Документы по защите персональных данных.
КОМПЛЕКТ ДОКУМЕНТОВ "ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ"
Рекомендации и документы
(с учётом последних изменений в КоАП РФ)
Комплект "Защита персональных данных" должен быть внедрен в каждой компании, вне зависимости от ее величины и количества сотрудников, собран в отдельной папке и находиться в офисе на случай проверки, отдельные его документы, такие как "Согласие на обработку персональных данных" и "Политика обработки персональных данных" являются общедоступными и должны быть на виду у клиентов. Также, при наличии официального сайта компании, обязательно наличие на нем "Политики обработки персональных данных".
В случае жалобы на отсутствие комплекта "Защита персональных данных" в офисе компании или"Политики обработки персональных данных" на официальном сайте и, как следствие, нагрянувшей внезапно проверки, Вы рискуете наложением штрафа в размере до 70 000 р.
Ниже представлены пошаговые рекомендации по исполнению Федерального закона "О персональных данных". Для выполнения закона необходимо соблюдать указанные ниже требования, а также внедрить комплект необходимых документов.
Вы можете самостоятельно подготовить документы или заказать готовый комплект.
"Юристы для турбизнеса "Байбородин и партнеры" подготовили
комплект документов "Защита персональных данных".
В комплект входит более 40 документов:
Документ №1.1. | Форма Приказа №1 «О проведении мероприятий по обеспечению защиты ПД» |
Документ №1.2. | Положение о комиссии по проведению мероприятий по обеспечению защиты ПД |
Документ №1.3. | Образец Плана мероприятий по обеспечению защиты ПД |
Документ №1.4.1. | Форма Приказа об установлении списка лиц допущенных к ПД Работников |
Документ №1.4.2. | Форма Приказа об установлении списка лиц допущенных к ПД туристов и заказчиков ТП |
Документ №1.5.1. | Форма Обязательства о неразглашении ПД работников |
Документ №1.5.2. | Форма Обязательства о неразглашении ПД туристов и иных заказчиков ТП. |
Документ №1.6.1. | Перечень обрабатываемых ПД работников |
Документ №1.6.2. | Перечень обрабатываемых ПД туристов и иных заказчиков ТП |
Документ №1.7.1. | Согласие Работника на обработку персональных данных. |
Документ №1.7.2. | Согласие туриста или иного заказчика туристского продукта для размещения на сайте. |
Документ №1.7.3. | Согласие туриста или иного заказчика ТП на обработку ПД для Договора о реализации ТП. |
Документ №1.7.4. | Заявление о согласии Работника на передачу его ПД третьим лицам |
Документ №1.7.5. | Согласие туриста или иного заказчика ТП на трансграничную передачу ПД. |
Документ №1.8.1. | Форма Приказа о назначении ответственного за организацию обработки ПД |
Документ №1.8.2. | Форма Приказа о назначении ответственного за организацию обработки ПД туристов |
Документ №1.9.1. | Инструкция ответственного за организацию обработки ПД |
Документ №1.9.2. | Дополнение к должностной инструкции ответственного за организацию обработки ПД |
Документ №1.9.3. | Форма Журнал инструктажа по защите ПД |
Документ №1.9.4. | Правила внутреннего контроля соответствия обработки ПД требованиям к защите ПД |
Документ №1.10.1. | Положение о защите и обработке персональных данных работников |
Документ №1.10.2. | Положение о защите персональных данных туристов и иных заказчиков туристского продукта |
Документ №1.10.3. | Положение об организационные и ТМ по обеспечению безопасности ПД при их обработке в ИСПД |
Документ №1.10.4. | Форма Приказа об утверждении Положения о защите и обработке ПД работников |
Документ №1.10.5. | Форма Журнала учета мероприятий по контролю над соблюдением режима защиты ПД |
Документ №1.11. | Политика защиты и обработки Персональных данных |
Документ №1.12. | Рекомендации по заполнению формы уведомления об обработке ПД |
Документ №1.13. | Методика определения уровня защищённости ПД в ИСПДн |
Документ №1.14.1. | Инструкция по работе пользователя ИСПД |
Документ №1.14.2. | Инструкция по антивирусной защите ИСПД |
Документ №1.14.3. | Инструкция по парольной защите ИСПД |
Документ №1.15.1. | Инструкция по работе с носителями ПД |
Документ №1.15.2. | Положение по уничтожению носителей ПД |
Документ №1.15.3. | Форма Журнала учета носителей ПД |
Документ №1.15.4. | Перечень помещений для хранения и обработки ПД |
Документ №1.15.5. | Порядок доступа в помещение в которых хранятся ПД |
Документ №1.16.1. | Правила рассмотрения запросов субъектов ПД |
Документ №1.16.2. | Форма Журнала учета обращений субъектов ПД |
Документ №1.16.3. | Бланки Уведомлений субъектов персональных данных |
Документ №1.17. | Инструкция о порядке действий во внештатных ситуаций и восстановлению после сбоя в ИСПД |
Документ №1.18. | Инструкция о порядке обработки ПД без использования СА |
Документ №1.19. | Правила работы с обезличенными персональными данными |
Сведения о документах и нормативных актах в области обработки ПД |
Стоимость комплекта документов:
БЕСПЛАТНО - для абонентов компании "Юристы для турбизнеса "Байбородин и партнеры".
9 800 р. - типовой набор документов для турагентств и туроператоров.
от 30 000 р. - индивидуальная доработка документов.
-
1. УВЕДОМИТЬ РОСКОМНАДЗОР О НАМЕРЕНИИ ОБРАБАТЫВАТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ.
Основание ч.1 ст.22 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г.
«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных».
Уполномоченный орган - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
По общему правилу нужно отправить специальное уведомление в Роскомнадзор.
Порядок действий:
-
заполнить уведомление на сайте Роскомнадзора через специальную форму;
-
распечатать заполненную форму;
-
подписать распечатанную форму и направить в территориальный орган Роскомнадзора по месту нахождения Оператора (юридического лица или ИП).
Порядок заполнения формы указан в «Рекомендации по заполнению формы уведомления об обработке персональных данных».
Непредставление или несвоевременное предоставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ – штраф на граждан в размере от 100 до 300 руб., для должностных лиц (и ИП) – от 300 до 500 руб., для юридических лиц до 5 000 рублей.
2. СОБЛЮДАТЬ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
В соответствии с требованиями, установленными ст.5 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г., при обработке персональных данных Оператором должна быть основана на следующих принципах:
Принцип 1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
Пример: Оператор (Туроператор и/или турагент) не получили от туриста или иного заказчика туристского продукта, имеющего полномочия передать Оператору персональные данные туристов, письменное согласие на обработку персональных данных субъектов персональных данных – туристов (фамилию, имя, отчество, адрес регистрации, номер и иные реквизиты документа, удостоверяющего личность туристов), и приступил к бронированию туристских услуг и сообщил указанные сведения исполнителям услуг.
За совершение вышеуказанных действий Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.2 ст.13.11 КоАП РФ – административный штраф на должностных лиц (и ИП)- от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятидесяти тысяч до семидесяти пяти тысяч рублей.
Принцип 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Пример: Турист предоставил контактный номер телефона и/или электронной почты для экстренной связи или для получения документов, необходимых для получения туристских услуг, а туроператор или турагент используют данные контакты для рассылки рекламных предложений.
За совершение вышеуказанных действий Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.1 ст.13.11 КоАП РФ – административный штраф на должностных лиц (и ИП)- от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.
Принцип 3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Пример: База данных «Зарплата и управление персоналом» предназначенная для автоматизации кадрового учета и расчета заработной платы Оператора, не подлежит совмещению с базами данных, в которые Оператор (турагент или туроператор) заносит сведения о туристах.
Принцип 4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Пример: При формировании базы данных туристов, приобретающих туристский продукт, Оператора персональных данных (турагента или туроператора) не должны интересовать сведения об ИНН и СНИЛС туристов.
При формировании базы данных «Зарплата и управление персоналом» предназначенной для автоматизации кадрового учета и расчета заработной платы Оператора, Оператора персональных данных) не должны интересовать сведения о наличии у Работника прав на управление транспортным средством (если это не связанно с выполнением трудовых функций, предусмотренных Трудовым договором).
Принцип 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Пример: Оператор персональных данных (турагент или туроператор) запросил у туристов сканы паспортов, свидетельства ИНН. Сканы указанных документов не требуются для выполнения обязательств в рамках исполнения обязательств по предоставлению туристских услуг, входящих в состав туристского продукта.
За совершение вышеуказанных действий Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.1 ст.13.11 КоАП РФ – административный штраф на должностных лиц (и ИП)- от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.
Принцип 6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Принцип 7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Пример: Оператор персональных данных (турагент или туроператор) не удалил персональные данные, предоставленные туристом, из «Базы данных» или не уничтожил или обезличил персональные данные по истечении срока, указанного в согласии на обработку персональных данных, или по требованию туриста – субъекта персональных данных.
За совершение вышеуказанных действий Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.5 ст.13.11 КоАП РФ – предупреждение или наложение административного штрафа на должностных лиц (и ИП) - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.
3. ОБРАБАТЫВАТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ТОЛЬКО КОГДА ЭТО ПРЕДУСМОТРЕНО ФЕДЕРАЛЬНЫМ ЗАКОНОМ№152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ОТ 27.06.2006, СОБЛЮДАЯ ПРИНЦИПЫ И ПРАВИЛА, УСТАНОВЛЕННЫЕ ВЫШЕУКАЗАННЫМ ЗАКОНОМ.
Указанное требование можно разделить на три основные группы.
Группа 1. Оператор персональных данных (турагент или туроператор) должен обрабатывать персональные данные в силу закона.
-
Оператор персональных данных (турагент или туроператор) должен получить сведения о туристе, а также ином заказчике (физическом лице) в объеме, необходимом для реализации туристского продукта. Основание ст.10 Федерального закона №132-ФЗ «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 г. (в действующей редакции).
-
Оператор персональных данных (турагент или туроператор / Работодатель), в силу ст.65 ТК РФ получает от Работников следующие персональные данные:
-
паспорт или иной документ, удостоверяющий личность;
-
трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
-
страховое свидетельство обязательного пенсионного страхования;
-
документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
-
документ об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
-
справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с ТК РФ, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию. Данное требование актуально с учётом требований, установленных ст.4.1. Федерального закона №132-ФЗ «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 г. (в действующей редакции), для должностных лиц туроператоров.
-
Обработка указанных сведений при выполнении Оператором (Работодателем) возложенных на него трудовым законодательством обязанностей, в том числе связанных с их передачей в налоговые органы, внебюджетные фонды, подпадает под комментируемое основание.
Группа 2. Оператору персональных данных (турагенту или туроператору) персональные данные туристов нужны для осуществления основной деятельности.
-
Оператору персональных данных (турагенту или туроператору) понадобятся персональные данные туриста, для исполнения договора, стороной которого является турист или иной заказчик туристского продукта, а также для заключения договора по инициативе субъекта персональных данных (туриста) или договора, по которому субъект персональных данных (турист) будет являться выгодоприобретателем или поручителем.
-
Оператор персональных данных (турагент или туроператор) осуществляет обработку персональных данных в статистических или аналитических целях, при условии обезличивания персональных данных, целях продвижения туристских услуг на рынке туристских услуг РФ.
Группа 3. Оператор персональных данных (турагент или туроператор) собирает данные по собственной инициативе.
Оператор вправе обрабатывать данные, но для этого нужно соблюсти два условия:
-
Оператор персональных данных (турагент или туроператор) получил согласие на обработку персональных данных от субъекта персональных данных.
-
Оператор персональных данных (турагент или туроператор), использует только данные, которые сам субъект персональных данных сделал общедоступными неопределённому кругу лиц.
Пример: Оператор персональных данных (Работодатель) собирает данные соискателей, разместивших свои резюме, содержащее его персональные данные соискателей, в общем доступе на соответствующих ресурсах в интернете.
4. ПОЛУЧИТЬ СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ОТ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ.
В соответствии с п.1 ч.1 ст. 6 и ст.9 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. Оператор персональных данных (турагент или туроператор) имеет право осуществлять обработку персональных данных субъектов персональных данных (Работников, туристов и иных заказчиков (физических лиц) туристского продукта) только после получения соответствующего согласия от субъекта персональных данных или его законного представителя.
Если субъект персональных данных предоставляет Оператору персональные данные на бумажном носителе (например, укажет их в договоре, предоставит заверенные копии документов), согласие на обработку персональных данных необходимо оформить на бумажном носителе.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом №63-ФЗ «Об электронной подписи» от 06.04.2011 г. (в действующей редакции) электронной подписью.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
-
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
-
фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
-
наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
-
цель обработки персональных данных;
-
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
-
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
-
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
-
срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
-
подпись субъекта персональных данных.
Если организация или предприниматель планируют получать персональные данные физических лиц через сайт, есть два варианта.
Вариант 1. Разместить на сайте документ, который будет называться «Согласие на обработку персональных данных». Это самый распространенный вариант. Он подойдет для всех случаев, когда организация или предприниматель через свой сайт только собирают контактные данные и информируют о своих товарах или услугах.
Вариант 2. Разместить на сайте более подробный документ с названием «Пользовательское соглашение между владельцем и пользователем сайта». Этот вариант подойдет для тех случаев, когда доступ к сайту – и есть та услуга, которую покупает пользователь. Пользовательское соглашение позволяет заранее урегулировать возможные конфликтные ситуации, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию.
В связи с тем, что в соответствии с ч.1 ст.10 Федерального закона №132-ФЗ «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 г. (в действующей редакции), реализация туристского продукта осуществляется на основании договора, заключаемого в письменной форме, в том числе в форме электронного документа, между туроператором и туристом и (или) иным заказчиком, а в случаях, предусмотренных настоящим Федеральным законом, между турагентом и туристом и (или) иным заказчиком.
Таким образом, согласие на обработку персональных данных туристов должно быть оформлено в письменном виде, путём оформления документа на бумажном носителе, или в форме электронного документа, подписанного электронной подписью.
В соответствии с ч.4 ст.6 №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
Таким образом, Туроператор не обязан получать от туристов согласие на обработку персональных данных, так как данное согласие обязан получить турагент, заключивший соответствующий договор с туристом или заказчиком, которые являются субъектами персональных данных и представляют интересы лиц указанных в туристских документах.
В соответствии с ч.4 ст.6 Федеральным законом №63-ФЗ «Об электронной подписи» от 06.04.2011 г. (в действующей редакции), в случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
В случае если Оператор осуществляет обработку персональных данных без получения соответствующего согласия от субъекта персональных данных, Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.2 ст.13.11 КоАП РФ – административный штраф на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятидесяти тысяч до семидесяти пяти тысяч рублей.
РЕКОМЕНДАЦИЯ
Стоит под каждой формой ввода данных на сайте или в мобильных приложениях:
-
дать ссылку на текст согласия на обработку персональных данных;
-
разместить на сайте кнопку с текстом: «Даю согласие на обработку персональных данных».
Смысл в том, чтобы пользователь сайта не мог отправить свои персональные данные без согласия на их обработку.
В соответствии с ч.2. ст.9 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции) согласие на обработку персональных данных может быть отозвано субъект персональных данных.
В соответствии с ч.5 ст.21 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), в случае отзыва согласия на обработку персональных данных, Оператор обязан прекратить обработку персональных данных в течение 30 (Тридцати) дней с даты поступления указанного отзыва.
В случае если Оператор не выполнит в указанный срок требование субъекта персональных данных, Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.5 ст.13.11 КоАП РФ – предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.
Внимание! Нельзя включать согласие на обработку персональных данных в типовую форму договора без возможности сделать отметку об отказе.
5. ОПУБЛИКОВАТЬ НА САЙТЕ ДОКУМЕНТ, ОПРЕДЕЛЯЮЩИЙ ПОЛИТИКУ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
В соответствии с ч.2 ст.18.1. Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
В случае неисполнения вышеуказанного требования, Оператор может быть привлечён к административной ответственности, предусмотренной ч.3 ст.13.11. КоАП РФ – предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.
РЕКОМЕНДАЦИЯ
Разместить на одной странице сайта Оператора ссылки на следующие документы:
-
документ, определяющий политику в отношении обработки персональных данных («Политика защиты и обработки персональных данных»);
-
документ, содержащий сведения о реализуемых требованиях к защите персональных данных («Положение о порядке хранения и защиты персональных данных пользователей»);
-
«Согласие на обработку персональных данных».
6. ПРЕДОСТАВИТЬ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ.
В соответствии с ч.7 ст.14 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
-
подтверждение факта обработки персональных данных оператором;
-
правовые основания и цели обработки персональных данных;
-
цели и применяемые оператором способы обработки персональных данных;
-
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
-
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
-
сроки обработки персональных данных, в том числе сроки их хранения;
-
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
-
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
-
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
-
иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
В соответствии с ч.1 ст.20 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), Оператор обязан сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
В случае невыполнения вышеуказанного требования, Оператор может быть привлечён к административной ответственности, предусмотренной ч.4 ст.13.11. КоАП РФ – предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.
7. ПО ТРЕБОВАНИЮ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ УТОЧНИТЬ, БЛОКИРОВАТЬ ИЛИ УНИЧТОЖИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ.
В соответствии с ч.1 ст.14 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), субъект персональных данных вправе требовать от Оператора:
-
уточнения его персональных данных,
-
блокирования или уничтожения персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Сроки выполнения указанных требований субъекта персональных данных установлены ст.21. Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции).
-
В случае выявления неправомерной обработки персональных данных Оператор обязан осуществить блокирование персональных данных с момента такого обращения или получения указанного запроса на период проверки.
-
В случае выявления неточных персональных данных при обращении субъекта персональных данных осуществить блокирование персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
-
В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных уточнить персональные данные либо обеспечить их уточнение) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
-
В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором.
-
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором.
В случае если Оператор не выполнит в указанный срок вышеуказанные требования, Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.5 ст.13.11 КоАП РФ – предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.
РЕКОМЕНДАЦИЯ
Рекомендуем указать на сайте Оператора адрес электронной почты, по которому субъект персональных данных может обратиться, чтобы его данные уточнили или удалили.
Если специального адреса нет, то лицо отправит запрос на общую почту, которую указали на сайте в соответствующем разделе. В этом случае нужно контролировать, чтобы такое письмо не потерялось в общей почте.
8. ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ.
В соответствии с ч.1 ст.19 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры в целях:
-
защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных;
-
исключения неправомерных действий в отношении персональных данных.
-
Организационные меры:
-
Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных;
-
издание Оператор документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
Технические меры по обеспечению безопасности персональных данных при их обработке зависят от способа обработки персональных данных.
Способ 1. Обработка персональных данных, без использования средств автоматизации (Неавтоматизированная обработка).
Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется на основании Правил (локального нормативного акта), разработанного Оператором, с учётом требований «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённого Постановлением Правительства РФ №687 от 15 сентября 2008 г..
В соответствии с п.1 «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённого Постановлением Правительства РФ №687 от 15 сентября 2008 г., обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
В соответствии с п.3 «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённого Постановлением Правительства РФ №687 от 15 сентября 2008 г., обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
При обработке персональных данных, без использования средств автоматизации (Неавтоматизированная обработка), Оператор должен:
-
Хранить персональные данные (материальные носители), относящиеся к разной категории (персональные данные Работников – одна категория, персональные данные туристов – другая категория), определив:
-
- отдельное место хранение каждой категории персональных данных, в том числе место хранения материальных носителей, содержащих персональные данные различных субъектов персональных данных;
-
- перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
-
-
Хранить материальные носители персональные данные с соблюдением условий, которые обеспечивают:
-
- сохранность персональных данных и их материальных носителей;
-
- невозможность доступа к персональным данным лиц, неимеющего соответствующего
-
Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Оператором, и указываются в «Правилах обработки персональных данных, без использования средств автоматизации», разработанных и утверждённых Оператором.
Способ 2. Автоматизированная обработка персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Обработка персональных данных считается автоматизированной при условии, когда обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются без непосредственного участия человека.
Данное определение основано на разъяснении понятия «обработка персональных данных, осуществляемая без использования средств автоматизации», приведённого в «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённого Постановлением Правительства РФ №687 от 15 сентября 2008 г.
При осуществлении автоматизированной обработки персональных данных Оператор обязан:
-
Установить тип угрозы безопасности персональных данных, актуальных при обработке конкретного типа персональных данных в информационных системах Оператора.
Перечень типов угроз, приведён в п.6 «Требований к защите персональных данных при их обработке в информационных системах персональных данных» утверждённых Постановление Правительства РФ №1119 от 01.11.2012 г. -
Установить уровень защищённости персональных данных, обрабатываемых в информационных системах.
Условия, определяющие необходимы уровень защищённости персональных данных, обрабатываемых в информационных системах, определены в п.9-п.13 «Требований к защите персональных данных при их обработке в информационных системах персональных данных» утверждённых Постановление Правительства РФ №1119 от 01.11.2012 г. -
Установить и обеспечить выполнение организационно-технических мер, направленных на обеспечение безопасности обработки персональных данных, с учётом соответствующего уровня защищённости.
Перечень таких мер и требования по их соблюдению определены в следующих нормативных документах:
-
Постановлении Правительства РФ №1119 от 01.11.2012 г.;
-
Приказе ФСТЭК №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от «18» февраля 2013 г.;
-
Приказе ФСБ России №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации...» от «10» июля 2014 г.
Владельцу небольшого сайта (турагенту или небольшому туроператору) достаточно обеспечить минимальный (четвертый) уровень защиты персональных данных.
Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Владельцу сайта, позиционирующего себя как туроператор, которому поступили персональные данные более чем 100 000 (Ста тысяч) туристов, достаточно обеспечить третий уровень защиты персональных данных.
Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4-го уровня, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Способ 3. Смешанная обработка персональных данных.
При смешанной обработке персональных данных, необходимо учитывать требования указанные в Способе 1 и Способе 2.
Для выполнения закона необходимо соблюдать указанные требования, а также внедрить комплект необходимых документов.
Вы можете самостоятельно подготовить документы или заказать готовый комплект.
Закажите комплект документов прямо сейчас - кликните по этой ссылке:
-