телекоммуникационной сети Интернет (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), то на сайте организации должен быть размещён документ, определяющий политику в отношении обработки персональных данных.

При отсутствии документов, определяющих политику в отношении обработки персональных данных (касается только организаций, которые на своих сайтах осуществляют сбор персональных данных граждан, а также государственных и муниципальных органов) предусматривается административная ответственность в соответствии со ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Как понять, необходимо ли организации подавать уведомление об обработке (о намерении осуществлять обработку) персональных данных.

Согласно ч. 1 ст. 22 Федерального закона № 152-ФЗ "О персональных данных" оператор (организация) до начала обработки персональных данных обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, то есть направить уведомление об обработке (о намерении осуществлять обработку) персональных данных в соответствующий территориальный орган Роскомнадзора. Это относится ко всем организациям, которые осуществляют обработку персональных данных и не подпадают под исключения, предусмотренные ч. 2 ст. 22 Закона № 152-ФЗ.

Форма уведомления об обработке (о намерении осуществлять обработку) персональных данных размещена на Портале персональных данных по адресу - www.pd.rkn.gov.ru.

Дополнительно разъясняем, что уведомление об обработке персональных данных, поданное в территориальный орган Роскомнадзора должно содержать сведения, предусмотренные п. 10.1 ч. 3 ст. 22 Закона № 152-ФЗ (введен Федеральным законом от 21.07.2014 № 242-ФЗ), а именно сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.

Когда организация должна направить информационное письмо о внесении изменений в реестр операторов, осуществляющих обработку персональных данных.

В соответствии с ч. 7 ст. 22 Федерального закона № 152-ФЗ "О персональных данных" в случае изменения сведений, поданных оператором (организацией) ранее в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных оператор (организация) обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Форма информационного письма о внесении изменений в реестр операторов, осуществляющих обработку персональных данных размещена на Портале персональных данных по адресу - www.pd.rkn.gov.ru.

Дополнительно разъясняем, что информационное письмо о внесении изменений в реестр операторов, поданное в территориальный орган Роскомнадзора должно содержать сведения, предусмотренные п. 10.1 ч. 3 ст. 22 Закона № 152-ФЗ (введен Федеральным законом от 21.07.2014 № 242-ФЗ), а именно сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.

Время публикации: 02.11.2015 01:58
Последнее изменение: 09.12.2015 17:29