Главная / Пенсионное страхование / Обработка хранение персональных данных оператором связи

Обработка хранение персональных данных оператором связи

Обработка хранение персональных данных оператором связи

5 шагов по организации учета и хранения персональных данных


Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);

  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.
  • Кроме того, в Законе о персональных данных упоминаются:

    1. специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
    2. биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

    Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

    1. документах о воинском учете, образовании, составе семьи;
    2. в паспорте или ином документе, удостоверяющем личность;
    3. трудовой книжке;
    4. справке

    Хранение персональных данных на зарубежном хостинге: если можно, то как?

    И столь же не современна, как калька.

    О какой именно информации идет речь? Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения».

    Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск. Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц.

    При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком. Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.

    Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку. Показателен в этом плане и вступающий в силу с 25 мая 2020 года регламент .

    В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно

    Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года Последнее обновление: 12 февраля 2016

    При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года – «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, — М., 1935, с. 326 – 339.) и Гваладахарской конвенции (

    «Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору»

    заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.Исходя из вышеизложенного, требования ч.

    5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов),

    Основы обработки персональных данных

    3.

    Обрабатываемый объем персональных данных не должен быть избыточным по отношению к целям их обработки; Получается, что интернет-магазин продающий носки может обрабатывать персональные данные покупателей, которые могут содержать информацию о предпочтениях, о маркетинговой активности, но персональные данные покупателя, говорящие о наличии у него, скажем, заболеваний, будут явно избыточными.
    4. При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки; Это необходимо в первую очередь для качественного и своевременного выполнения какого-либо юридически значимого действия, при котором используются персональные данные. Например, для непосредственной покупки товара.

    5. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. То есть если интернет-магазин закрывается, то базу персональных данных его покупателей нельзя оставлять «врагам», необходимо ее хотябы обезличить.

    1. Сбор При сборе персональных данных с посетителей сайта мы рекомендуем в любом случае указывать: наименование оператора; цель обработки персональных данных и ее правовое основание; предполагаемые пользователи персональных данных; установленные законом права субъекта персональных данных;

    Положение о порядке хранения и защиты персональных данных пользователей

    Общие положения 2.1. Положение о порядке хранения и защиты персональных данных Пользователей Сайта (далее — Положение) разработано с целью соблюдения требований законодательства РФ, содержащих персональные данные и идентификации Пользователей, находящихся на Сайте.

    2.2. Положение разработано в соответствии с Конституцией РФ, Гражданским кодексом РФ, действующим законодательством РФ в области защиты персональных данных. 2.3. Положение устанавливает порядок обработки персональных данных Пользователей Сайта: действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), уничтожению персональных данных.

    2.4. Положение устанавливает обязательные для сотрудников Оператора, задействованных в обслуживании Сайта, общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные Пользователей Сайта. 2.5. В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Российской Федерации.

    2.6. Целями Положения являются: – обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну; – исключение несанкционированных действий сотрудников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности недокументированной информации Пользователей Сайта; защита конституционных прав граждан на личную тайну, конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности Пользователей Сайта. 2.7.

    Закон «О персональных данных» и практика его применения в российской действительности. Часть 2

    Однако ответственность за хранение и обработку данных в любом случае остается на изначальной компании, то есть на Вас.

    Поэтому подходить к выбору партнера в этом деле нужно довольно тщательно. В зависимости от типа деятельности и собираемой информации Ваша компания и Ваш партнер должны иметь те или иные лицензии. Как итог, руководствуемся принципом – если Вашей компании для работы с информацией нужна конкретная лицензия, то она обязательно должна быть и у Вашего партнера при передаче обработки данных.

    Какие лицензии Вам нужны? Это зависит от типа Вашей деятельности и собираемой информации. Если Ваш бизнес предполагает только сбор информации о клиентах, а услуги при этом не включают в себя предоставление связи (к примеру, Вы – салон красоты, собираете данные о клиентах на сайте, чтобы организовать работу по записи), Вам не нужна никакая лицензия (кроме лицензий на, возможно, медицинские услуги в салоне).
    Тут все довольно просто. А если Вы, так или иначе, предоставляете услуги связи на своем оборудовании (Вы – провайдер интернета, хостер сайтов и тому подобное), то, согласно закону «О связи» предоставление услуг связи с использованием своего оборудования требует наличие лицензии Роскомнадзора на предоставление телематических услуг связи, а так же услуг связи без передачи голосовой информации.

    Данная лицензия подразумевает, что компания-оператор имеет свой собственный сертифицированный узел связи, через который осуществляется вся деятельность по предоставлению услуг. Алгоритм получения данной лицензии состоит в подаче заявлений установленного образца, оплаты госпошлины.

    5 мифов о персональных данных

    Чтоб оценить риски привлечения к ответственности рассмотрим 5 наиболее популярных мифов о персональных данных, блуждающих в умах интернет-сообщества.

    На первый взгляд так и есть.

    «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»

    (ч.1 ст.3 ФЗ «О персональных данных»).Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна. Проверим тезис на информации о номере телефона или адресе электронной почты.

    У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса.

    Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.

    Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

    Если у вас остались сомнения в такой трактовке нормы, можно ознакомиться с первоисточником на сайте Роскомнадзора. Дословно норма Конвенции о защите физических лиц при автоматизированной обработке персональных данных звучит так: «Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (»субъекта данных»)» (ст.2 Конвенции).Другими словами пока мистер «Х» вам не известен вы можете хранить о нем данные без нарушений.

    Хранение и обработка персональных данных.

    Инструкция

    Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.

    Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе).

    Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

    Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

    Помимо получения согласия на обработку персональных данных есть еще одна бюрократическая сложность. В некоторых случаях необходимо уведомлять Роскомнадзор о том, что Ваша организация обрабатывает персональные данные.

    Как только такое уведомление Роскомнадзор получает, Вашу организацию могут включить в список плановых проверок.

    Редакция как оператор персональных данных

    Другими словами, редакция СМИ обрабатывает персональные данные своих сотрудников, подписчиков, читателей, пользователей сайта, героев публикаций, рекламодателей, иных контрагентов. Соответственно, редакция является оператором ПД, даже если состоит из одного человека и не имеет юрлица.

    Действия оператора ПД делятся на: (1) меры, направленные на защиту ПД (ст. 18.1 №152-ФЗ «О персональных данных») и (2) меры по обеспечению безопасности данных при их обработке (ст.

    19 №152-ФЗ «О персональных данных»). Оператор самостоятельно определяет состав и перечень мер,

    «необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством»

    .

    Почему так? Все организации разные, им требуется разное количество персональных данных, которые нужно обрабатывать. Оператор обязан:

    1. предоставить по запросу субъекта данных информацию о его данных;
    2. опубликовать или иным способом обеспечить доступ к документам, определяющим политику конфиденциальности организации (если сбор ПД осуществляется на сайте, политику конфиденциальности нужно разместить так, чтобы рядовой пользователь мог легко обнаружить документ);
    3. по запросу Роскомнадзора предоставить документы, обеспечивающие обработку персональных данных.
    4. самостоятельно определить состав и перечень мер, необходимых для соблюдения законодательства;
    5. хранить личные сведения граждан с использованием баз данных только на территории РФ;

    Для соблюдения требований закона необходимо:

    Для операторов связи обновили правила хранения и подтверждения данных абонентов

    Этот пункт постановления вступит в силу с 1 июля 2020 года. Напомним, что так называемый , который возлагает на операторов связи дополнительные обязанности, в том числе по хранению информации о фактах приёма, передачи, доставки и обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- и иных сообщений, вступит в силу также с 1 июля 2020 года.

    Кроме того, правила взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность, порядком взаимодействия по вопросам подтверждения соответствия персональных данных фактических пользователей сведениям, заявленным в абонентских договорах оператора связи. Запрос на подтверждение соответствия персональных данных фактических пользователей сведениям, заявленным в абонентских договорах оператора связи, направляется уполномоченными органами в ФСБ оператору связи. В запросе отражаются все обнаруженные несоответствия персональных данных фактических пользователей сведениям, заявленным в абонентских договорах.

    Количество запросов на подтверждение соответствия персональных данных фактических пользователей услуг телефонной связи сведениям, заявленным в абонентских договорах оператора связи, направляемых уполномоченными органами, в зависимости от выделенного Федеральным агентством связи оператору связи ресурса нумерации на дату направления запроса, не должно превышать: 0,3% общего количества выделенных номеров в течение 15 суток; 0,6% общего количества выделенных номеров в течение календарного месяца;

    Оператор персональных данных

    Отдельной категорией идут те данные, на предоставление которых сам гражданин дал согласие, например, адрес и номер телефона в справочной службе 09.В целом закон «О персональных данных» призван обеспечивать право каждого гражданина на неприкосновенность личной жизни и защиту в случае наличия нарушений.

    Исходя из выше приведенной классификации, предъявляются разнообразные требования по обеспечению сохранности сведений. Для первой категории требования жестче, чем ко всем остальным.

    – юридическое лицо, которое в силу своей деятельности занимается информации о действующих и потенциальных клиентов и сотрудниках.

    Размеры организации при этом никакого значения не имеют, как и форма ее собственности.На практике оператором является любая организация, в которой есть наемный труд. Ведь трудоустройство невозможно без заполнения анкеты с довольно подробным перечнем сведений о себе, а также подачи личных документов, причем со всех снимаются копии, информация вносится в бухгалтерские программы и т.д.Главное требование законодательства РФ, предъявляемое к операторам, это обеспечение сохранности тех данных, которые получила организация в процессе деятельности.Нормы, согласно которым обеспечивается охрана, установлены в упомянутом законе, также могут уточняться нормативными актами, так называемых регуляторов Работодатель должен организовать , отработанного сотрудником фактически.

    Ответы Роскомнадзора на вопросы о персональных данных

    2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных; 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи; 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

    Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

    Персональные данные – 2020: как избежать штрафов

    предупреждение или штраф — от 30 000 до 50 000 руб.

    Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.

    от 10 000 до 20 000 руб. от 15 000 до 75 000 руб.

    Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн от 700 до 1500 руб. от 3000 до 6000 руб. от 15 000 до 30 000 руб.

    от 5000 до 10 000 руб. Непредоставление субъекту ПДн информации по их обработке предупреждение или штраф — от 1000 до 2000 руб. предупреждение или штраф — от 4000 до 6000 руб. предупреждение или штраф — от 20 000 до 40 000 руб.

    предупреждение или штраф — от 10 000 до 15 000 руб. Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб.

    предупреждение или штраф — от 4000 до 10 000 руб. предупреждение или штраф — от 25 000 до 45 000 руб. предупреждение или штраф — от 10 000 до 20 000 руб.

    Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования от 700 до 2000 руб. от 4000 до 10 000 руб. от 25 000 до 50 000 руб.