Вниманию операторов персональных данных

Целью Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Федеральный закон «О персональных данных») является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Федеральный закон «О персональных данных» дает определение: оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Все положения указанного закона относятся либо к оператору, либо к самому субъекту персональных данных.

Согласно требованиям статьи 18.1 Федерального закона «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.

При этом оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.

Специалисты, на которых возложена обязанность по защите информации, в том числе персональных данных, задаются вопросом: «Что же необходимо сделать, чтобы и требования закона исполнить, и не переусердствовать?»

Постановлением Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» установлен исчерпывающий перечень для соответствующих операторов, но этот перечень мер может быть использован и другими операторами как некое пособие.

Необходимо напомнить, что согласно части 5 статьи 18 Федерального закона «О персональных данных» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Данная обязанность возлагается на оператора персональных данных независимо от того, ведет ли он обработку персональных данных локально либо посредством сети интернет, самостоятельно или с привлечением сторонних организаций.

В связи с чем необходимо основательно подходить к выбору провайдера, хостинг-провайдера при оказании ими соответствующих услуг по организации сайтов или размещению баз данных, содержащих персональные данные граждан Российской Федерации.

25 мая 2018 года в ЕС вступил в силу новый регламент защиты персональных данных — GDPR (the General Data Protection Regulation). Этот документ призван улучшить и привести к единообразию защиту персональных данных в Евросоюзе. GDPR обязателен для исполнения во всех 28 странах Европейского союза, а также ему должны подчиняться абсолютно все компании, которые занимаются сбором данных в Европе. Даже подписка по e-mail относится к GDPR. То есть если вы являетесь, скажем, владельцем сайта, собираете персональные данные пользователей (e-mail) для последующей рассылки, то на вашу деятельность также будут распространяться требования GDPR.

Аналогично, если жители Евросоюза будут пользоваться услугами компаний, которые собирают персональные данные. А это примерно треть крупных компаний из России. Это компании из финансовой сферы, сферы телекоммуникаций и поставщиков услуг связи, компании топливно-энергетического комплекса, компании, занимающиеся перевозкой пассажиров или электронной торговлей, социальные сети, поисковые системы и множество других компаний. Всем этим компаниям необходимо либо соответствовать GDPR, либо прекратить сбор, хранение и обработку персональных данных граждан Евросоюза.

Каждый оператор должен проводить меры, в том числе составление соответствующей документации, по порядку обработки и защите персональных данных в соответствии с распространяющимся на его действия законодательством, будь то российское или дополнительно GDPR.

В связи с чем управление Роскомнадзора по Алтайскому краю и Республике Алтай напоминает, что оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

В случае изменения сведений, поданных в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Неисполнение данного требования влечет привлечение виновных лиц к административной ответственности по статье 19.7 КоАП РФ.

Для внесения в реестр изменений об операторе обработки персональных данных информационные письма с указанием основания изменения сведений необходимо направлять в управление Роскомнадзора по Алтайскому краю и Республике Алтай по адресу: 656043, г. Барнаул, ул. Интернациональная, д. 72.

Для формирования и направления информационного письма можно воспользоваться услугами информационного портала — «Портала персональных данных», предоставляющего возможность формирования информационного письма в электронном виде с последующей распечаткой и представлением его в территориальное управление Роскомнадзора.

Справки по телефонам: (8−3852) 55−66−31, 55−66−32.

  • Новости компаний