- Права и обязанности оператора персональных данных
- Что проверяет Роскомнадзор?
- Делегирование обработки ПДн
- Чем грозит разглашение личной информации граждан?
- Требования к обработке персональных данных
- Обработка персональных данных напрямую связана с целями
- Операторы не имеют права раскрывать данные третьим лицам и просто так делиться ими
- Оператор должен обеспечить защиту персональных данных
- Персональные данные и работающие с ними организации
- Обязанности оператора
- Ответственность за несоблюдение законодательства по обработке персональных данных
- Правила проверки организаций, обрабатывающих персональные данные
- Зачем необходимо получение статуса оператора персональных данных?
- Предусмотрена ли ответственность за отказ регистрироваться в реестре Роскомнадзора?
- Кто это?
- Требования к обработке персональных данных
- Права и обязанности оператора персональных данных
- Общее описание используемых способов и перечень действий
- Как стать таким специалистом?
- Как зарегистрироваться на сайте в качестве ОПД?
- Как внести изменения?
- Где можно посмотреть реестр?
- Что означает: “операция отменена из-за отсутствия вашей актуальной информации”?
- Отличия в работе ОПД в городе и посёлке
- Перечень документов
- Политика
- Положения
В статье 3 четко прописано, что статус оператора ПДн имеют все, кто сами либо с помощью уполномоченных лиц обрабатывают персональные данные, предварительно установив их состав, цели и список выполняемых действий. Под данную категорию попадают как юридические, так и физические лица, а также муниципальные органы и государственные структуры. Фактически это все без исключения компании, реализующие товары или услуги.
В действующем законодательстве РФ указаны организации, которым не нужно дополнительно информировать Роскомнадзор о проведении операций с ПДн. К ним относятся фирмы и ИП, которые получают и используют личные сведения субъектов:
- на основании положений ТК России (каждый работодатель — это оператор);
- после заключения соответствующего договора для исполнения его условий;
- в рамках деятельности религиозного или общественного сообщества, но только в том случае, если они не будут передавать ПДн третьим лицам;
- входящие в состав государственных информационных систем (ГИС);
- в неавтоматизированных системах с соблюдением установленных требований ФЗ и других подзаконных актов;
- в ситуациях, когда требуется защита интересов и обеспечения безопасности общества и граждан, в том числе при оказании услуг связи, междугородных и международных перевозок и т.п.
Кроме того, оператор личных данных не должен сообщать в компетентный орган, если обрабатывает исключительно Ф.И.О. гражданина, сведения для выдачи однократных пропусков и ПДн, которые имеют общедоступный характер. Если ваша деятельность не относится ни к одной из перечисленных категорий, то уведомление посылать необходимо, причем сразу после этого вы будете включены в реестр.
Каждый человек может в любое время зайти на официальный ресурс Роскомнадзора и узнать наименование и другие сведения об операторе персональных данных. Если в перечне информации нет, это может значить, что фирма или ИП не подали уведомление, соответственно, нарушили закон либо совершают операции, для которых не требуется его предоставлять.
Проконсультироваться, нужно ли в вашем случае контактировать с проверяющей организацией, можно в нашем специализированном центре. Опытные эксперты по защите ПДн изучат ситуацию и дадут конкретные рекомендации по поводу правового урегулирования деятельности согласно ФЗ-152.
Независимо от того, в какой сфере работает компания, насколько большой штат сотрудников и объем обрабатываемой личной информации, в обязательном порядке необходима разработка Политики обработки ПДн и прочей внутренней документации, определяющей порядок совершения всех операций. Для тех, кто ведет бизнес онлайн, предусмотрено требование опубликовать основные документы на сайте. При отсутствии неограниченного доступа к Политике можно получить штраф в пределах от 3 до 30 тысяч рублей, в дополнение к этому организация автоматически попадает в реестр нарушителей, что негативно скажется на деловой репутации.
Права и обязанности оператора персональных данных
Занимаясь обработкой ПДн, предприниматель или фирма должны четко придерживаться законодательных нормативов. Например, есть возможность осуществлять с полученными сведениями такие операции, как:
- копирование;
- сбор, анализ и сохранение;
- изменение, дополнение, обновление;
- распространение;
- использование;
- систематизация и накопление;
- обезличивание;
- блокировка, уничтожение, удаление.
Но при этом установлены ограничения относительно продолжительности хранения и способа применения. Запрещено продолжать обрабатывать ПДн после достижения изначально поставленных целей и сроков.
Что касается требований к операторам персональных данных, то основными среди них являются:
- Отправка уведомления о начале проведения действий с ПДн сотрудников, клиентов с обязательным указанием адреса, Ф.И.О./названия организации, субъектов и типов обрабатываемых сведений, правового обоснования деятельности, списка операций, предпринятых мер обеспечения безопасности. Также нужно сообщить дату начала работ с ПДн, сроки и условия её завершения, наличие трансграничной передачи информации (передачи на территорию иностранного государства).
- Обеспечение защиты ПДн от несанкционированного доступа. На предприятии должен быть сотрудник, ответственный за внедрение и контроль операций, а также разработаны и интегрированы организационные и технические меры защиты. Для внедрения мер обеспечения безопасности требуется составить достаточной большой список локальных документов, начиная от должностных инструкций, заканчивая моделью актуальных угроз ПДн.
- Конфиденциальность информации. Операторы должны организовать свою деятельность таким образом, чтобы к ней имели доступ только уполномоченные лица, не происходило утечек, и не было случаев передачи ПДн третьей стороне без предварительного получения письменного согласия.
- Использование локальных ИСПДн — имеется ввиду необходимость хранения и обработки на российских серверах при сборе ПДн. При этом возможность дальнейшей трансграничной передачи не запрещена.
- Прекращение операций после истечения предусмотренного срока или достижения изначально установленных условий обработки. Кроме того, ФЗ-152 позволяет каждому субъекту написать заявление с просьбой отозвать согласие на использование его ПДн, после чего у фирмы или ИП есть 30 дней на исполнение данного требования, если конечно же нет законных оснований для продолжения обработки его ПДн.
Что проверяет Роскомнадзор?
Регулярные проверки ведомства — мощный стимул для организаций не нарушать положения ФЗ-152. Главное, на что обращают внимание представители госструктуры:
- наличие письменного согласия субъектов в случае их необходимости;
- присутствие локальной документации, регулирующей взаимоотношения между оператором и владельцем ПДн, а также их соблюдение;
- своевременное уведомление о начале обработки;
- поставленные цели и длительность хранения информации;
- применяемые меры защиты, налаженная система ограничения доступа;
- сервера, на которые помещаются сведения для систематизации и хранения.
Естественно, если в прошлом оператор персональных данных совершал нарушения, но его будут инспектировать особенно тщательно, так что есть смысл изначально привести деятельность в сфере ПДн в соответствие в требованиями ФЗ-152.
Делегирование обработки ПДн
Осуществлять обработку самостоятельно необязательно — можно поручить организацию обработки и защиту информации специалистам. Это может быть сервис-провайдер либо иное лицо (например, наш Центр безопасности данных), которое возьмет на себя обеспечение технической части согласно условиям подписанного договора и нормативам российского законодательства. Юридическое право выполнять действия с ПДн закрепляется в поручении, где отдельным пунктом прописана необходимость обеспечения безопасности и конфиденциальности обрабатываемых данных граждан.
Чем грозит разглашение личной информации граждан?
Закон предусматривает различные виды ответственности за несоблюдение оператором требований ФЗ-152 в отношении операций с ПДн, а именно:
Требования к обработке персональных данных
В Законе о персональных данных представлен перечень принципов, которыми должна следовать компания-оператор при работе с данными (гл. 2 Закона о персональных данных), а также права тех, кто эти данные бизнесу представляет (гл. 3 Закона о персональных данных).
Обработка персональных данных напрямую связана с целями
Во-первых, обработка ограничивается достижением определенных целей. И эти цели должны быть конкретными, заранее определенными и законными. Нельзя обрабатывать данные, которые не отвечают целям их сбора.
Например, компания может на своем сайте осуществлять сбор электронных адресов посетителей для последующей отправки рассылок. На это она должна получить согласие субъекта, предупредив его о том, что целью сбора является рассылка информационных сообщений и ничего более. Обычно цели обработки персональных данных прописываются в специальном документе — Политике обработки персональных данных.
Во-вторых, содержание и объем обрабатываемых данных должны соответствовать заявленным целям. Компании должны понимать, данные каких категорий субъектов они используют и с какой целью.
Например, если кадровое агентство имеет дело с соискателями и заказчиками, то целей сбора их данных может быть несколько: связь с пользователями, обработка заказов и платежей, улучшение качества обслуживания клиентов. Следовательно, агентство вправе запрашивать только те данные, которые соответствуют целям. Например, оно не имеет права узнавать у соискателя его политические и религиозные убеждения.
С 1 сентября 2022 года бизнесу будут предъявляться повышенные требования — им запретят требовать персональные данные в ситуациях, когда закон этого не предусматривает. Соответствующие изменения в ст. 14.8 КоАП вносит Федеральный закон от 28.05.2022 № 145-ФЗ.
Требования закона адресованы прежде всего магазинам. Они не имеют право вынуждать потребителей делиться данными без явной необходимости при покупке товаров и услуг. В противном случае они будут оштрафованы: должностные лица — от 5 000 до 10 000 руб., юрлица — от 30 000 до 50 000 руб.
Операторы не имеют права раскрывать данные третьим лицам и просто так делиться ими
Серьезные изменения в Закон о персональных данных внес Федеральный закон от 30.12.2020 № 519-ФЗ. Теперь на распространение данных оформляется отдельное согласие. А вот молчание или бездействие не могут рассматриваться как согласие.
Таким образом, если компания планирует распространять данные, ей недостаточно только получить согласие на их обработку. Придется дополнительно заручиться согласием на распространение.
Оператор должен обеспечить защиту персональных данных
Закон обязывает хранить данные в форме, позволяющей определить субъекта данных. Кроме того, данные должны храниться не дольше, чем этого требуют цели их обработки. Как только цель достигнута, данные уничтожаются или обезличиваются.
Хранение предполагает применение различных средств защиты информации. Они могут быть как простыми (в виде сургучных печатей, например), так и технологичными — антивирусы, средства криптографической защиты и др.
Татьяна Богатырева Автор медиапортала Русской Школы Управления
Персональные данные и работающие с ними организации
Закон «О персональных данных» вводит понятие оператора персональных данных. Это организация любой формы собственности или индивидуальный предприниматель, которые по роду деятельности собирают персональные данные граждан для обработки. Далеко не все компании осознают, что они являются участниками процессов, связанных с обработкой персональных данных.
Закон четко определяет, что оператором становится любая организация, получающая сведения о гражданах с целями, которые не связаны с обработкой информации о персонале.
К лицам, обрабатывающим персональные данные, относятся:
- частные организации, например, поставщики услуг связи или владельцы интернет-магазинов;
- индивидуальные предприниматели, размещающие на своем сайте форму обратной связи;
- муниципальные органы;
- государственные органы, например, при проведении ЕГЭ, при сборе налоговой информации или сведений персонального учета.
Размеры штрафов за нарушения зависят от категории организации, например, частные компании будут привлечены к более серьезной материальной ответственности, чем индивидуальные предприниматели. При этом государственные органы, работающие с огромными объемами ПД граждан, за нарушение законодательства будут отвечать по тем же нормам КоАП, что и частная компания. Но сами требования по программным и техническим средствам, которые предъявляются к государственным информационным системам (ГИС), строже и трудновыполнимее, чем задачи, поставленные перед небольшой частной организацией.
Для ГИС обязательны аттестация и приемочные испытания, частные компании могут вводить в действие систему без дополнительного контроля со стороны регулятора.
Обязанности оператора
Начиная работу с персональными данными, оператор обязан сообщить об этом в надзорное ведомство – Роскомнадзор. Организации необходимо:
- заполнить электронную форму уведомления о начале деятельности, связанной с обработкой персональных данных, на сайте ведомства, подписав его ЭП;
- направить бумажный экземпляр уведомления в ведомство почтой.
Закон не преследует участников обработки персональных данных за подачу уведомления после того, как они фактически приступили к процессу обработки персональных данных. Если в уставные документы или коды ОКВЭД не вносились изменения, связанные со сменой вида деятельности и получением нового кода ОКВЭД, на основании которого осуществляется обработка ПД, то в качестве даты начала такой обработки лучше поставить дату регистрации организации.
Уведомлять Роскомнадзор не нужно в следующих случаях:
- организация работает только с персональными данными собственных сотрудников;
- компания получает данные при заключении договора с клиентом, но они используются только в целях исполнения этого договора;
- обрабатываемая информация является общедоступными персональными данными;
- к обрабатываемым сведениям относятся только ФИО;
- сведения необходимы для оформления разового пропуска на территорию, где располагается организация, получающая ПД;
- данные обрабатываются в ГИС (государственных информационных системах) федерального уровня;
- оператор работает с данными без применения средств автоматизации.
Подать уведомление необходимо в течение трех лет после начала занятия деятельностью, связанной с обработкой персональных данных. Также компания должна выполнять обязанности, предусмотренные законом и подзаконными нормативными актами, издаваемыми регуляторами – ФСТЭК РФ, отвечающей за программную и техническую организацию системы защиты персональных данных, и Роскомнадзором, следящим за соблюдением организационных требований. Через три года могут быть первые проверки, и во избежание преследования в рамках КоАП РФ организации нужно решить основные задачи по охране персональных данных:
- обязательно получать согласие субъекта персональных данных на их обработку, передачу третьим лицам или трансграничную передачу;
- разработать и разместить на сайте организации в открытом доступе правильно подготовленную Политику по работе с персональными данными;
- выполнять правила ФСТЭК РФ по соответствию программных и технических средств защиты информации рекомендациям ведомства по работе с персональными данными.
Скрупулезное выполнение закона и подзаконных актов поможет избежать административной и гражданско-правовой ответственности. Штрафы за нарушения повысились с 2017 года, при неоднократном отказе от соблюдения правил возможно приостановление деятельности организации.
Минимальные меры, необходимые для защиты персональных данных и избегания ответственности:
- под любым окном на сайте или формой, в которую пользователь заносит любые персональные данные, поместить фразу о предоставлении согласия на обработку ПД и чек-бокс для проставления галочки, говорящей о согласии;
- разместить в окне, в котором проставляется согласие, гиперссылку на Политику обработки персональных данных. Документ должен включать всю информацию, связанную с целями и методами обработки ПД;
- разместить на сайте всплывающее окно с информацией об использовании файлов cookie или схожих технологий, собирающих информацию о посещаемости.
Роскомнадзор вправе даже без назначения специальной проверки контролировать выполнение этих требований.
Положение или Политику обработки персональных данных можно подготовить самостоятельно, закон не регламентирует ее структуру, главное, чтобы в документе содержалась следующая информация:
- данные об операторе персональных данных;
- цели обработки персональных данных, совпадающие с описанными в законодательстве;
- перечень персональных данных, на обработку которых правообладатель оставляет свое согласие;
- указание информации о третьем лице, если ему поручена обработка персональных данных, и цель такого поручения;
- перечень действий, которые будут осуществляться с персональными данными;
- срок действия согласия на обработку персональных данных;
- порядок корректировки или удаления данных.
Существуют ситуации, когда на организацию, связанную с обработкой персональных данных не возлагается ответственность за необходимость обеспечения их конфиденциальности:
- если персональные данные обезличены и из массива информации невозможно выделить сведения, позволяющие идентифицировать конкретного человека;
- если персональные данные обрабатываются в рамках конкретного договора;
- если ПД предоставлены общественной или религиозной организации ее членами для выполнения целей, определенных законом или уставом.
В ряде случаев закон «О персональных данных» не требует получения от правообладателя согласия на обработку ПД:
- если обработка производится на основании закона или международного договора, заключенного Россией;
- обработка проводится в целях статистического или иного научного исследования, а данные субъекта ПД обезличены;
- обработка ПД необходима для защиты жизни, здоровья, жизненно важных интересов конкретного лица в условиях, когда получить его согласие проблематично;
- обработка ПД проводится на почте для оказания услуг связи;
- обработка производится в случаях, прямо предусмотренных федеральными законами.
Далеко не всегда правообладатель может проконтролировать, насколько правильно обрабатываются его персональные данные и насколько точно оператор придерживается заявленных им целей.
В рамках национального проекта «Цифровая экономика» планируется создание единого портала персональных данных, где операторы будут размещать информацию о своей деятельности, а субъекты ПД смогут уточнить:
- кому было предоставлено согласие на обработку ПД;
- кем, с какой целью и какие данные обрабатываются.
При помощи ресурса пользователь должен иметь возможность отозвать свое согласие или откорректировать данные.
Ответственность за несоблюдение законодательства по обработке персональных данных
Большинство мер ответственности реализуется в сфере административного судопроизводства.
Статья 13.11 КоАП вводит следующие штрафы за нарушение законодательства РФ в сфере защиты персональных данных и отказ от выполнения обязанностей оператора:
- за обработку персональных данных в случаях, не предусмотренных российским законодательством, или с целями, прямо не заявленными оператором, – до 50 тысяч рублей;
- за обработку ПД без согласия их обладателя – до 70 тысяч рублей;
- за отказ от разработки или публикации Политики по правилам обработки ПД – до 30 тысяч рублей;
- за отказ от представления информации об обработке персональных данных правообладателю – до 40 тысяч рублей;
- за отказ от блокировки, корректировки или уничтожения недостоверной информации по требованию правообладателя – до 45 тысяч рублей;
- за хранение персональных данных российских граждан на иностранных серверах – до 6 миллионов рублей за первое нарушение и до 18 миллионов – за повторное.
Высокие штрафы – не проблема для Фейсбука или Твиттера, но не для небольшой компании. Если организация, обрабатывающая персональные данные, своими действиями причиняет ущерб правообладателю, против него может быть подан иск о возмещении убытков или морального ущерба.
Правила проверки организаций, обрабатывающих персональные данные
Чтобы привлечь оператора персональных данных к ответственности, Роскомнадзор должен соблюдать правила проведения проверок, утвержденные весной 2019 года. Ранее действовал только ведомственный регламент, позволяющий отступать от строгих правил. Теперь ответственность ведомства устанавливается за соблюдение регламента проверок в полной мере.
Регламент проверок соблюдения требований законодательства о персональных данных следующий:
- плановая проверка проводится раз в три года, срок ее проведения без продления составляет 20 рабочих дней. Узнать о планируемых проверках по защите персональных данных можно на сайте Генпрокуратуры, о конкретной дате визита инспекторов организацию предупредят за три дня;
- срок предоставления документов организацией в рамках плановой проверки сокращен до пяти дней, ранее оператору предлагали подготовить запрошенные материалы за 20 дней;
- внеплановая проверка проводится вне графика в случае получения жалобы. Срок ее проведения составляет 10 рабочих дней, организацию предупредят за сутки;
- внеплановая проверка не может быть документарной, для нее предусмотрена только выездная форма;
- добавились дополнительные основания для продления срока проверки, например, разветвленность организационной структуры компании, обработка персональных данных в нескольких информационных системах;
- запрос документов в связи с обращениями граждан проверкой не считается;
- Роскомнадзор вправе следить за деятельностью операторов в Интернете и при выявлении нарушений проводить внеочередные выездные проверки.
Регулирующая деятельность ведомства усилилась. Возможно, это связано с участившимися случаями утечек персональных данных российских граждан, особенно когда они публикуются на зарубежных сайтах. Операторы, являющиеся российскими организациями, должны уделить повышенное внимание соблюдению требований законодательства.
Это поможет избежать ответственности и обеспечить надлежащую защиту персональных данных.
Зачем необходимо получение статуса оператора персональных данных?
Для того, чтобы компания могла легально работать с персональными данными, ей необходимо пройти регистрацию в Роскомнадзоре, уведомить о начале работы с личной информацией, после чего получить официальный статус. Сама процедура регистрации на сайте Роскомнадзора осуществляется в 30-дневный срок. Но если в первоначальном документе была представлена не вся необходимая информация, от территориального органа будет направлен соответствующий запрос, что может в конечном итоге повлиять на продолжительность процедуры.
Кроме того, территориальный орган не сможет отказать в принятии уведомления и занесении сведений об организации в реестр Роскомнадзора. Также оператор персональных данных должен в течение 10 дней направить в адрес ведомства письмо об изменении целей обработки ПД, если подобное имело место быть.
Вопреки всему вышеизложенному многие организации, которые непосредственно работают с персональными данными, все еще находятся в сомнениях: стоит им проходить регистрацию или же нет. Но если обратить внимание на текущие реалии, то можно заметить, что требования к операторам персональных данных становятся все более жесткими. Также эксперты прогнозируют введение новых норм и обязательств в ближайшем будущем.
Например, уже сейчас столичные власти обязывают это делать все подведомственные учреждения, а значительное число подающих заявление на регистрацию — организации дополнительного профессионального образования. Так, статус оператора персональных данных имеет и Современная научно-технологическая академия.
Предусмотрена ли ответственность за отказ регистрироваться в реестре Роскомнадзора?
В соответствии с нормами действующего законодательства, за отказ проходить регистрацию в реестре организации грозит штраф:
- от 300 до 500 рублей предусмотрено для должностных лиц;
- от 3000 до 5000 рублей — юридических.
Кроме того, административная ответственность полагается и за нарушение требований по защите персональных данных. Так, статьей 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. Стоит отметить, что сумма штрафа варьируется от 15 000 до 75 000 рублей, в случае с индивидуальным предпринимателем штраф может быть от 5000 до 20 000 рублей.
Кто это?
ОПД – это муниципальный орган, физическое или юридическое лицо, которое обрабатывает информацию и определяет цели и содержание данных.
Больше информации о том, кто такой оператор ПД, найдете в специальном материале.
Требования к обработке персональных данных
В Законе о персональных данных представлен перечень принципов, которыми должна следовать компания-оператор при работе с данными (гл. 2 Закона о персональных данных), а также права тех, кто эти данные бизнесу представляет (гл. 3 Закона о персональных данных).
Права и обязанности оператора персональных данных
Занимаясь обработкой ПДн, предприниматель или фирма должны четко придерживаться законодательных нормативов. Например, есть возможность осуществлять с полученными сведениями такие операции, как:
- копирование;
- сбор, анализ и сохранение;
- изменение, дополнение, обновление;
- распространение;
- использование;
- систематизация и накопление;
- обезличивание;
- блокировка, уничтожение, удаление.
Но при этом установлены ограничения относительно продолжительности хранения и способа применения. Запрещено продолжать обрабатывать ПДн после достижения изначально поставленных целей и сроков.
Что касается требований к операторам персональных данных, то основными среди них являются:
- Отправка уведомления о начале проведения действий с ПДн сотрудников, клиентов с обязательным указанием адреса, Ф.И.О./названия организации, субъектов и типов обрабатываемых сведений, правового обоснования деятельности, списка операций, предпринятых мер обеспечения безопасности. Также нужно сообщить дату начала работ с ПДн, сроки и условия её завершения, наличие трансграничной передачи информации (передачи на территорию иностранного государства).
- Обеспечение защиты ПДн от несанкционированного доступа. На предприятии должен быть сотрудник, ответственный за внедрение и контроль операций, а также разработаны и интегрированы организационные и технические меры защиты. Для внедрения мер обеспечения безопасности требуется составить достаточной большой список локальных документов, начиная от должностных инструкций, заканчивая моделью актуальных угроз ПДн.
- Конфиденциальность информации. Операторы должны организовать свою деятельность таким образом, чтобы к ней имели доступ только уполномоченные лица, не происходило утечек, и не было случаев передачи ПДн третьей стороне без предварительного получения письменного согласия.
- Использование локальных ИСПДн — имеется ввиду необходимость хранения и обработки на российских серверах при сборе ПДн. При этом возможность дальнейшей трансграничной передачи не запрещена.
- Прекращение операций после истечения предусмотренного срока или достижения изначально установленных условий обработки. Кроме того, ФЗ-152 позволяет каждому субъекту написать заявление с просьбой отозвать согласие на использование его ПДн, после чего у фирмы или ИП есть 30 дней на исполнение данного требования, если конечно же нет законных оснований для продолжения обработки его ПДн.
Общее описание используемых способов и перечень действий
По закону предусматриваются следующие способы обработки:
- Сбор. Собирать данные можно как от физического, так и от юридического лица.
- Обработка. Переработка информации не занимает много времени. Но она позволяет содержать только достоверные данные в системе.
- Накопление. Накапливаются данные со временем – здесь всё зависит от того, как долго вы работаете оператором ПД и как много людей к вам обращается.
- Хранение. Хранить информацию нужно так, чтобы посторонние лица не смогли получить доступ к персональным данным того или иного человека.
- Уточнение. Если у человека что-либо поменялось, данные становятся неактуальными. Поэтому с определённой периодичностью их нужно уточнять.
- Применение. Использование данных доступно оператору для того, чтобы подтвердить или принять решения в юридической сфере. Они могут применяться в случае, если были затронуты права и свободы объекта.
- Распространение и передача информации обозначает дать возможность неограниченному кругу людей ознакомиться с данными, обнародовать персональную информацию, разместить её в информативных сетях или предоставить доступ к обработке тем или иным способом.
- Обезличивание представляет собой действия, при которых определить принадлежность персональных конкретному субъекту просто невозможно.
- Блокирование можно объяснить, как временное прекращение сбора информации, а также накопление, распространение данных и их последующая передача.
- Уничтожение информации – это проведение особых мероприятий, после которых восстановить содержание данных в системе будет невозможно.
Как стать таким специалистом?
Чтобы стать ОПД, вы или ваша компания должны пройти регистрацию в системе Роскомнадзора. После чего вы можете приступить к исполнению обязанностей.
Для того, чтобы попасть в реестр операторов, необходимо действовать согласно этому плану:
- Войти на сайт Роскомнадзора и заполнить форму.
- После выбрать название территориального органа, тип ОПД и внести информацию о юридическом лице.
- Заполненная форма распечатывается, а после подписывается и отправляется по почте в орган Роскомнадзора.
- Здесь информация об организации вносится в реестр операторов, которые обрабатывают их на протяжении 1-1,5 месяцев. Выписку из реестра легко получить в печатном виде или же на портале Роскомнадзора.
О том, как зарегистрироваться в Роскомнадзоре в качестве ОПД, читайте тут.
Как зарегистрироваться на сайте в качестве ОПД?
Для того, чтобы зарегистрироваться на сайте в качестве ОПД нужно:
- Подать уведомление в Роскомнадзор. Сделать это можно в интернете или в самой организации.
- В заявлении указывают текущее местонахождение и перечень данных, которые будут обрабатываться.
- Ожидание одобрения.
- Получение согласия на ведение деятельности уже через несколько дней. Оно выступит как подтверждение на деятельность ОПД.
- Скачать бланк уведомления об обработке персональных данных
- Скачать образец уведомления об обработке персональных данных
Как внести изменения?
Для того, чтобы внести изменения, нужно:
- Подать заявление в Роскомнадзор.
- В нём указать, какая информация устарела, а какая является достоверной.
- Ждать подтверждения не обязательно. Можно продолжать работать и дальше.
- Скачать бланк информационного письма о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных
- Скачать образец информационного письма о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных
Важно не забывать о внесении изменений, поскольку, если этого не сделать вовремя, будет назначен штраф.
О правилах внесения изменений в реестр ОПД мы рассказываем тут.
Где можно посмотреть реестр?
Что означает: “операция отменена из-за отсутствия вашей актуальной информации”?
Если операция была отменена по причине отсутствия у оператора ваших актуальных персональных данных, то для того, чтобы решить такую проблему, нужно обратиться в отделение Роскомнадзора. Причиной может быть частично устаревшая и неактуальная информация. В таком случае, её нужно обновить, подав специальное заявление.
Чтобы как можно быстрее разъяснить такую проблему, можно также написать оператору. Он поможет составить жалобу и решить вашу проблему с отменой операции в максимально короткие сроки.
Отличия в работе ОПД в городе и посёлке
Персональные данные, размещаемые на ресурсе оператора, доступны лишь узкому кругу людей. В городе управлять информацией могут несколько лиц, а в посёлке всего один, поскольку данных в разы меньше.
Информация, указанная при регистрации на сайте, может быть доступна сотрудника оператора и иным лицам, имеющим полномочия работать с ней. Вполне естественно, что помощников у оператора в городе будет больше, чем в посёлке из-за большого объёма работы.
Объединяет оператора ПД в городе и посёлке тот факт, что хранится вся собранная информация в специальной электронной базе данных.
Перечень документов
К основным документам, сопровождающим работу ОПД, можно отнести такие:
Политика
Политика ОПД включает в себя такие особенности:
- Обработка данных не автоматизирована, она может проводиться вручную.
- Обработка данных проводится в процессе передачи информации по телекоммуникативным и информационным сетям или же другим доступным способом.
- Обработка смешанного типа. Она проводится на усмотрение действующего оператора.
Больше информации о политике оператора в отношении обработки ПД найдете в специальной статье.
Положения
В настоящий момент положение является определением политики ОПД по отношению к обработке принятой информации от физических лиц. Он может использовать средства автоматизации или устанавливать процедуры, которые направлены на то, чтобы предотвратить нарушения законодательства РФ.
Положения созданы с целью обеспечить защиту прав и свобод субъектов данных при невыполнении норм и требований, которые регулируют обработку информации.
Действие положения не распространяется на такие отношения:
- Которые возникают при обработка данных сотрудников оператора. Они регулируются отдельным локальным актом.
- Которые не распространяется на Федеральный закон «О персональных данных» по ст. 1 п. 2.