Реестр персональных данных

Разработка пакета внутренних документов по защите персональных данных, является основной и первоочередной организационной мерой при внедрении комплексной системы защиты персональных данных. Именно документы по защите персональных данных проверяются в первую очередь контролирующими органами при проведении государственного контроля.

В целях предотвращения утечки и неправомерного использования личной информации физических лиц власти РФ законодательно закрепили обязанность каждого оператора ПДн выполнять ряд требований, связанных с обеспечением защиты персональных данных. Разработка организационно-распорядительной документации входит в комплекс мероприятий, предусмотренных ФЗ № 152 наряду с необходимостью назначения ответственных лиц, корректировки бизнес-процессов и осуществления внутреннего контроля.

Документы должны быть у каждой компании, физического лица, муниципального органа и прочих организаций, которые занимаются обработкой и другими операциями с ПДн. Их тщательно изучают в рамках проверок сотрудники Роскомнадзора и Роструда и при выявлении нарушений накладывают штрафы. Особенно серьезно к данному вопросу следует подойти тем, кто в дальнейшем будет проходить аттестацию ФСТЭК: если не привести журналы, приказы, инструкции и т.д. в соответствие с установленными требованиями, то аттестат не выдадут до исправления ошибок.

К сожалению, реалией нашего времени является отсутствие в штате компаний специалиста, хорошо разбирающегося в вопросах обработки и защиты персональных данных, а обучение уже существующего работника предполагает отрыв его от основных обязанностей и налагает серьезные финансовые затраты. Именно поэтому привлечение профессиональных исполнителей на договорной основе является сейчас наиболее выгодным выходом из сложившейся ситуации.

Оказывая полный спектр услуг в сфере обеспечения информационной безопасности, наш Центр предлагает профессиональную помощь в урегулировании любых проблем. С нами разработка документов по защите персональных данных займет минимум времени, не потребует чрезмерных финансовых затрат и выделения сотрудников из штата — наши специалисты подготовят пакет бумаг на основании предоставленных вами сведений. Сроки и стоимость услуг оговариваются в индивидуальном порядке с учетом объема и сложности работ.

Содержание

Целесообразность самостоятельной подготовки документации

Обращение к специалистам при необходимости составления организационно-распорядительных бумаг и приведения их в соответствие с ФЗ-152 — оптимальное решение как для крупной компании, так и для предпринимателя, поскольку:

  • весь перечень работ осуществляется в формате аутсорсинга — персонал может продолжать выполнение должностных обязанностей;
  • исключена вероятность ошибок, поскольку документы составляют профессионалы, которые разбираются в статьях закона и связанных с ним подзаконных актах;
  • от момента заказа услуги до получения документации проходит в среднем 7-10 дней, что позволяет быстро подготовиться к проверкам и аттестационным мероприятиям;
  • есть возможность комплексного обслуживания — вы можете поручить сотрудникам центра оценку эффективности ПДн, интеграцию системы защиты персональных данных, аудит и т.д.

Разработка документов по персональным данным в организации согласно действующим правовым нормативам

Центр безопасности данных является высокопрофессиональным интегратором систем защиты персональных данных. В штате нашей компании присутствуют как специалисты технического, так и юридического профиля, которые в синтезе дают прекрасное сочетание для разработки различных комплектов документации, соответствующих предъявляемым техническим требованиям и правовым нормам.

Подготовка документации по ПДн осуществляется на основе тщательного изучения положений не только ФЗ-152, но и Постановлений Правительства и других нормативных актов, регулирующих вопросы обеспечения безопасности личных сведений граждан при их хранении и обработке. Наш центр разрабатывает документы с учетом Приказа ФСТЭК РФ № 21 от 18 февраля 2013 года и Постановления Правительства № 1119 от 01.11.2012. Как лицензиат Федеральной службы по техническому и экспортному контролю мы точно знаем, какие требования предъявляются данной организацией, что позволяет эффективно помогать компаниям, нацеленным на прохождение аттестации.

Пакет документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей компании и состоит из более чем 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.

В ходе работ разрабатываются общие документы (концепции, положения, приказы, инструкции, планы, перечни, формы уведомлений и запросов) и индивидуальные для каждой Информационной системы персональных данных документы (модели угроз, описания, акты классификации, технические задания и т.п.)

В зависимости от особенностей деятельности предприятия или ИП, эксперты Центра составляют уведомление в Роскомнадзор о факте обработки персональных данных для включения в реестр, а также разрабатывают индивидуальный пакет документов, который включает:

  1. Приказы, определяющие ответственных лиц по вопросам безопасности ПДн, границ зоны контроля, создания режима обеспечения защиты данных и ограничения доступа, организации защитных мероприятий, а также уполномоченных за проведение и анализ результатов внутренних проверок. Также в комплект входят приказы, регулирующие оборот криптографических средств защиты ПДн (если они применяются) и проведение ознакомительных мероприятий для сотрудников.
  2. Положения об организации процесса обработки сведений, в том числе без применения средств автоматизации, и обеспечения их безопасности.
  3. Списки персональных данных, сотрудников, которые имеют допуск к их обработке, и ИСПДн.
  4. Журналы учета сотрудников с правом доступа к СЗПДн (средствам защиты, техническим документам и т.д.), обработке персональных данных, а также проведенным надзорными органами проверок и фиксации обращений субъектов ПДн.
  5. Акты, определяющие вероятный вред субъектам персональных данных и оценивающие текущий уровень информационной защищенности.
  6. Инструкции по организации работы с персоналом для ознакомления с нормативами законодательства, защиты и правил работы в информационной системе ПДн, внедрения антивирусов и паролей, а также обновления ПО и поведения сотрудников в непредвиденных обстоятельствах.
  7. Регламенты осуществления внутреннего контроля на предприятии, реагирования на нарушения и правила обращения с флеш-накопителями и другими машинными носителями ПДн съемного типа.
  8. Форма письменного согласия субъекта на обработку личных сведений.

Разрабатываемые документы полностью соответствуют нормам действующего законодательства Российской Федерации о персональных данных.

Этапы взаимодействия с клиентом при заказе услуги

Наш Центр нацелен на предоставление максимально быстрой и квалифицированной помощи, при этом мы в индивидуальном порядке подходим к разработке документации для каждого клиента. Оказание услуги проходит в несколько этапов:

  1. Первичная консультация, обсуждение деталей и заключение официального соглашения, где прописаны обязанности и ответственность сторон, сроки и другие важные моменты сотрудничества.
  2. Сбор и анализ информации.
  3. Подготовка документов по защите персональных данных в течение оговоренного периода. Документация будет адаптирована под вашу деятельность и законодательные нормативы.
  4. Передача документации вместе с инструкциями и рекомендациями по интеграции.

Преимущества нашего решения по разработке документов

Вы получите полный комплект документов, регламентирующих вопросы защиты персональных данных для вашей компании, что позволит вам пройти проверки контролирующих органов (Роскомнадзора, Роструда) в области персональных данных.

Комплект документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей организации и состоит более чем из 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.

Документы будут разработаны «под ключ» с учетом направления деятельности вашей организации и индивидуальных внутренних бизнес-процессов. Разрабатываемые документы соответствуют нормам действующего законодательства Российской Федерации о персональных данных.

Вы получите шаблоны запросов, уведомлений и писем-ответов, необходимых для взаимодействия с контролирующими органами, субъектами персональных данных и третьими лицами.

Вы получите общее понимание вопросов обработки персональных данных и представление о дальнейших действиях по построению комплексной системы защиты персональных данных.

Приведем обработку персональных данных в вашей компании в соответствие требованиям Федерального закона №152-ФЗ Заказать подготовку

В соответствии пунктом 2 статьи 3 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом указанные органы и лица являются операторами независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Другие вопросы по теме

  • В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
  • В каких случаях оператор вправе обрабатывать персональные данных без согласия субъекта персональных данных?
  • Каким образом можно отозвать согласие на обработку персональных данных?
  • Какие действия могут быть предприняты субъектом персональных данных при нарушениях требований законодательства Российской Федерации в области персональных данных?

I. Общие положения

Настоящие Положение о политике конфиденциальности (далее — Положение) является официальным документом ООО «ЮниФактор», расположенного по адресу: 127473, г. Москва, пл. Суворовская, д. 1/52 корп. 1 офис 430 (далее — «Компания»/ «Оператор»), и определяет порядок обработки и защиты информации о физических лицах (далее — Пользователи), пользующихся сервисами, информацией, услугами сайта, расположенного на доменном имени unifactoring.ru (далее — Сайт).

Соблюдение конфиденциальности важно для Компании, ведь целью данной Политики конфиденциальности является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, от несанкционированного доступа и разглашения.

Мы разработали Политику Конфиденциальности, которая описывает, как мы осуществляем обработку персональных данных — любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Отношения, связанные с обработкой персональных данных и информации о пользователях Сайта, регулируются настоящим Положением, иными официальными документами Оператора и действующим законодательством РФ.

Обработка персональных данных осуществляется нами на законной и справедливой основе, действуя разумно и добросовестно и на основе принципов:

  • законности целей и способов обработки персональных данных;
  • добросовестности;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.

Настоящая Политика Конфиденциальности регулирует любой вид обработки персональных данных и информации личного характера (любой информации, позволяющей установить личность, и любой иной информации, связанной с этим) о физических лицах, которые являются потребителями работ или услуг Компании.

Настоящая Политика распространяется на обработку личных, персональных данных, собранных любыми средствами, как активными, так и пассивными, как через Интернет, так и без его использования, от лиц, находящихся в любой точке мира.

Целью принятия Политики является выполнение требований законодательства в области защиты персональных данных (п.2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).

Политика разработана в соответствии с требованиями законодательства в области защиты персональных данных, основанного на Конституции Российской Федерации и состоящего из Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и других федеральных законах и подзаконных актах, определяющих случаи и особенности обработки персональных данных.

II. Сбор персональных данных

Целью обработки персональных данных является выполнения обязательств Оператора перед Пользователями в отношении использования Сайта и его сервисов.

Обработка персональных данных пользователей осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иными законами.

Пользователь соглашается на обработку персональных данных при заполнении и отправке форм обратной связи на Сайте, таких как «Закажите звонок».

Перед заполнением указанных форм мы предварительно предупреждаем пользователя о том, что, проставляя галочку в окошке «Даю согласие на обработку персональных данных» Пользователь соглашается на обработку своих персональных данных.

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных) и которая может быть использована для идентификации определенного лица либо связи с ним.

Мы можем запросить у Вас персональные данные в любой момент, когда Вы связываетесь с Компанией. Компания может использовать такие данные в соответствии с настоящей Политикой Конфиденциальности. Она также может совмещать такую информацию с иной информацией для целей предоставления и улучшения своих работ, услуг, информационного наполнения (контента) и коммуникаций.

Ниже приведены некоторые примеры типов персональных данных, которые Компания может собирать, и как мы можем использовать такую информацию.

КАКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ МЫ СОБИРАЕМ

Мы можем собирать различные данные/информацию, включая:

  • фамилию, имя и отчество;
  • контактный номер телефона;
  • адрес электронной почты.

Персональные данные могут также включать в себя дополнительно предоставляемые Пользователями по запросу Оператора в целях исполнения Оператором обязательств перед Пользователями, вытекающих из договора на оказание услуг. Оператор вправе, в частности, запросить у Пользователя копию документа, удостоверяющего личность, либо иного документа, содержащего имя, фамилию, фотографию Пользователя, а также иные дополнительные данные, которые, по усмотрению Оператора, будут являться необходимыми и достаточными для идентификации такого Пользователя и позволят исключить злоупотребления и нарушения прав третьих лиц (в частности: дата и место рождения, паспортные данные (серия, номер, кем и когда выдан, код подразделения), адрес регистрации и постоянного места жительства, документы об образовании и профессии, семейное положение).

Когда Вы привлекаете к нашим мероприятиям и активностям других лиц или приглашаете их к коммуникациям с нами, Компания может собирать предоставляемые Вами персональные данных об этих лицах, такие как: имя, фамилия, дата рождения, почтовый адрес, адрес электронной почты и номер телефона.

При обработке персональных данных нами обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

III. Хранение и использование персональных данных

Персональные данные Пользователей хранятся на электронных и/или бумажных носителях на территории Российской Федерации и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

КАК МЫ ИСПОЛЬЗУЕМ ВАШУ ПЕРСОНАЛЬНУЮ ИНФОРМАЦИЮ

Собираемые нами персональные данные прежде всего позволяют направлять Вам уведомления о новых продуктах, специальных предложениях и различных событиях. Они также помогает нам улучшать наши услуги, контент и коммуникации. Если Вы не желаете быть включенным в наш список рассылки, Вы можете в любое время отказаться от рассылки путём информирования нас по указанным контактам для обратной связи, а также внесения изменений в настройках вашего профиля на сайте.

Время от времени мы можем использовать Ваши персональные данные для отправки важных уведомлений, содержащих информацию об изменениях наших положений, условий и политик, а также подтверждающих размещенные Вами заказы и совершенные покупки. Поскольку такая информация важна для Ваших взаимоотношений с Компанией, Вы не можете отказаться от получения таких сообщений.

Мы можем использовать персональную информацию о своих сотрудниках в рамках действующего трудового законодательства.

Мы можем использовать персональную информацию для заключения договоров с Пользователями или третьими лицами, которые предоставили нам свои персональные данные.

Мы также можем использовать персональную информацию для внутренних целей, таких как: проведение аудита, анализ данных и различных исследований в целях улучшения работ и услуг Компании, а также взаимодействие с потребителями.

Если Вы принимаете участие в розыгрыше призов, конкурсе или похожем стимулирующем мероприятии, мы сохраняем за собой право использовать предоставляемые Вами персональные данные для управления такими программами.

СБОР И ИСПОЛЬЗОВАНИЕ ИНФОРМАЦИИ, НЕ ЯВЛЯЮЩЕЙСЯ ПЕРСОНАЛЬНОЙ

Мы также собираем персональные данные, не являющиеся персональными − данные, не позволяющие прямо ассоциировать их с каким-либо определённым лицом. Мы можем собирать, использовать, передавать и раскрывать информацию, не являющуюся персональной, для любых целей. Ниже приведены примеры информации, не являющейся персональной, которую мы собираем, и как мы можем её использовать:

Мы можем собирать персональные данные, такие как: сведения о роде занятий, языке, почтовом индексе, местоположении и временной зоне, в которой используются те или иные работы и услуги, для того чтобы лучше понимать поведение потребителей и улучшать наши работы, услуги и коммуникации.

Мы можем также собирать персональные данные/информацию о том, чем интересуется пользователь на нашем веб-сайте при использовании других наших продуктов и сервисов. Такие персональные данные/информация собирается и используется для того, чтобы помочь нам предоставлять более полезную информацию нашим покупателям и для понимания того, какие элементы нашего сайта, продуктов и услуг наиболее интересны. Для целей настоящей Политики Конфиденциальности совокупные данные рассматриваются как данные/информация, не являющиеся персональными.

Если мы совмещаем информацию, не являющуюся персональной, с персональной информацией, такая совокупная информация будет рассматриваться как персональная информация, пока такая информация будет являться совмещённой.

IV. Передача персональных данных

Персональные данные Пользователей не передаются каким-либо третьим лицам, за исключением случаев, прямо предусмотренных действующим законодательством и настоящими Правилами.

Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.

Оператор не вправе передавать персональные данные третьим лицам, за исключением случаев, прямо предусмотренных действующим законодательством и настоящими Правилами.

Персональные данные Пользователя могут быть переданы по запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ.

Оператор осуществляет блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.

РАСКРЫТИЕ ИНФОРМАЦИИ ТРЕТЬИМ ЛИЦАМ

Конечная цель сбора Компанией персональной информации — использование ее для заключения договоров Компанией (лично или с участием своих стратегических партнеров) с потребителями услуг Компании, а также для улучшения этих услуг и связанных с ними коммуникаций. Такая информация не будет предоставляться третьим лицам для их маркетинговых целей.

Для использования Ваших персональных данных для любой иной цели мы запросим Ваше Согласие на обработку Ваших персональных данных

ПОСТАВЩИКИ УСЛУГ

Компания предоставляет персональные данные/информацию компаниям, оказывающим такие услуги, как: обработка информации, то есть компаниям, профессионально обслуживающим информационные сайты Операторов.

ИНЫЕ ЛИЦА

Компании может быть необходимо — в соответствии с законом, судебным порядком, в судебном разбирательстве и/или на основании публичных запросов или запросов от государственных органов на территории или вне территории страны Вашего пребывания— раскрыть Ваши персональные данные. Мы также можем раскрывать персональные данные/информацию о Вас, если мы определим, что такое раскрытие необходимо или уместно в целях национальной безопасности, поддержания правопорядка или иных общественно важных случаях.

Мы также можем раскрывать персональные данные/информацию о Вас, если мы определим, что раскрытие необходимо для целей защиты нашей деятельности и наших пользователей. Дополнительно в случае реорганизации, слияния или продажи мы можем передать любую или всю собираемую нами персональную информацию соответствующему третьему лицу.

V. Уничтожение персональных данных

Персональные данные пользователя уничтожаются при:

  • удалении Оператором информации, размещаемой Пользователем;
  • при отзыве Пользователя согласия на обработку персональных данных.

ИДЕНТИФИКАЦИОННЫЕ ФАЙЛЫ (СOOKIES) И ИНЫЕ ТЕХНОЛОГИИ

Веб-сайт, интерактивные услуги и приложения, сообщения электронной почты и любые иные коммуникации от лица Компании могут использовать идентификационные файлы cookies и иные технологии, такие как: пиксельные ярлыки (pixeltags), веб-маяки (webbeacons). Такие технологии помогают нам лучше понимать поведение пользователей, сообщают нам, какие разделы нашего сайта были посещены пользователями, и измеряют эффективность рекламы и сетевых поисков. Мы рассматриваем информацию, собираемую файлами cookies и иными технологиями как информацию, не являющуюся персональной.

Нашей целью в таких случаях является обеспечение более удобного и персонального взаимодействия с Компанией. Например, зная Ваше имя, мы можем использовать его в наших коммуникациях. Зная, что кто-либо, используя Ваш компьютер или устройство, приобрел определённый продукт или воспользовался определенной услугой, мы можем обеспечивать более полное соответствие Вашим интересам рекламных сообщений и сообщений электронной почты. В конечном итоге все эти знания помогают нам предоставлять Вам обслуживание высшего качества.

Если вы можете отключить cookies в настройках используемого Вами веб-браузера или мобильного устройства. Следует учесть, что некоторые функции веб-сайта могут стать недоступными после отключения cookies.

Как и в случае большинства веб-сайтов, мы собираем некоторую информацию автоматически и храним её в файлах статистики. Такая информация включает в себя адрес Интернет-протокола (IP-адрес), тип и язык браузера, информацию о поставщике Интернет-услуг, страницы отсылки и выхода, сведения об операционной системе, отметку даты и времени, а также сведения о посещениях. Мы используем такую информацию для понимания и анализа тенденций, администрирования сайта, изучения поведения пользователей на сайте и сбора демографической информации о нашем основном контингенте пользователей в целом. Компания может использовать такую информацию в своих маркетинговых целях.

В некоторых наших сообщениях электронной почты мы используем интерактивные ссылки на информацию, размещённую на сайте Компании. Когда пользователи проходят по таким ссылкам, прежде чем они попадают на страницу назначения на нашем веб-сайте, их запросы проходят отдельную регистрацию. Мы отслеживаем такие «проходные» данные, для того чтобы помочь нам определить интерес к отдельным темам и измерить эффективность наших коммуникаций с потребителями. Если Вы предпочитаете, чтобы Ваши обращения не отслеживались подобным образом, Вы не должны проходить по текстовым или графическим ссылкам в сообщениях электронной почты.

Пиксельные ярлыки позволяют нам направлять сообщения электронной почты в формате, читаемом потребителями, и сообщают нам, были ли такие сообщения прочитаны. Мы можем использовать такую информацию для ограничения количества направляемых потребителям сообщений или прекращения их направления.

VI. Защита персональных данных

Компания предпринимает меры предосторожности— включая правовые, организационные, административные, технические и физические— для обеспечения защиты Ваших персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» в целях обеспечения защиты персональных данных Пользователя от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

Когда Вы используете некоторые работы, услуги или приложения Компании, или размещаете записи на форумах, в чатах или социальных сетях, предоставляемые Вами персональные данные видны другим пользователям и могут быть прочитаны, собраны или использованы ими. Вы несёте ответственность за персональные данные, которые Вы предпочитаете предоставлять, в таких случаях самостоятельно. Например, если Вы указываете своё имя и адрес электронной почты в записи на форуме, такая информация является публичной. Пожалуйста, соблюдайте меры предосторожности при использовании таких функций.

Оператор при обработке персональных данных принимает необходимые и достаточные организационные и технические меры или обеспечивает их принятие, предусмотренные законодательством в области защиты персональных данных, для защиты персональных данных, требующих обеспечения конфиденциальности, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

Меры по обеспечению безопасности персональных данных при их обработке, применяемые Оператором, планируются и реализуются в целях обеспечения соответствия требованиям законодательства в области персональных данных и принятым в соответствии с ним нормативным правовым актам.

Обеспечение безопасности персональных данных достигается, в частности:

  • назначением ответственного за организацию обработки персональных данных;
  • разработкой и внедрением локальных актов по вопросам обработки персональных данных;
  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • учетом электронных носителей информации;
  • установлением правил доступа к персональным данным;
  • ограничением доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также хранятся носители информации;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по предотвращению такого доступа;
  • внесением персональных данных (не являющиеся общедоступными, требующими соблюдения конфиденциальности) в перечень конфиденциальной информации Оператора;
  • получением обязательства о неразглашении сведений конфиденциального характера, в том числе персональных данных, со всех работников Оператора, непосредственно участвующих в обработке персональных данных;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • ознакомлением работников Оператора непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных.

Внутренний контроль за соответствием обработки персональных данных законодательству и принятым в соответствии с ним нормативным правовым актам осуществляется в порядке, установленном Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

ЦЕЛОСТНОСТЬ И СОХРАНЕНИЕ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ

Взаимодействуя с Компанией, Вы можете легко поддерживать свои персональные данные и информацию в актуальном состоянии. Мы будем хранить Ваши персональные данные и информацию в течение срока, необходимого для выполнения целей, описываемых в настоящей Политике Конфиденциальности, за исключением случаев, когда более длительный период хранения данных и информации необходим в соответствии с законодательством либо разрешёнием.

Мы не собираем персональные данные о несовершеннолетних. Если нам станет известно о том, что мы получили персональные данные о несовершеннолетнем, мы предпримем меры для удаления такой информации в максимально короткий срок.

Мы настоятельно рекомендуем родителям и иным лицам, под чьим присмотром находятся несовершеннолетние (законные представители— родители, усыновители или попечители), контролировать использование несовершеннолетними веб-сайтов.

СТОРОННИЕ САЙТЫ И УСЛУГИ

Веб-сайты, приложения и услуги Компании могут содержать ссылки на веб-сайты, продукты и услуги третьих лиц. Наши работы и услуги могут также использовать или предлагать продукты, или услуги третьих лиц. Персональные данные и информация, собираемая третьими лицами, которые могут включать такие сведения, как данные местоположения или контактная информация, регулируется правилами соблюдения конфиденциальности таких третьих лиц. Мы призываем Вас изучать правила соблюдения конфиденциальности таких третьих лиц.

Оператор не несет ответственности за действия третьих лиц, получивших в результате использования Интернета или Услуг Сайта доступ к информации о Пользователе и за последствия использования данных и информации, которые, в силу природы Сайта, доступны любому пользователю сети Интернет.

СОБЛЮДЕНИЕ ВАШЕЙ КОНФИДЕНЦИАЛЬНОСТИ НА УРОВНЕ КОМПАНИИ

Для того чтобы убедиться, что Ваши персональные данные находятся в безопасности, мы доводим нормы соблюдения конфиденциальности и безопасности до работников Компании и строго следим за исполнением мер соблюдения конфиденциальности внутри Компании.

VII. Обращения пользователей

К настоящей Политике конфиденциальности и отношениям между Пользователем и Оператором применяется действующее законодательство РФ.

Пользователи вправе направлять Оператору свои запросы, в том числе запросы относительно использования их персональных данных, направления отзыва согласия на обработку персональных данных в письменной форме по адресу, указанному разделе Общие положения настоящего положения, или в форме электронного документа, подписанного квалифицированной электронной подписью в соответствии с законодательством РФ, и отправленного с помощью формы обратной связи.

Запрос, направляемый Пользователем, должен содержать:

  • номер основного документа, удостоверяющего личность пользователя или его представителя;
  • сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие пользователя в отношениях с Оператором;
  • подпись Пользователя или его представителя;
  • адрес электронной почты;
  • контактный телефон.

Оператор обязуется рассмотреть и направить ответ на поступивший запрос Пользователя в течение 30дней с момента поступления обращения.

ИНЫЕ ПОЛОЖЕНИЯ

Во всем остальном, что не отражено напрямую в настоящем Положении, Компания обязуется руководствоваться нормами и положениями Федерального закона от 27.07.2006N 152-ФЗ «О персональных данных»

Посетитель сайта Компании, предоставляющий свои персональные данные и информацию, тем самым соглашается с положениями данной Политики Конфиденциальности.

Компания оставляет за собой право вносить любые изменения в Политику в любое время по своему усмотрению с целью дальнейшего совершенствования системы защиты от несанкционированного доступа к сообщаемым Пользователями персональным данным без согласия Пользователя. Когда мы вносим существенные изменения в Политику Конфиденциальности, на нашем сайте размещается соответствующее уведомление вместе с обновлённой версией Политики Конфиденциальности.

Обновлено «25» мая 2017 г.

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

  • разъяснять субъекту ПД, какие данные и для чего собирают, а также получать его предварительное согласие на обработку личной информации. Такое согласие запрашивают в письменной форме: человеку предлагают подписать специальную бумагу, где уточняется, что сбор информации производится по правилам закона № 152-ФЗ и она будет соответствующим образом храниться, использоваться, а позже — уничтожаться. Хотя чаще всего согласие «прячется» в самом конце подписываемого соглашения и выглядит как галочка, рядом с которой надо поставить свою подпись, существует и специальная форма такого согласия. Вот бланк, которым предлагает пользоваться Роскомнадзор (скачать форму можно в конце статьи):
  • разработать и публично представлять политику в отношении обработки ПД. Обнародовать такой документ можно любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений;
  • обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Как правило, речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
  • уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели. Согласно статье 21 закона N152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя. Запрос обязательно подается в письменной форме, и отреагировать на него оператор должен в сроки, прописанные в законе. Рекомендованный образец такого обращения доступен на сайте Роскомнадзора;
  • блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя). Это не значит, что оператор полностью удаляет имеющуюся информацию, но он не может ею пользоваться.

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

  • работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
  • компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
  • общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
  • организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
  • любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
  • системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
  • граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687;
  • организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346. Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства — в разделе «Электронные формы заявлений».

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119.

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Типовая форма согласия на обработку персданных

Форма письма о внесении изменений в сведения об операторе

Подготовить документы по персданным для сайта онлайн

Записи созданы 8132

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх