Обработка и защита персональных данных 2017. Документы и консультации.

Рекомендации и документы для Операторов персональных данных

(Объектов размещения - гостиниц, отелей, пансионатов, санаториев и т.п.)

(с учётом изменений в КоАП РФ, вступающих в силу с 01.07.2017 г.)

Дорогие друзья, уважаемые коллеги и клиенты!

Ниже представлены пошаговые рекомендации по исполнению Федерального закона "О персональных данных".

Для выполнения закона необходимо соблюдать указанные ниже требования, а также внедрить комплект необходимых документов.

Вы можете самостоятельно подготовить документы или заказать готовый комплект.

Закажите комплект документов прямо сейчас - кликните по этой ссылке:

  • Комплект документов. Обработка и защита персональных данных 2017.

    Юристами ЮК А. Байбородина подготовлен комплект документов "Обработка и защита персональных данных 2017".

    В комплект входит более 40 документов - список документов приведен ниже.

    Стоимость комплекта документов:

    БЕСПЛАТНО - для абонентов ЮК А. Байбородина типовые документы предоставляются бесплатно или со значительной скидкой.

    БЕСПЛАТНО - рекомендации по защите персональных данных - можно получить в конце этой страницы.

    от 20 000р*. - типовой набор документов для Объектов размещения (гостиниц, отелей, пансионатов, санаториев и т.п.).

    от 30 000р*. - индивидуальная доработка документов.

    Закажите комплект документов прямо сейчас - кликните по этой ссылке:

    Список документов:

    Документ №1.1. Приказ №1/ПД «О проведении мероприятий по обеспечению защиты персональных данных» (Рекомендованная форма)
    Документ №1.2. "Положение о комиссии по проведению мероприятий по обеспечению защиты персональных данных" (Рекомендованная форма)
    Документ №1.3. "Плана мероприятий по обеспечению защиты персональных данных" (Рекомендованная форма)
    Документ №1.4.1. Приказ №2/ПД "Об установлении списка лиц, имеющих доступ к персональным данным, субъектов персональных данных, являющихся Работниками Объекта размещения" (Рекомендованная форма)
    Документ №1.4.2. Приказ №3/ПД "Об установлении списка лиц, имеющих доступ к персональным данным Клиентов (заказчиков и/или потребителей гостиничных услуг, предоставляемых Объектом размещения)" (Рекомендованная форма)
    Документ №1.5.1. "Обязательство о неразглашении информации, содержащей персональные данные Работников" (Рекомендованная форма)
    Документ №1.5.2. "Обязательство о неразглашении персональных данных Клиентов (заказчиков и/или потребителей гостиничных услуг, предоставляемых Объектом размещения" (Рекомендованная форма)
    Документ №1.6.1. "Перечень обрабатываемых персональных данных Работников" (Рекомендованная форма)
    Документ №1.6.2. "Перечень обрабатываемых персональных данных Клиентов (заказчиков и/или потребителей гостиничных услуг, предоставляемых Объектом размещения)" (Рекомендованная форма)
    Документ №1.7.1. "Согласие на обработку персональных данных Работника" (Рекомендованная форма)
    Документ №1.7.2. "Заявление о согласии Работника на передачу его персональных данных третьим лицам" (Рекомендованная форма)
    Документ №1.7.3. "Согласие на обработку персональных данных Клиентов (заказчиков и/или потребителей гостиничных услуг, предоставляемых Объектом размещения)" (рекомендованная форма для размещения на сайте).
    Документ №1.7.4. "Согласие на на обработку персональных данных Клиентов (заказчиков и/или потребителей гостиничных услуг, предоставляемых Объектом размещения" (рекомендованная форма для "Договора о предоставлении гостиничных услуг")
    Документ №1.8.1. Приказ №4/ПД "О назначении ответственного за организацию обработки персональных данных, субъектов персональных данных, являющихся Работниками Объекта размещения" (Рекомендованная форма)
    Документ №1.8.2. Приказ №5/ПД "О назначении ответственного за организацию обработки персональных данных Клиентов (заказчиков и/или потребителей гостиничных услуг, предоставляемых Объектом размещения)" (Рекомендованная форма)
    Документ №1.9.1. "Инструкция ответственного за организацию обработки персональных данных" (Рекомендованная форма)
    Документ №1.9.2. "Дополнение к должностной инструкции лица, ответственного за организацию обработки персональных данных" (Рекомендованная форма)
    Документ №1.9.3. "Журнал инструктажа по защите персональных данных" (Рекомендованная форма)
    Документ №1.9.4. "Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных" (Рекомендованная форма)
    Документ №1.10.1. "Положение о защите и обработке персональных данных Работников" (Рекомендованная форма)
    Документ №1.10.2. "Положение о защите и обработке персональных данных Клиентов (заказчиков и/или потребителей гостиничных услуг, предоставляемых Объектом размещения)" (Рекомендованная форма)
    Документ №1.10.3. "Положение об организационных и технических мерах по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПД)" (Рекомендованная форма)
    Документ №1.10.4. Приказ №6/ПД "Об утверждении Положения о защите и обработке персональных данных Работников" (Рекомендованная форма)
    Документ №1.10.5. "Журнал учета мероприятий по контролю над соблюдением режима защиты персональных данных" (Рекомендованная форма)
    Документ №1.11.1. "Политика в отношении защиты и обработки персональных данных" (Рекомендованная форма)
    Документ №1.11.2. Приказ №7/ПД "Об утверждении "Политики в отношении защиты и обработки персональных данных" (Рекомендованная форма)
    Документ №1.12. "Рекомендации по заполнению формы уведомления об обработке персональных данных"
    Документ №1.13.1. "Методика определения уровня защищённости персональных данных в информационной системе персональных данных (ИСПДн)" (Рекомендованная форма)
    Документ №1.13.2. Приказ №8/ПД "О создании комиссии по определению уровня защищённости персональных данных, обрабатываемых в информационных системах "Бухгалтерия и кадры" и "Клиенты" (Рекомендованная форма)
    Документ №1.13.3. "Акт определения необходимого уровня защищённости персональных данных, обрабатываемых в информационных системах "Бухгалтерия и кадры" и "Клиенты" (Рекомендованная форма)
    Документ №1.14.1. "Инструкция по работе пользователя информационных систем персональных данных" (Рекомендованная форма)
    Документ №1.14.2. "Инструкция по организации антивирусной защиты информационной системы персональных данных" (Рекомендованная форма)
    Документ №1.14.3. "Инструкция по применению парольной политики в информационной системе персональных данных" (Рекомендованная форма)
    Документ №1.15.1. "Инструкция по работе с носителями персональных данных" (Рекомендованная форма)
    Документ №1.15.2. "Положение о комиссии по уничтожению носителей персональных данных" (Рекомендованная форма)
    Документ №1.15.3. "Журнал учета носителей персональных данных" (Рекомендованная форма)
    Документ №1.15.4. "Перечень помещений, в которых обрабатываются персональные данные, и порядок доступа к ним" (Рекомендованная форма) 
    Документ №1.15.5. "Порядок доступа в помещения, в которых ведётся обработка персональных данных" (Рекомендованная форма) 
    Документ №1.15.6. Приказ №9 "О создании комиссии по уничтожению носителей персональных данных и персональных данных хранящихся в информационных системах персональных данных (ИСПДн)" (Рекомендованная форма)
    Документ №1.16.1. "Правила рассмотрения запросов субъектов персональных данных" (Рекомендованная форма)
    Документ №1.16.2. "Журнал учета обращений субъектов персональных данных" (Рекомендованная форма)
    Документ №1.16.3. Бланки "Уведомлений субъектов персональных данных" (Рекомендованная форма)
    Документ №1.17. "Инструкция о порядке действий во внештатных ситуаций и восстановлению после сбоя в ИСПД" (Рекомендованная форма)
    Документ №1.18. "Инструкция о порядке обработки персональных данных без использования средств автоматизации" (Рекомендованная форма)
    Документ №1.19. "Правила работы с обезличенными персональными данными" (Рекомендованная форма)
    Сведения о документах и нормативных актах в области обработки персональных данных

    *указаны минимальные ориентировочные цены.

  • 1. Уведомить Роскомнадзор о намерении обрабатывать персональные данные.

    Основание ч.1 ст.22 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г.

    «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных».

    Уполномоченный орган - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

    По общему правилу нужно отправить специальное уведомление в Роскомнадзор.

    Порядок действий:

    • заполнить уведомление на сайте Роскомнадзора через специальную форму (https://rkn.gov.ru/personal-data/forms/notification/).
    • распечатать заполненную форму;
    • подписать распечатанную форму и направить в территориальный орган Роскомнадзора по месту нахождения Оператора (юридического лица или ИП).

    Порядок заполнения формы указан в «Рекомендации по заполнению формы уведомления об обработке персональных данных».

    Непредставление или несвоевременное предоставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ – штраф на граждан в размере от 100 до 300 руб., для должностных лиц (и ИП) – от 300 до 500 руб., для юридических лиц до 5 000 рублей.

    Закажите комплект документов прямо сейчас - кликните по этой ссылке:

    2. Соблюдать принципы обработки персональных данных.

    В соответствии с требованиями, установленными ст.5 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г., обработка персональных данных Оператором должна быть основана на следующих принципах:

    Принцип 1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

    Пример: Оператор (Объект размещения (ОР) - гостиница, отель, пансионат, санаторий и т.п.) не получили от Клиента (заказчика или потребителя гостиничных услуг), имеющего полномочия передать Оператору персональные данные потребителей гостиничных, письменное согласие на обработку персональных данных субъектов персональных данных – потребителей гостиничных услуг (фамилию, имя, отчество, адрес регистрации, номер и иные реквизиты документа, удостоверяющего личность потребителя гостиничных услуг), и приступил к бронированию гостиничных услуг и сообщил указанные сведения исполнителям услуг.

    За совершение вышеуказанных действий Оператор (Объект размещения) может быть привлечён к административной ответственности, предусмотренной ч.2 ст.13.11 КоАП РФ – административный штраф на должностных лиц (и ИП)- от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятидесяти тысяч до семидесяти пяти тысяч рублей.

    Принцип 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

    Пример: Клиент (заказчик или потребитель гостиничных услуг) предоставил контактный номер телефона и/или электронной почты для экстренной связи или для получения документов, необходимых для получения гостиничных услуг, а Объект размещения использует данные контакты для рассылки рекламных предложений.

    За совершение вышеуказанных действий Оператор (Объект размещения) может быть привлечён к административной ответственности, предусмотренной ч.1 ст.13.11 КоАП РФ – административный штраф на должностных лиц (и ИП)- от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

    Принцип 3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

    Пример: База данных «Зарплата и управление персоналом» предназначенная для автоматизации кадрового учета и расчета заработной платы Оператора, не подлежит совмещению с базами данных, в которые Оператор (Объект размещения) заносит сведения о Клиентах (заказчиках или потребителях гостиничных услуг).

    Принцип 4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

    Пример: При формировании базы данных Клиентов (заказчиков и потребителей гостиничных услуг), бронирующих и приобретающих гостиничные услуги, Оператора персональных данных (Объект размещения) не должны интересовать сведения об ИНН и СНИЛС Клиентов (заказчиков и потребителей гостиничных услуг).

    При формировании базы данных «Зарплата и управление персоналом» предназначенной для автоматизации кадрового учета и расчета заработной платы Оператора, Оператора персональных данных) не должны интересовать сведения о наличии у Работника прав на управление транспортным средством (если это не связанно с выполнением трудовых функций, предусмотренных Трудовым договором).

    Принцип 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

    Пример: Оператор персональных данных (Объект размещения) запросил у Клиентов (заказчиков или потребителей гостиничных услуг) сканы паспортов, свидетельства ИНН. Сканы указанных документов не требуются для выполнения обязательств в рамках исполнения обязательств по предоставлению гостиничных услуг.

    За совершение вышеуказанных действий Оператор (Объект размещения) может быть привлечён к административной ответственности, предусмотренной ч.1 ст.13.11 КоАП РФ – административный штраф на должностных лиц (и ИП)- от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

    Принцип 6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

    Принцип 7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных.

    Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

    Пример: Оператор персональных данных (Объект размещения) не удалил персональные данные, предоставленные Клиентом (заказчиком или потребителем гостиничных услуг), из «Базы данных Клиенты» или не уничтожил или обезличил персональные данные по истечении срока, указанного в согласии на обработку персональных данных, или по требованию Клиента (заказчика или потребителя гостиничных услуг) – субъекта персональных данных.

    За совершение вышеуказанных действий Оператор (Объект размещения) может быть привлечён к административной ответственности, предусмотренной ч.5 ст.13.11 КоАП РФ – предупреждение или наложение административного штрафа на должностных лиц (и ИП) - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.

    Закажите комплект документов прямо сейчас - кликните по этой ссылке:

    3. Обрабатывать персональные данные, только тогода, когда это предусмотрено Федеральным законом №152-ФЗ «О персональных данных» от 27 июля 2006 г., соблюдая принципы и правила, установленные вышеуказанным законом.

    Указанное требование можно разделить на три основные группы.

    Группа 1. Оператор персональных данных (Объект размещения) должен обрабатывать персональные данные в силу закона.

    1. Оператор персональных данных (Объект размещения) должен получить сведения о Клиенте (заказчике и потребителе гостиничных услуг) в объеме, необходимом для бронирования и реализации гостиничных услуг. Основание п.18 "Правил предоставления гостиничных услуг в Российской Федерации", утверждённых ПОстановлением Правительства РФ №1085 от 09.10.2015 (в действующей редакции).
    2. Оператор персональных данных (Объект размещения / Работодатель), в силу ст.65 ТК РФ получает от Работников следующие персональные данные:
      • паспорт или иной документ, удостоверяющий личность;
      • трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
      • страховое свидетельство обязательного пенсионного страхования;
      • документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
      • документ об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
      • справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с ТК РФ, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию.

    Обработка указанных сведений при выполнении Оператором (Работодателем) возложенных на него трудовым законодательством обязанностей, в том числе связанных с их передачей в налоговые органы, внебюджетные фонды, подпадает под комментируемое основание.

    Группа 2. Оператору персональных данных (Объекту размещения) персональные данные Клиентов (заказчиков и потребителей гостиничных услуг) нужны для осуществления основной деятельности.

    1. Оператору персональных данных (Объекту размещения) понадобятся персональные данные Клиентов (заказиков и потребителей гостиничных услуг), для исполнения "Договора о предоставлении гостиничных услуг", стороной которого является Клиент (заказчик или потребитель гостиничных услуг), а также для заключения договора по инициативе субъекта персональных данных (Клиента) или договора, по которому субъект персональных данных (Клиент) будет являться выгодоприобретателем или поручителем.
    2. Оператор персональных данных (Объект размещения) осуществляет обработку персональных данных в статистических или аналитических целях, при условии обезличивания персональных данных, целях продвижения гостиничных услуг на рынке гостиничных услуг РФ.

    Группа 3. Оператор персональных данных (Объект размещения) собирает данные по собственной инициативе.

    Оператор вправе обрабатывать данные, но для этого нужно соблюсти два условия:

    • Оператор персональных данных (Объект размещения) получил согласие на обработку персональных данных от субъекта персональных данных.
    • Оператор персональных данных (Объект размещения), использует только данные, которые сам субъект персональных данных сделал общедоступными неопределённому кругу лиц.

    Пример: Оператор персональных данных (Работодатель) собирает данные соискателей, разместивших свои резюме, содержащие их персональные данные соискателей, в общем доступе на соответствующих ресурсах в интернете.

    Закажите комплект документов прямо сейчас - кликните по этой ссылке:

    4. Получить согласие на обработку персональных данных от субъекта персональных данных.

    В соответствии с п.1 ч.1 ст. 6 и ст.9 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. Оператор персональных данных (Объект размещения) имеет право осуществлять обработку персональных данных субъектов персональных данных (Работников, Клиентов - закачиков и потребителей гостиничных услуг) только после получения соответствующего согласия от субъекта персональных данных или его законного представителя.

    Если субъект персональных данных предоставляет Оператору персональные данные на бумажном носителе (например, укажет их в договоре, предоставит заверенные копии документов), согласие на обработку персональных данных необходимо оформить на бумажном носителе.

    Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом №63-ФЗ «Об электронной подписи» от 06.04.2011 г. (в действующей редакции) электронной подписью.

    Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

    1.  фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
    2.  фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
    3.  наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
    4.  цель обработки персональных данных;
    5.  перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
    6.  наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
    7.  перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
    8.  срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
    9.  подпись субъекта персональных данных.

    Если организация или предприниматель планируют получать персональные данные физических лиц через сайт, есть два варианта.

    Вариант 1. Разместить на сайте документ, который будет называться «Согласие на обработку персональных данных». Это самый распространенный вариант. Он подойдет для всех случаев, когда организация или предприниматель через свой сайт только собирают контактные данные и информируют о своих товарах или услугах.

    Вариант 2. Разместить на сайте более подробный документ с названием «Пользовательское соглашение между владельцем и пользователем сайта». Этот вариант подойдет для тех случаев, когда доступ к сайту – и есть та услуга, которую покупает пользователь. Пользовательское соглашение позволяет заранее урегулировать возможные конфликтные ситуации, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию.

    В связи с тем, что в соответствии с п.20 "Правил предоставления гостиничных услуг в Российской Федерации", утверждённых Постановлением Правительства РФ №1085 от 09.10.2015 г. (в действующей редакции), реализация гостиничных услуг осуществляется на основании договора, заключаемого в письменной форме,  между Объектом размещения и Клиентом (заказчиком или потребителем гостиничных услуг).

    Таким образом, согласие на обработку персональных данных Клиентов (заказчиков или потребителей гостиничных услуг) должно быть оформлено в письменном виде, путём оформления документа на бумажном носителе, или в форме электронного документа, подписанного электронной подписью.

    В соответствии с ч.4 ст.6 №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

    В соответствии с ч.4 ст.6 Федеральным законом №63-ФЗ «Об электронной подписи» от 06.04.2011 г. (в действующей редакции), в случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

    Закажите комплект документов прямо сейчас - кликните по этой ссылке:

    В случае, если Оператор осуществляет обработку персональных данных без получения соответствующего согласия от субъекта персональных данных, Оператор (Объект размещения) может быть привлечён к административной ответственности, предусмотренной ч.2 ст.13.11 КоАП РФ – административный штраф на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятидесяти тысяч до семидесяти пяти тысяч рублей.

    Рекомендация.

    Стоит под каждой формой ввода данных на сайте или в мобильных приложениях:

    • дать ссылку на текст согласия на обработку персональных данных;
    • разместить на сайте кнопку с текстом: «Даю согласие на обработку персональных данных».

    Смысл в том, чтобы пользователь сайта не мог отправить свои персональные данные без согласия на их обработку.

    В соответствии с ч.2. ст.9 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции) согласие на обработку персональных данных может быть отозвано субъект персональных данных.

    В соответствии с ч.5 ст.21 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), в случае отзыва согласия на обработку персональных данных, Оператор обязан прекратить обработку персональных данных в течение 30 (Тридцати) дней с даты поступления указанного отзыва.

    В случае, если Оператор не выполнит в указанный срок требование субъекта персональных данных, Оператор (Объект размещения) может быть привлечён к административной ответственности, предусмотренной ч.5 ст.13.11 КоАП РФ – предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.

    Внимание! Нельзя включать согласие на обработку персональных данных в типовую форму договора без возможности сделать отметку об отказе.

    Закажите комплект документов прямо сейчас - кликните по этой ссылке:

    5. Опубликовать на сайте документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных

    В соответствии с ч.2 ст.18.1. Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

    В случае неисполнения вышеуказанного требования, Оператор может быть привлечён к административной ответственности, предусмотренной ч.3 ст.13.11. КоАП РФ – предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

    Рекомендация.

    Разместить на одной странице сайта Оператора ссылки на следующие документы:

    • документ, определяющий политику в отношении обработки персональных данных («Политика защиты и обработки персональных данных»);
    • документ, содержащий сведения о реализуемых требованиях к защите персональных данных («Положение о порядке хранения и защиты персональных данных пользователей»);
    • «Согласие на обработку персональных данных».

    Закажите комплект документов прямо сейчас - кликните по этой ссылке:

    6. Предоставить доступ к персональным данным субъектам персональных данных.

    В соответствии с ч.7 ст.14 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

    1. подтверждение факта обработки персональных данных оператором;
    2. правовые основания и цели обработки персональных данных;
    3. цели и применяемые оператором способы обработки персональных данных;
    4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
    5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    6. сроки обработки персональных данных, в том числе сроки их хранения;
    7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
    8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
    10. иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

    В соответствии с ч.1 ст.20 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), Оператор обязан сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

    В случае невыполнения вышеуказанного требования, Оператор (Объект размещения) может быть привлечён к административной ответственности, предусмотренной ч.4 ст.13.11. КоАП РФ – предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.

    Закажите комплект документов прямо сейчас - кликните по этой ссылке:

    7. По требованию субъекта персональных данных уточнить, блокировать или уничтожить персональные данные субъекта персональных данных.

    В соответствии с ч.1 ст.14 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), субъект персональных данных вправе требовать от Оператора:

    • уточнения его персональных данных,
    • блокирования или уничтожения персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

    Сроки выполнения указанных требований субъекта персональных данных установлены ст.21. Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции).

    • В случае выявления неправомерной обработки персональных данных Оператор обязан осуществить блокирование персональных данных с момента такого обращения или получения указанного запроса на период проверки.
    • В случае выявления неточных персональных данных при обращении субъекта персональных данных осуществить блокирование персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
    • В случае подтверждения факта неточности персональных данных оператор, на основании сведений, представленных субъектом персональных данных, обязан уточнить персональные данные либо обеспечить их уточнение в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
    • В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором.
    • В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором.
    В случае, если Оператор не выполнит в указанный срок вышеуказанные требования, Оператор (Объект размещения) может быть привлечён к административной ответственности, предусмотренной ч.5 ст.13.11 КоАП РФ – предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.

    Рекомендация.

    Рекомендуем указать на сайте Оператора адрес электронной почты, по которому субъект персональных данных может обратиться, чтобы его данные уточнили или удалили.

    Если специального адреса нет, то лицо отправит запрос на общую почту, которую указали на сайте в соответствующем разделе. В этом случае нужно контролировать, чтобы такое письмо не потерялось в общей почте.

    8. Обеспечить безопасность персональных данных при их обработке

    В соответствии с ч.1 ст.19 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры в целях:

    • защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных;
    • исключения неправомерных действий в отношении персональных данных.
    • Организационные меры:
    • Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных;
    • издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

    Технические меры по обеспечению безопасности персональных данных при их обработке зависят от способа обработки персональных данных.

    Способ 1. Обработка персональных данных, без использования средств автоматизации (Неавтоматизированная обработка).

    Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется на основании Правил (локального нормативного акта), разработанного Оператором, с учётом требований «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённого Постановлением Правительства РФ №687 от 15 сентября 2008 г.

    В соответствии с п.1 «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённого Постановлением Правительства РФ №687 от 15 сентября 2008 г., обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

    В соответствии с п.3 «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённого Постановлением Правительства РФ №687 от 15 сентября 2008 г., обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

    При обработке персональных данных, без использования средств автоматизации (Неавтоматизированная обработка), Оператор должен:

    1. Хранить персональные данные (материальные носители), относящиеся к разной категории (персональные данные Работников – одна категория, персональные данные Клиентов (заказчиков или потребителей гостиничных услуг) – другая категория), определив:
      • - отдельное место хранение каждой категории персональных данных, в том числе место хранения материальных носителей, содержащих персональные данные различных субъектов персональных данных;
      • - перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
    2. Хранить материальные носители персональные данные с соблюдением условий, которые обеспечивают:
      • - сохранность персональных данных и их материальных носителей;
      • - невозможность доступа к персональным данным лиц, неимеющего соответствующего прав доступа.

    Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Оператором, и указываются в «Правилах обработки персональных данных, без использования средств автоматизации», разработанных и утверждённых Оператором.

    Способ 2. Автоматизированная обработка персональных данных

    Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

    Обработка персональных данных считается автоматизированной при условии, когда обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются без непосредственного участия человека.

    Данное определение основано на разъяснении понятия «обработка персональных данных, осуществляемая без использования средств автоматизации», приведённого в «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённого Постановлением Правительства РФ №687 от 15 сентября 2008 г.

    При осуществлении автоматизированной обработки персональных данных Оператор обязан:

    1. Установить тип угрозы безопасности персональных данных, актуальных при обработке конкретного типа персональных данных в информационных системах Оператора.
      Перечень типов угроз, приведён в п.6 «Требований к защите персональных данных при их обработке в информационных системах персональных данных» утверждённых Постановление Правительства РФ №1119 от 01.11.2012 г.
    2. Установить уровень защищённости персональных данных, обрабатываемых в информационных системах.
      Условия, определяющие необходимы уровень защищённости персональных данных, обрабатываемых в информационных системах, определены в п.9-п.13 «Требований к защите персональных данных при их обработке в информационных системах персональных данных» утверждённых Постановление Правительства РФ №1119 от 01.11.2012 г.
    3. Установить и обеспечить выполнение организационно-технических мер, направленных на обеспечение безопасности обработки персональных данных, с учётом соответствующего уровня защищённости.

    Перечень таких мер и требования по их соблюдению определены в следующих нормативных документах.

    • в Постановление Правительства РФ №1119 от 01.11.2012 г.;
    • в Приказе ФСТЭК №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от «18» февраля 2013 г.;
    • в Приказе ФСБ России №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации...» от «10» июля 2014 г.

    Владельцу небольшого сайта (Объекту размещения) достаточно обеспечить минимальный (четвертый) уровень защиты персональных данных.

    Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

    а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

    б) обеспечение сохранности носителей персональных данных;

    в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

    г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

    Владельцу сайта, позиционирующего себя как крупный Объект размещения, которому поступили персональные данные более чем 100 000 (Ста тысяч) Клиентов (заказчиков или потребителей гостиничных услуг), достаточно обеспечить третий уровень защиты персональных данных.

    Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4-го уровня, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

    Способ 3. Смешанная обработка персональных данных.

    При смешанной обработке персональных данных, необходимо учитывать требования указанные в Способе 1 и Способе 2.

    Для выполнения закона необходимо соблюдать указанные требования, а также внедрить комплект необходимых документов.

    Вы можете самостоятельно подготовить документы или заказать готовый комплект.

    Закажите комплект документов прямо сейчас - кликните по этой ссылке: