Смешанная обработка персональных данных

Основные правила обработки персональных данных

Roman Samborskyi / Shutterstock.com

Несмотря на то, что согласие субъекта необходимо для обработки его персональных данных, есть несколько случаев, при которых допускается их обработка и без такого согласия:

  • если это необходимо для достижения целей, предусмотренных международным договором или законом – например, обработка работодателем персональных данных своих сотрудников (ст. 86 Трудового кодекса);
  • в связи с исполнением судебного акта или участием лица в судопроизводстве;
  • для исполнения полномочий госорганов и функций организаций, участвующих в предоставлении государственных и муниципальных услуг, включая регистрацию на едином портале госуслуг и (или) региональных порталах государственных и муниципальных услуг;
  • для заключения и (или) исполнения договора;
  • для защиты жизни, здоровья или иных жизненно важных интересов лица, если получить его согласие невозможно;
  • если это необходимо для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей, если при этом не нарушаются права и свободы субъекта;
  • при осуществлении журналисткой, научной, литературной и иной творческой деятельности, если это не нарушает права и законные интересы лица;
  • в статистических или иных исследовательских целях при условии обязательного обезличивания данных;
  • если персональные данные сделаны субъектом общедоступными;
  • при опубликовании или обязательном раскрытии информации в соответствии с законом – например, при совершении нотариальных действий (ч. 1 ст. 6 закона о персональных данных).

СОДЕРЖАНИЕ

Оператор может обрабатывать персональные данные как самостоятельно, так и поручить это с согласия субъекта третьему лицу (ч. 3 ст. 6 закона о персональных данных). В договоре при этом следует определить перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, требования к защите обрабатываемых персональных данных. Кроме того, необходимо отдельно прописать обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке.

Получать согласие субъекта на обработку его персональных данных лицу, осуществляющему обработку персональных данных по поручению оператора, в этом случае не нужно (ч. 4 ст. 6 закона о персональных данных). Но даже если обработка поручена другому лицу, ответственность перед субъектом лежит все равно на операторе (ч. 5 ст. 6 закона о персональных данных).

БЛАНК

Договор поручения на обработку персональных данных третьим лицом
Другие бланки

Что касается передачи персональных данных за рубеж, закон ограничивает трансграничную передачу персональных данных, допуская ее осуществления лишь на территории стран-участников Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и определенных Роскомнадзором иностранных государств, хоть и не являющихся участниками этой Конвенции, но обеспечивающих адекватную защиту прав субъектов персональных данных (ст. 12 закона о персональных данных). Однако даже в отношении этих стран трансграничная передача данных может быть запрещена или ограничена, если это требуется в целях защиты основ конституционного строя России, нравственности, здоровья, прав и законных интересов граждан, а также обеспечения безопасности страны.

Вместе с тем есть ряд случаев, при которых трансграничная передача персональных данных возможна и на территории тех государств, которые не обеспечивают адекватную защиту прав субъектов персональных данных. Это допускается:

  • при наличии письменного согласия субъекта персональных данных;
  • если это предусмотрено международными договорами;
  • если это предусмотрено федеральными законами и необходимо в целях защиты основ конституционного строя, обеспечения безопасности государства и т. д.;
  • при исполнении договора, стороной которого является субъект персональных данных;
  • для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц, если получить письменное согласие на это невозможно.

Обработка персональных данных

Директора АНО «Центр «О`Гений»

№ 2 от «01» 09. 2018 г.

Политика обработки персональных данных

1. Назначение и область действия

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных ИП Мельниковой Натальей Анатольевной (далее — Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Политика действует бессрочно после утверждения и до ее замены новой версией. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.

1.3. В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».

1.4. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда). Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

2. Сведения об обработке персональных данных

2.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без использования таковых.

2.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
Читайте так же:  Оформление визы в канаду по приглашению

2.4. Содержание и объем обрабатываемых персональных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

  • заключение трудовых отношений с физическими лицами;
  • выполнение договорных обязательств Оператора;
  • выполнение функций уполномоченного представителя для сдачи электронной отчетности;
  • соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.

2.5. К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:

  • физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;
  • физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;
  • кандидаты на замещение вакантных должностей.

2.6. Категории обрабатываемых персональных данных:

Для указанных категорий субъектов могут обрабатываться непосредственно персональные данные и другие категории ПД: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

Обработка биометрических персональных данных, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), Оператором не осуществляется.

2.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

2.8. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.

2.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения.

2.10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

  • цели, условия, сроки обработки персональных данных;
  • обязательства сторон, в том числе меры по обеспечению конфиденциальности;
  • права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

2.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке.

2.12. В целях внутреннего информационного обеспечения Оператор может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

3. Меры по обеспечению безопасности персональных данных

3.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

4. Права субъектов персональных данных

Субъекты персональных данных имеют право на:

  • Полную информацию об их персональных данных, обрабатываемых Оператором;
  • Доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
  • Уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • Отзыв согласия на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично;
  • Принятие предусмотренных законом мер по защите своих прав;
  • Обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательств Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
  • Осуществление иных прав, предусмотренных законодательством Российской Федерации.

Смешанная обработка персональных данных

Практическая защита
персональных данных

Итак, Вы наконец то решили «разобраться» с защитой персональных данных в Вашей организации. С чего же начать?!

В первую очередь необходимо назначить ответственных за обеспечение безопасности персональных данных в организации. Их может быть несколько. Например по 1 сотруднику в каждом отделе, обрабатывающем персональные данные в организации.

В небольших организациях ответственным, как правило, назначают начальника отдела кадров или начальника информационного отдела. Основные задачи ответственного — подготовка документов по защите персональных данных, контроль за соблюдением требований по защите.

На следующем этапе необходимо определиться где и в каком виде присутствуют персональные данные в Вашей организации.

Напомним, что персональные данные – это любая информация о людях. Это могут быть персональные данные сотрудников, данные пациентов (если речь идет о медучреждении), данные граждан (если речь идет о госучреждении) и т.д.

Субъект персональных данных — это человек, персональные данные которого Вы обрабатываете.

Особое внимание следует уделить так называемым специальным категориям персональных данных. К ним относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

В большинстве организаций обрабатываются только персональные данные сотрудников. Как правило, они присутствуют в бумажных документах (трудовых договорах, платежных ведомостях, личных делах, приказах и т.д.) и в электронном виде (программы для расчеты заработной платы, подготовки и передачи отчетности, выписки доверенностей и т.д.).

После этого необходимо определиться с целями обработки каждого вида персональных данных.
Целями могут быть:
— обеспечение трудовых взаимоотношений (для персональных сотрудников);
— обеспечение медицинской деятельности (для персональных данных пациентов в медучреждениях);
— исполнение федеральных законов (например, ФЗ «Об актах гражданского состояния»).

Читайте так же:  Реестр смп проверить предприятие по инн

Нельзя обрабатывать персональные данные без конкретной цели! Обрабатываемые персональные данные группируются по целям обработки. Например: «Сотрудники», «Пациенты», «Граждане».

Для обработки персональных данных в организации за исключением ряда случаев, приведенных ниже, требуется согласие субъекта персональных данных. Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения за исключениям ряда случаев, приведенных ниже. Это может быть дополнительный пункт в договоре или заявке, которую субъект подписывает собственноручно, либо специальный документ (в терминах закона «согласие в письменной форме«).

Согласие в письменной форме требуется в следующих случаях:
— обрабатываются специальные категории персональных данных
— обрабатываются биометрические персональные данные
— будет осуществляться трансграничная передача персональных данных

Согласие субъекта не требуется в случаях:
— обработка персональных данных осуществляется на основании федерального закона (например трудового кодекса);
— персональные данные обрабатываются для исполнения договора, заключенного с субъектом персональных данных (например договор подряда).

На следующем этапе для каждой группы персональных данных (ПДн) необходимо определить способы обработки: автоматизированный, неавтоматизированный, смешанный.

Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.

Автоматизированная обработка (или обработка в информационных системах персональных данных — ИСПДн) предполагает использование компьютера.

Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку группы персональных данных. Она встречается наиболее часто. По результатам данного этапа необходимо оформить документ «Перечень персональных данных». В нем обязательно нужно указать: группы персональных данных, перечень персональных данных (ФИО, адрес, паспортные данные и т.д.), цели обработки, срок хранения персональных данных, способ обработки и другие сведения на Ваше усмотрение.

Организации, обрабатывающей персональные данные, необходимо зарегистрироваться в Роскомнадозоре. Для этого необходимо подать «Уведомление об обработке персональных данных».Уведомление не требуется в случаях:
— Обрабатываются только персональные данные сотрудников.
— Обрабатываются только персональные данные лиц, заключивших договор с Вашей организацией. И эти персональные данные используются только для исполнения данного договора и никуда не передаются без согласия субъекта персональных данных (лица, заключившего договор).
— Обрабатываются только персональные данные членов общественного объединения или религиозной организации.
— Обрабатываются общедоступные персональные данные.
— Персональные данные используются только для однократного пропуска на территорию организации.
— Обрабатываются персональные данные включающие в себя только фамилии, имена и отчества.
— Персональные данные обрабатываются без использования средств автоматизации.
— Персональные данные обрабатываются в системах, имеющих статус федеральных автоматизированных информационных систем или государственных информационных систем персональных данных.
— Персональные данные обрабатываются в соответствии с законодательством о транспортной безопасности

Уведомление отправляется в электронном виде (заполнение формы на сайте http://www.pd.rsoc.ru/operators-registry/notification/form/) и дублируется в бумажном виде с подписью руководителя и печатью.

Субъект (человек персональные данные которого обрабатываются в организации) имеет право запросить сведения о наличии в организации его персональных данных и сами персональные данные. Для работы с такими обращениями необходимы документы: инструкция по работе с обращениями субъектов персональных данных, журнал для регистрации таких обращений и набор бланков для ответов субъекту.

Для персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн) и обрабатываемых без использования средств автоматизации выдвигаются различные требования по защите.

© 2011-2019 «Практическая защита персональных данных»

Что включает в себя процедура обработки персональных данных?

С тех пор, как в жизни современного человека появился Интернет, вопрос сохранения персональных данных встал особенно остро.

В том числе именно по этой причине в 2006 году был принят №152-ФЗ «О персональных данных», строго регламентирующий правила работы с личными данными каждого действующего, бывшего или потенциального сотрудника.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-59-47 . Это быстро и бесплатно !

В настоящий момент вопрос о потенциальной возможности обработки таких данных возникает во многих случаях.

Подтверждать право оператора обрабатывать информацию приходится при оформлении покупки, при передаче документов в медицинские учреждения, направления ребенка в школу.

Максимальный набор персонифицированной информации требуется при трудоустройстве. В остальных случаях, в соответствии с законодательством, набор необходимой информации должен быть сопоставим с теми целями, для исполнения которых он предоставляется.

При необходимости, представитель той организации, которая просит указать согласие на обработку, должен пояснить обоснованность предоставления каждого пункта и подпункта.

Общая информация

Работать с предоставляемыми персональными данными в большинстве случаев имеют право исключительно и уполномоченные работники, чаще всего с такой обработкой сталкиваются при трудоустройстве и передают свои персональные информационные показатели представителям кадровых кадровых служб и HR-подразделений.

Вне зависимости от ситуации предварительно необходимо обязательно получить письменное согласие от того, кто передает свои персональные данные.

Дальнейшее использование подобной информации также возможно только после получения официального разрешения.

Закон подробно перечисляет порядок информации, которая входит в этот список:

  • дата рождения;
  • имя, отчество и фамилия;
  • профессия и образование;
  • данные об уровне доходов и другое.

Несмотря на то, что с момента принятия закона прошло почти 10 лет, до сих пор представители кадровых служб часто не очень четко представляют правила обработки персональных данных.

Основой любой возможности работы с персональными данными становится предварительное получение письменного согласия от их владельца на обработку.

К списку персональных данных для передачи, которые могут заинтересовать работодателя или организацию, с которой заключается любой иной договор, может относиться только то, что характеризует передающего свою информацию как сотрудника и профессионала, подтвердить его платежеспособность при получении кредита или иная информация.

На производстве в список такой информации данные, включаемые в учетную карточку для персонала.

Подобная информация традиционно необходима для заключения трудового договора.

В этой ситуации персональные данные могут содержаться:

  • в том документе, который удостоверяет персоналию работника;
  • данные о позиция и записях в трудовой книжке;
  • информация, которая содержится в карточке социального медицинского страхования;
  • любых документах, которые работник предоставляет по собственной инициативе (дипломы о дополнительном образовании, справки, грамоты и другое);
  • материалы, которые содержатся в приказах по персоналу;
  • информация, находящаяся аналитических записках и докладных;
  • любые данные об итогах внутренних служебных проверок и любых возможных расследований.
Читайте так же:  До какого часа можно сверлить в квартире

В чем заключается процедура?

В каждой организации на основании Трудового Законодательства и федерального законодательства разрабатывается практически идентичная процедура обработки подобной информации.

В том числе определяется порядок хранения информации, относящейся к персональным данным;
Порядок их учета:

  1. Порядок восстановления данных при получении доступа к любой информации лицами, которые не имеют права работать с такими документами и многое другое.
  2. Перевод данных на машинные носители и порядок хранения на машинном носителе.
  3. Характер аудита информации и многие другие параметры.
  4. В большинстве случае отделы кадров получают рекомендации о характере работы с такой информацией от представителей юридических подразделений.
  5. В чем состоит процесс сбора данных, и кто может заниматься такой работой.

В большинстве ситуации о необходимости согласиться с обработкой личностной информации требуется при подписании любого договора.

Собирают информацию представители организаций, уполномоченные выполнять подобные действия. В идеале, такое направление работ записывается в их должностном регламенте.

Максимальной легитимностью отличается работа с подобной информацией представителей кадровых служб.

Для подтверждения необходимости получения такой информации получатель данных должен подтвердить свой статус оператора, который присваивается только после подачи соответственного уведомления в проверяющий орган.

В одобренном уведомлении всегда указывается, какую конкретную информацию нужно будет этому оператору представить, и какую запрашивать он не имеет права. Это касается и отделов кадров государственных и частных структур.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-59-47 (Москва)
Это быстро и бесплатно !

Способы обработки персональных данных

Что относится к способам обработки персональных данных, а что относится к действиям с персональными данными?

Согласно п. 9 Приказа Роскомнадзора от 19.08.2011 № 706 к способам* относятся:

— исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

— смешанная обработка персональных данных (Примечание N 4).

А к действиям согласно ст. 3 Федерального Закона от 27.07.2006 № 152-ФЗ О персональных данных относятся:*

— уточнение (обновление, изменение);

— распространение (в том числе передачу);

— уничтожение персональных данных.

Обоснование данной позиции приведено ниже в материалах «Системы Юрист».

  • ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 27.07.200 № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

«обработка персональных данных — любое действие (операция) или совокупность действий (операций),* совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных»

  • ПРИКАЗ РОСКОМНАДЗОРА ОТ 19.08.2011 № 706

«В поле „перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных“* указываются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

— неавтоматизированная Обработка персональных данных;
— исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

— смешанная обработка персональных данных (Примечание N 4).Примечание N 4. При автоматизированной обработке персональных данных либо смешанной обработке необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информации доступна лишь для строго определенных сотрудников юридического лица) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации.»

* Так выделена часть материала, которая поможет Вам принять правильное решение.

Смешанная обработка персональных данных

Характерные ошибки при оформлении Уведомлений по обработке персональных данных

В ходе рассмотрения представленных в Управление Роскомнадзора по Северо-Кавказскому федеральному округу уведомлений об обработке персональных данных выявлены следующие типичные ошибки при заполнении полей:

«Наименование (фамилия, имя, отчество), адрес оператора»

Видео (кликните для воспроизведения).

Типичные ошибки в данном случае: не указан (не полностью указан) адрес оператора (например, не указаны почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус — если имеются), ИНН, несоответствие полного наименования организации на бланке и (или) печати и в уведомлении. Необходимо точное соответствие.

«Правовое основание обработки персональных данных»

Операторы не указывают соответствующие статьи и номер закона или иного нормативно-правового акта, регулирующих осуществляемый вид деятельности и касающихся обработки персональных данных.

«Цель обработки персональных данных»

Необходимо указать как цели, указанные в учредительных документах

(уставе, учредительном договоре, положении) оператора, так и цели, фактически осуществляемой оператором деятельности.

— «осуществление полномочий органа власти по . »

— «выполнение государственных функций по . »

— «оказание государственных (муниципальных) услуг по . »

— «оказание (предоставление) услуг по . »

— «выполнение работ по . »

Соответствующие виды деятельности отражаются в общероссийских классификаторах услуг, видов деятельности (ОКУН, ОКВЭД) и т.д.

«Категории персональных данных»

Операторы зачастую указывают фразы типа «и др.», «и т.п.» «другая информация». Необходимо указывать все конкретные

категории, например: фамилия, имя, отчество, год, месяц, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение,
образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни; биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность — данные изображения отпечатка пальца, изображения лица, изображения радужной оболочки глаза и т.д.).

«Категории субъектов, персональные данные которых

обрабатываются»

Операторы указывают не все категории субъектов,

при этом из текста уведомления видно, что обрабатываются данные других категорий.

Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.

Читайте так же:  Гпд с физическим лицом на оказание услуг

«Перечень действий с персональными данными,

общее описание используемых оператором способов обработки персональных данных»

Операторы не указывают конкретный перечень действий с персональными данными; конкретные способы обработки:

— неавтоматизированная обработка персональных данных;

— исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

— смешанная обработка персональных данных с передачей полученной информации по сети или без таковой.

Наиболее частая ошибка —

отсутствие либо нечеткое указание на порядок передачи информации при смешанной и (или) автоматизированной обработке.

Необходимо четко указать соответствующие варианты:

— «информация передается по внутренней сети юридического лица»

— «информация не передается по внутренней сети юридического лица»

— «информация доступна лишь для строго определенных сотрудников»

— «информация передается с использованием сети общего доступа Интернет»

— «без передачи полученной информации»

«Описание мер, которые оператор обязуется осуществлять

при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке»

При заполнении данного поля уведомления либо вообще отсутствует
описание мер, либо нет их четкого раскрытия. Необходимо указать конкретные организационные и технические меры,

в том числе использование шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке. К организационным мерам можно отнести: принятие локальных нормативных актов (внутренних документов — приказов, положений, регламентов, перечней сведений и т.д.) организации

К техническим мерам

можно отнести:

— защита от несанкционированного физического доступа к информации
(хранение персональных данных в закрытых шкафах, ящиках, сейфах),

— защита паролем компьютеров с персональными данными,

— использование системы паролей при работе в сети (портале)

— ограничение доступа к компьютерной технике для определенных категорий работников,

При смешанной обработке указывается перечень мер по обеспечению безопасности персональных данных на бумажных носителях и на электронных

носителях.

«Дата начала обработки персональных данных»

Операторы не указывают дату вообще. Необходимо указать конкретную фактическую дату

начала совершения действий с персональными данными.

«Срок или условие прекращения обработки персональных данных»

Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных — например «ликвидация юридического лица», «аннулирование лицензии на осуществление соответствующего вида деятельности»

Время публикации: 05.04.2018 14:07
Последнее изменение: 30.05.2019 09:59

© 2009-2019, Официальный интернет-ресурс Федеральной службы по надзору

в сфере связи, информационных технологий и массовых коммуникаций

Политика ЗАО «Консультант Плюс» в отношении обработки персональных данных

Генеральный директор ЗАО «Консультант Плюс»

ПОЛИТИКА ЗАО «КОНСУЛЬТАНТ ПЛЮС» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ (далее — Политика) определяет политику в отношении обработки персональных данных Закрытого акционерного общества «Консультант Плюс» (далее — Оператор или Компания).

1.2. Настоящая Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).

1.3. Понятия, содержащиеся в ст. 3 Закона о персональных данных, используются в настоящей Политике с аналогичным значением.

1.4. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации или без их использования.

1.5. Основные права и обязанности Оператора.

1.5.1. Оператор имеет право:

  • получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
  • требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

1.5.2. Оператор обязан:

  • обрабатывать персональные данные в порядке, установленном действующим законодательством РФ;
  • рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
  • предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;
  • принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;
  • организовывать защиту персональных данных в соответствии с требованиями законодательства РФ.

1.6. Основные права и обязанности субъектов персональных данных:

1.6.1. Субъекты персональных данных имеют право:

  • на полную информацию об их персональных данных, обрабатываемых Оператором;
  • на доступ к их персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
  • на уточнение их персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • на отзыв согласия на обработку персональных данных;
  • на принятие предусмотренных законом мер по защите своих прав;
  • на осуществление иных прав, предусмотренных законодательством РФ.

1.6.2. Субъекты персональных данных обязаны:

  • предоставлять Оператору только достоверные данные о себе;
  • предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
  • сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

1.6.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

2. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Оператор может обрабатывать персональные данные следующих субъектов персональных данных:

  • работники Компании, бывшие работники, кандидаты для приема на работу, а также родственники работников;
  • клиенты и контрагенты Компании (физические лица);
  • представители/работники клиентов и контрагентов Компании (юридических лиц);
  • посетители сайта (сайтов) Компании (далее — Сайт и Сайты).

2.2. К персональным данным, обрабатываемым Оператором, относятся:

  • фамилия, имя, отчество субъекта персональных данных;
  • место проживания (регион/город);
  • специальность/область профессиональных интересов;
  • номер мобильного телефона;
  • адрес электронной почты (e-mail);
  • история запросов и просмотров на Сайте и его сервисах (для посетителей Сайтов);
  • иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).

2.3. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

Читайте так же:  Как сделать возврат процентов по ипотеке

2.4. Оператор обрабатывает биометрические персональные данные при условии письменного согласия соответствующих субъектов персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.

2.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

2.6. Трансграничная передача персональных данных Оператором не осуществляется.

3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Персональные данные обрабатываются Оператором в следующих целях:

  • заключение с субъектами персональных данных любых договоров и их дальнейшего исполнения;
  • проведение Оператором акций, опросов, интервью, тестирований и исследований на Сайтах;
  • защита субъектов персональных данных от контрафакта справочных правовых систем КонсультантПлюс;
  • предоставление субъектам персональных данных сервисов и услуг Компании, а также информации о разработке Компанией новых продуктов и услуг, в том числе рекламного характера;
  • обратная связь с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов);
  • контроль и улучшение качества услуг и сервисов Компании, в том числе предложенных на Сайте (Сайтах);
  • ведение кадровой работы и организации учета работников Компании, регулирование трудовых и иных, непосредственно связанных с ними отношений;
  • привлечение и отбор кандидатов на работу в Компанию;
  • формирование статистической отчетности;
  • осуществление хозяйственной деятельности;
  • осуществление иных функций, полномочий и обязанностей, возложенных на Оператора законодательством РФ.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Правовыми основаниями обработки персональных данных Оператором являются:

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных Оператором осуществляется следующими способами:

  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.

5.2. Перечень действий, совершаемых Оператором с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством РФ.

5.3. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных (далее — Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.

5.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает Согласие свободно, своей волей и в своем интересе.

5.5. Согласие дается в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством РФ случаях Согласие оформляется в письменной форме.

5.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

5.7. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Компании заказным почтовым отправлением.

5.8. Оператор для достижения целей обработки вправе передавать персональные данные посетителей Сайтов региональным информационным центрам Сети КонсультантПлюс, перечень которых приведен по адресу: http://www.consultant.ru/about/company/structure/ric/.

5.9. Оператор при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.11. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории РФ.

6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, или их обработка должна быть прекращена соответственно.

6.2. Факт неточности персональных данных или неправомерности их обработки может быть установлен либо субъектом персональных данных, либо компетентными государственными органами РФ.

6.3. По письменному запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

6.4. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.


6.5. В порядке, предусмотренном п. 6.3, субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных Согласия, персональные данные подлежат уничтожению, если:

  • Оператор не вправе осуществлять обработку без Согласия субъекта персональных данных;
  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Видео (кликните для воспроизведения).

7.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.

Смешанная обработка персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here