В 2011 году Роскомназдор начал плановые проверки соблюдения закона 152-ФЗ «О персональных данных», принятого еще в 2006 году. Результаты проверок впечатляют : огромные штрафы, заведение уголовных дел, приостановление деятельности.
В общем-то, это не удивительно. Вопрос защиты персональных данных (ПД) для многих работодателей — сплошное белое пятно. Как защищать эти ПД? От кого? Как все оформить? И, главное, какие сведения относятся к таким данным? Несколько статей мы посвятим ответам на эти вопросы.
Для начала проверьте, есть ли Ваша компания в планах проверки на следующий год:
План проверок находится в открытом доступе на сайте www.rsoc.ru.
Основные положения закона, которые должен знать ИП.
- Персональные данные (ПД) человека (субъекта ПД) – это его собственность.
- ПД не могут использоваться никем без согласия субъекта.
- Использование ПД может осуществляться только при определенных условиях.
- Каждый субъект ПД имеет право знать, у кого хранятся его данные, как они хранятся.
- Субъект ПД может потребовать ознакомления со своими ПД, уточнить их, блокировать или даже уничтожить.
Что такое ПД?
Это любая информация, относящаяся к субъекту ПД. Вот так, ни больше, ни меньше.
Т.е. все, что можно сказать о человеке:
фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Нужно ли с работников брать согласие на обработку ПД?
Если субъект ПД состоит с Вами в договорных отношениях (трудовой договор), то это уже предполагает его разрешение на хранение и использование его ПД. С работников письменные согласия брать не нужно.
Кроме того, если сведения о работниках мы передаем в какие-либо организации (в Пенсионный фонд, в налоговую службу, в военкомат, в службу занятости и т.п.) на основании федеральных законов, то согласия работника на это тоже не требуется.
А если Вы передаете сведения о работнике, например, в банк для оформления зарплатных карточек, или собираете данные о своих покупателях или клиентах для поддержания с ними связи и рассылки рекламных сообщений, то у каждого нужно взять письменное заявление-согласие.
Согласие должно содержать:
- фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Учтите, что каждый оператор (а работодатель является тоже оператором, обрабатывающим ПД) должен направлять в Роскомнадзор уведомление об обработке персональных данных.
НО! Если Вы обрабатываете ПД только своих работников и (или) лиц, которые состоят с Вами в каких-либо договорных отношениях, используете полученные ПД только для исполнения договора, а передаете ПД третьим лицам только в соответствии с федеральными законами РФ, то уведомлять Роскомнадзор не нужно. (п.2 статьи 22 ФЗ «О персональных данных»).
В следующей статье я расскажу, как составить Положение о защите персональных данных.
В комментариях Вы можете задавать вопросы.
Добрый день! Разъясните пожалуйста. ИП без наемных работников осуществляет услуги по ремонту транспортных средств и реализации запасных частей. Расчет с юр. лицами происходит путем перечисления ДС на расчетный счет, при этом соответственно чтобы выставить счет запрашивается карточка с реквизитами. Сведения хранятся в программе, так как услуги оказываются неоднократно. Третьим лицам не передаются. Необходимо мне уведомлять Роскомнадзор? являюсь ли я оператором ПД?
Добрый день, Валерия.
Вы являетесь оператором ПД. Уведомлять Роскомнадзор не нужно.
Здравствуйте, по специальности я журналист, но работаю в музею, готовлю документально-публицистическую книгу памяти об односельчанах. В книге использованы документы, переданные родственниками, архивные данные, воспоминания, рукописи. Нужно ли брать у родственников согласие на обработку персональных данных? Спасибо за ответ.
Здравствуйте, Анна.
Ваша деятельность относится к тем случаям, когда получать согласия не нужно:
«6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных».
Здравствуйте
Я ИП, занимаюсь разработкой сайтов и поддержкой сайтов. На сайте есть форма обратной связи (заказа) с запросом имени, емейла и телефона клиентов. Данные приходят на почту яндекса. На втором сайте есть аналогичные поля + форум с личным кабинетом для форумчан. Оба сайта размещаются на сервере хостинг-компании.
В данном случае какие действия мне необходимо выполнить и нужно ли регистрироваться в качестве оператора данных?
Добрый день! Наша организация заключает договор на поставку и оказание услуг с физическими и юр.лицами, при этом клиенты представляют свои персональные данные: фамилию, имя, отчество, адрес проживания, телефон, адрес регистрации, паспортные данные, эти данные третьим лица не передаются.
Я так понимаю, что соглашение от клиентов на обработку данных в нашем случае не требуется так как отношения договорные( в соответствии со ст.6 п.5 ФЗ-152), но возникает такой вопрос: все персональные данные хранятся как на бумажных носителях так и в автоматизированной системе в течении неограниченного срока. Используются в целях контроля качества ( посредством телефонных звонков сразу после исполнения обязательств по договору), и гарантийного и постгарантийного обслуживания. Правомерна ли обработка ПД в этом случае без согласия клиента?
Здравствуйте, Светлана.
По закону ПД должны уничтожаться сразу после исполнения договора. Поскольку вы храните и обрабатываете их больше положенного срока, то согласие брать с клиентов нужно. Иначе в случае проверки вас могут наказать.
Составьте текст письменного согласия и давайте подписать его клиенту вместе с договором.
Доброе утро Анна! спасибо за ответ! Отдельным документом согласие на обработку ПД будет усложнять и без того долгий процесс оформления договора и заказчику не комфортно подписывать лишние бумаги (именно в нашем случае, т.к. при оформлении производятся различные расчеты технического плана и в среднем на оформление дог уходит около 40 минут и бумаг подписывается немало, что в большинстве случаев раздражает зак-ка). Можно ли упростить этот момент и включить отдельным пунктом в договор на оказание услуг?
Включите в договор пункт о сроке хранения ПД клиента в вашей базе. Укажите, какие именно данные и для чего вы будете хранить, как клиент может отозвать свое согласие (что должен сделать,чтобы вы уничтожили его ПД в базе).
Не факт, что этот вариант устроит проверяющих.
Спасибо, еще такой вопрос, в соответствии с какой статьей ПД должны уничтожаться сразу после исполнения договора
пункт 7 статьи 5 Закона №152-ФЗ «О персональных данных»
Добрый День, ИП, планируем предоставлять услуги по Аунтификации авторизации, для юр лиц и ип, имеющий публичные вай фай точки. При этом по закону , человек пользователь обяза произвести канеолюдивные действия с указанного им же мобильного телефона. То есть Мы получаем данные о его мобильном телефоне, нужна ли лицензия на обработку персональных данных?
Здравствуйте, Дмитрий.
Давайте разберемся с терминами.
Во-первых, лицензии на обработку ПД не существует. Есть лицензия только на техническую защиту конф. информации (Постановление правительства от 3.02.2012 №79)
Во-вторых, зачем? Для собственных нужд получать лицензию не надо. Лицензия нужна, если вы будете оказывать услуги по тех.защите информации. Вам необходимо сделать только те действия, которые предусмотрены законом «О персональных данных».
Тогда буду признателен за консультацию. Наша компания предоставляет услуги по аунтификации и авторизации пользователя при организации доступа к интернету юридическими лицами кафе, кинотеатры и другие места скопления потребителей.
Вот документ который обязывает организовывать доступ:
ПОСТАНОВЛЕНИЕ от 31 июля 2014 г. N 758 О ВНЕСЕНИИ ИЗМЕНЕНИЙ В НЕКОТОРЫЕ АКТЫ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В СВЯЗИ С ПРИНЯТИЕМ ФЕДЕРАЛЬНОГО ЗАКОНА «О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ФЕДЕРАЛЬНЫЙ ЗАКОН «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ» И ОТДЕЛЬНЫЕ ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ПО ВОПРОСАМ УПОРЯДОЧЕНИЯ ОБМЕНА ИНФОРМАЦИЕЙ С ИСПОЛЬЗОВАНИЕМ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ»
Каких лицензий нам будет достаточно?
Дмитрий,
я специалист по кадровым документам, а не по лицензированию. К сожалению, это не моя тема, с трудовыми отношениями ваша ситуация не связана.
Добрый день, скажите, есть ИП, которая занимается торговлей, сеть магазинов. Есть работники, ведутся трудовые (есть копия паспорта, снилс и инн, больших дел, анкет и прочего не собирается. Пока что никаких документов у ип по работе с персональными данными нет. Недавно начали выдавать покупателем в магазине дисконты, при этом у них берется фио и телефон с электронной почтой. Готовится к запуску сайт — интернет-магазин , где будет регистрация пользователей, они будут при оформлении писать свои фио телефоны, иногда адреса. Нужно ли разрабатывать какое-то положение о персональных данных отдельное? И надо ли в таком случае сообщать об этом контролирующим органам? Как тогда поступить — придется вводить положение о ПД в организации вообще? Какой датой лучше это сделать, ведь раньше этого в компании не велось? Или для обработки данных покупателей нужны отдельные документы? Заранее спасибо за ответ. Везде как-то все больше освещают отношения работодатель — работник, а вот найти информацию по ПД в отношениях организация — клиент гораздо сложнее, или все это может быть проведено одним набором документов, просто еще добавить отдельные согласия для покупателей?
Здравствуйте, Татьяна.
Документы по организации работы с ПД у вас должны быть обязательно, ведь вы обрабатываете данные своих работников. А теперь еще добавились ПД клиентов.
1. У вас должны быть:
— локальный акт о защите ПД (как его разрабабтывать —
http://slob-expert.ru/trudovoe-zakonodatelstvo/sostavlyaem-polozhenie-o-zashhite-personalnyx-dannyx-ch-1/ )
— обязательства (или расписки) о неразглашении ПД от всех лиц, которые по работе видят эти ПД
— письменные согласия ваших клиентов на обработку их ПД (это согласие можно включить в анкету, которую они заполняют для получения дисконтной карты)
— Политика конфиденциальности должна быть также на сайте, при введении своих данных клиенты будут ставить галочку «согласен» или «принимаю». Ведь у таких клиентов нельзя взять письменное согласие.
Локальный акт о ПД будет предусматривать правила работы как с ПД работников, так и с ПД клиентов. Отдельный не обязательно.
2. Разработать и принять локальный акт о ПД можно сейчас.
3. Сообщать в Роскомнадзор не нужно. Думаю, что ваша деятельность подпадает также под п.2. ст. 22 ФЗ «О персональных данных».
Здравствуйте, я собираю данные о своих известных земляках для издания книги. Многие данные предоставлены мне ими лично или их ближайшими родственниками. Нужно ли мне получать письменное согласие на публикацию и нужно ли уведомлять об этом Роскомнадзор?
Роскомнадзор ведомлять не нужно. Думаю, что и получать письменные согласия тоже не нужно, поскольку ваша деятельность, на мой взгляд, подпадает под действие п.6, в статье, которая перечисляет случаи, когда получать согласия не нужно:
«6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных».
У родителей маленькая семейная гостиница (всего 8 номеров-16 мест). Работают по вмененке только с физ.лицами, без ККМ и наемных рабочих. На руки клиентам выдается договор о временном размещении в меблированных комнатах; акт приема- передачи комнаты; счет и квитанция к приходному ордеру. В договоре указываются данные клиента: паспортные данные-серия номер, дата выдачи и данные прописки. Нужно ли в договоре еще прописывать что в соответствии с таким-то таким законом клиенет дает согласие на указание этих данных в договоре. Никаким третьим лицам эти данные не передаются. Один экземпляр отдается клиенту, другой остается у нас на случай проверки.
Уважаемая Елена, согласия клиентов на обработку данных в вашем случае не требуется, так как все клиенты состоят с Вами в договорных отношениях (договор о временном размещении).
Здравствуйте! У меня тоже есть вопрос 🙂 Я собираюсь публиковать статьи др.авторов. в т.ч. и несовершеннолетних детей (сочинения, рассказы). Обязательно ли нужно получить с них согласие на публикацию персональных данных? И если да, то надо будет уведомить Роскомнадзор??? Спасибо
Здравствуйте, Алла!
Встречный вопрос: какие данные Вы будете публиковать и запрашивать у авторов?
В любом случае уведомлять Роскомнадзор Вам не нужно, а получать согласия авторов все же необходимо. Бремя доказывания, что вы использовали ПД с согласия субъекта, лежит на Вас. За несовершеннолетних детей согласия дают родители (законные представители).
Здравствуйте, подскажите пожалуйста, мы работаем в сфере продаж авиа-жд билетов, нужно ли нам с каждого пассажира брать согласие на обработку персональных данных, если да, то можно ли на корочке билета проставлять штамп, где будет указано «Даю согласие на обработку персональных данных и брать с пассажиров подпись? Благодарю за ответ.
Здравствуйте, Наталия!
Чтобы дать правильный ответ, уточните, пожалуйста, какие ПД и для чего Вы запрашиваете.
Для оформления билетов как на самолеты, так теперь и на поезда , пассажир должен предоставить номер паспорта, ФИО, дату рождения, место рождения и гражданство. Для оформления авиабилетов в бронь также вносится и контактная информация (телефон, e-mail)
Думаю, что письменного согласия с пассажиров брать не нужно. Обработка ПД в вашей компании подпадает под пункт 5 части 1 статьи 6 152-ФЗ, в которой перечисляются случаи, когда согласия от субъекта ПД не требуется:
«обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем».
Спасибо!!!!
Я ИП, оказываю бух.услуги физическим и юридическим лицам. В компьютере остаются данные моих клиентов, которые нужны будут в других отчетных периодах. Есть разовые услуги и их много. Они тоже остаются у меня в базе данных. Должна ли я с них брать заявление-согласие на ПД.
Хороший вопрос )
Вы оказываете услугу, т.е. вам доверяют персональные данные другие юр.лица и ИП. Поэтому Вы должны давать расписку о неразглашении ПД своим заказчикам.
На этой неделе будут опубликованы три статьи на эту тему. Думаю, в них вы найдете ответы на многие вопросы.