Интернет-интервью с руководителем Управления Роскомнадзора по Ростовской области А.Н. Вагановым на тему персональных данных

Ответы Управления Роскомнадзора по Ростовской области на вопросы,

поступившие в период проведения РИЦ «Информ-Групп» Интернет-интервью с участием руководителя Управления Роскомнадзора по Ростовской области А. Н. Ваганова 

1. ООО КФ «Азия-Дон».

1. Александр Николаевич, подскажите, пожалуйста, обязана ли наша организация (торговое предприятие малого бизнеса) регистрироваться в реестре операторов персональных данных в Роскомнадзоре, если мы обрабатываем  персональные данные только по своим сотрудникам, участникам общества (не сотрудникам организации) и контрагентам? 

1.1. В соответствии с ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Часть 2 ст. 22 Федерального закона «О персональных данных» предусматривает случаи, когда оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа. Таких исключений – 9.

Решение о предоставлении уведомления оператор принимает самостоятельно. Но при этом надо учитывать, что при проведении проверок или в случае рассмотрения обращений, выявленная необоснованная обработка персональных данных без уведомления будет классифицироваться, как нарушение требований Федерального закона «О персональных данных».

Наиболее простое и правильное решение для оператора – подать уведомление.

Для упрощения процесса заполнения уведомления Роскомнадзором реализована возможность заполнения Уведомления в электронном виде на Портале персональных данных в сети Интернет (pd.rsoc.ru).

Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Управления Роскомнадзора по Ростовской области в сети «Интернет» (61.rsoc.ru). 

2. И поясните, пожалуйста, ситуацию по ответственности за разглашение персональных данных сотрудников, когда данные сотрудников передаются (например, оформление доверенности на получение ТМЦ) контрагентам? Есть ли при такой ситуации необходимость дополнительного оформления согласия сотрудника?

1.2. В соответствии с ст. 88 Трудового кодекса Российской Федерации работодатель не должен сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Кодексом или иными федеральными законами. Содержание письменного согласия субъекта персональных данных определено ч. 4 ст. 9 Закона.

Таким образом, передача персональных данных работника третьей стороне допускается при наличии письменного согласияработника на обработку персональных данных или без письменного согласия в случаях, предусмотренных федеральными законами/ 

2. Жукова Екатерина.

Здравствуйте!

Александр Николаевич, поясните, пожалуйста, в связи с реализацией Федерального закона  № 152-ФЗ от 27.06.2006 г. "О защите персональных данных" обязано ли общество на основании письма из суда  (не судебного акта) предоставить в адрес суда сведения о месте проживания или месте регистрации работника (гражданина Республики Беларусь) на территории Российской Федерации. В суде рассматривается дело о признании и разрешении принудительного исполнения на территории России определения о судебном приказе суда Республики Беларусь. 

В соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом

Запрос Суда о предоставлении персональных данных работника должен содержать законные основание для такого предоставления, то есть ссылку на федеральный закон, определяющий право оператора запрашивать и обрабатывать персональные данные.

 

3.Сеть ресторанов РИС.

Здравствуйте!

В рамках проекта Интернет-интервью, хочу задать Вам вопрос. Как нужно хранить персональные данные в рабочем компьютере. Информация исключительно рабочая, т.е. договоры, претензии и т.п. (с указанием паспортных данных). Действительно ли необходимо каждый файл держать под персональным паролем? Ведь это же нереально. Подскажите, пожалуйста, способ, который будет реально исполним, и надлежащим, для контролирующих органов при проверке. 

В соответствии с ч. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Согласно ч. 2 ст. 19 Федерального закона «О персональных данных» обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Кроме того, постановлением Правительства РФ от 17.11.2007 № 781 утверждено «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

В указанных документах не указано требование «о необходимости каждый файл держать под персональным паролем».

 

4. Комарова Элла Викторовна, адвокат.

Законна ли деятельность коллекторских организаций? Ведь для выполнения своих обязанностей перед заказчиком (банки и прочие кредитные организации) коллекторские организации получают от них персональные данные (Ф.И.О., почтовый адрес, телефон, сумма задолженности, номер договора и т.п.) задолжников. 

Статьёй 6 Федерального закона от 27 июля2006 г. № 152-ФЗ «О персональных данных» (далее – Закон) определены условия обработки персональных данных. Обработка персональных данных, в соответствии с п. 3 ч. 3 Закона, включает в себя в том числе передачу персональных данных. Таким образом, передача оператором персональных данных третьему лицу, при соблюдении условий обработки персональных данных, указанных в ст. 6 Закона, не противоречит законодательству Российской Федерации в области персональных данных.

 

5. ООО «СЕСМИ» 

Добрый день, подскажите, пожалуйста: Если фирма численностью 14 человек, на УСН доходы, данные передаем только в ПФР, 1 раз в год в цифрах в статистику, отчеты в экологию, ФСС, ИФНС и при заключении договоров аренды вписываем данные арендатора в договор (ИНН/КПП, ОГРН, ФИО, адрес, банковские реквизиты), в программах exell, 1с, word ведется зарплата, договоры аренды, счета, акты, трудовые договоры, налоговые карточки, индивидуальные сведения по ПФР, личные карточки, которые имеются в распечатанном виде. Что должно быть в данной организации для соблюдения закона №152-ФЗ от 27.06.2006г. "О персональных данных"? 

Обязанности оператора персональных данных определены в гл. 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В соответствии с ч. 3 ст. 19 Федерального закона «О персональных данных»: Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Постановлением Правительства РФ от 17.11.2007 № 781 утверждено «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Постановление Правительства РФ от 15.09.2008 № 687 утверждено «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

 

6. Геннадий Жаданов, юрист.

Уважаемый Александр Николаевич, подскажите, пожалуйста, при заключении договора между юрлицами в тексте договора упоминаются контактные лица с указанием ФИО, должности, рабочих телефонов, адреса эл. почты. Контрагент требует от нас согласие генерального директора и всех упоминаемых в договоре контактных лиц на обработку персональных данных. Обязаны ли мы предоставлять такое согласие? 

Требование стороны договора о предоставлении физическими лицами, указанными в договоре, согласия на обработку персональных данных, не противоречит Федеральному закону от 27 июля2006 г. № 152-ФЗ «О персональных данных» (далее – Закон).

Юридическое лицо, требующее предоставить согласия физических лиц, персональные данные которых указаны в договоре, таким образом, стремится выполнить требования ч. 3 ст. 9 Закона: обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона, возлагается на оператора.

Решение о предоставлении согласий на обработку персональных данных, как и решение о заключении договора, организация принимает самостоятельно. При этом надо учитывать, что: персональные данные работников, согласно ст. 88 Трудового кодекса Российской Федерации» (далее – Кодекс), работодатель не должен сообщать третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Кодексом или иными федеральными законами. Содержание письменного согласия субъекта персональных данных определено ч. 4 ст. 9 Федерального закона «О персональных данных».

Согласно ч. 8 ст. 9 Закона, персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона.

 

7. ООО «Аудит- Консалтинг»

Здравствуйте.

Имеют ли право банки и иные кредитные организации передавать какие-либо персональные данные о своих клиентах-задолжниках третьим лицам, выполняющим роль коллекторов? 

Особенности передачи банковскими организациями персональных данных  коллекторским агентствам Федеральным законом от 27 июля2006 г. № 152-ФЗ «О персональных данных» не определены. Передача персональных данных допускается, при соблюдении общих условий, указанных в ст. 6 Федерального закона «О персональных данных».

 

8. ООО «Сапфир»

1. Я оформила дисконтную карту в магазине парфюмерии и согласилась на новостную рассылку посредством смс. Теперь мне шлют рекламу несколько магазинов. Было ли нарушено законодательство и как избавиться от подобных рассылок?

2. Я часто совершаю покупки через Интернет. На компьютере стоит антивирус. Есть ли у меня гарантии, что мои данные не будут использованы для рекламным рассылок, или мои данные не попадут в руки мошенникам? 

В соответствии с ч. 1 ст. 15 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон) обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласиясубъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

Если при получении дисконтной карты Вы дали согласие на обработку персональных данных магазину и партнерам магазина, то обработка этими операторами Ваших персональных данных в целях направления рекламы будет законной.

Согласно ч. 2 ст. 15 Закона оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.

 

9. ООО «Спецзащита»

Здравствуйте!

У  меня такой вопрос: Что делать если работник отказывается подписывать согласие? Имеет ли он право это делать? Как обрабатывать в этом случае его персональные данные? 

В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон) субъект персональных данных (работник) принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободносвоей волей и в своем интересе.

В случае отсутствия согласия на обработку персональных данных, отзыва субъектом персональных данных согласия на обработку персональных данных, оператор вправе обрабатывать персональных данных без согласия субъекта персональных данных при наличии оснований указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона. Одним из таких оснований, согласно п. 2 ч. 1 ст. 6 Закона, является обработка персональных данных, необходимая для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Кроме того, согласно ч. 2 ст. 18 Закона, если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

 

10. ООО «ДонТехАльянс»

Здравствуйте!

Число сотрудников, работающих в нашей организации, менее 20 человек.  Требуется ли нашему  ИТ-специалисту произвести какие-либо дополнительные меры по защите персональных данных сотрудников, хранящихся на нашем сервере? 

В соответствии с ч. 1 ст. 19 Федерального закона от 27 июля2006 г. № 152-ФЗ «О персональных данных» (далее – Закон) оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Согласно ч. 2 ст. 19 Закона обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Кроме того, постановлением Правительства РФ от 17.11.2007 № 781 утверждено «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

 

 

11. ООО «Мибок»

Здравствуйте, Александр Николаевич. Слышал об аттестации информационных систем персональных данных, хотелось бы узнать, в каких случаях необходимо проводить такую аттестацию в обязательном порядке? Если информационная система ПД представляет собой Интернет-сайт, как и кто будет проводить аттестацию? Спасибо за ответ. 

Согласно ч. 4 ст. 19 Федерального закона от 27 июля2006 г. № 152-ФЗ «О персональных данных» состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий.

Таким образом, по вопросам обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Вам необходимо обратиться в соответствующие органы.

 

12. Жеребцова Мария

Добрый день, Александр Николаевич. Возник такой вопрос: можно ли без письменного согласия работника (ст. 88 ТК РФ) предоставлять аудиторской организации документы, содержащие персональные данные работников (например, трудовой договор или лицевую карточку работника)? Законом об аудиторской деятельности прямо не предусматривается обязанность организации сообщать аудиторам информацию, содержащую ПД работника. 

Особенности передачи персональных данных аудиторским организациям Федеральным законом от 27 июля2006 г. № 152-ФЗ «О персональных данных» не определены. Передача персональных данных допускается при соблюдении общих условий, указанных в ст. 6 Федерального закона «О персональных данных».

 

13. ООО «ВАТ»

Уважаемый Александр Николаевич, при устройстве на работу сейчас работодатели требуют подписать разрешение на обработку персональных данных, также при обращении в поликлинику. Если не подписывать данное разрешение, возможен ли отказ в приеме на работу или оказании услуг в поликлинике? 

Целью Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон) является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.

Действия операторов (работодатель, медицинские, образовательные учреждения и т. д.), направленные на получение от граждан (субъекты персональных данных) согласия на обработку персональных данных, не противоречат Закону. Наличие согласий на обработку персональных данных позволяет привести отношения между субъектами персональных данных и оператором в соответствии с требованиями Закона.

В ч. 2 ст. 6 Закона определены случаи, при которых обработка персональных данных может осуществляться без согласия на обработку персональных данных. К таким случаям, в том числе, относится: обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом; для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Кроме того, согласно ч. 2 ст. 18 Закона, если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. 

 

14. СКЭСС

Уважаемый Александр Николаевич, имеет ли право работодатель предоставлять информацию о сотруднике бывшим женам (мужьям), какая за это ответственность? 

В соответствии со ст. 88 «Трудового кодекса Российской Федерации» работодатель не должен сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Кодексом или иными федеральными законами. Содержание письменного согласия субъекта персональных данных определено ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Таким образом, передача персональных данных работника третьей стороне допускается при наличии письменного согласияработника на обработку персональных данных.

Согласно ч. 1 ст. 21 Федерального закона «О персональных данных» лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

 

15. ООО «Вектор-2000»

Уважаемый Александр Николаевич, почему нельзя вывешивать на двери подъезда многоквартирного дома информацию о должниках, если на сайте ФНС такую информацию можно увидеть? 

В соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон) операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространятьперсональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В соответствии с ч. 1 ст. 8 Закона персональных данных могут включаться в общедоступные источники персональных данных только с письменного согласия субъекта персональных данных.

Содержание письменного согласия на обработку персональных данных определено в ч. 4 ст. 9 Закона.

Требования Закона распространяются на всех операторов, осуществляющих обработку персональных данных, в том числе на Федеральную налоговую службу. Согласно ч. 1 ст. 21 Закона лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

 

16. ОАО «Ростовгорстрой»

Уважаемый Александр Николаевич, обязан ли работодатель ставить в известность сотрудника о том, что о нем интересовались и просили предоставить информацию, например, банки? 

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не определяет обязанность оператора (работодателя), обрабатывающего персональные данные субъекта персональных данных (работника), информировать его о фактах получения от третьих лиц запросов на предоставление персональных данных работника.

Дополнительно сообщаем, что обработка персональных данных работника должна осуществляться, в том числе, в соответствии с Трудовым кодексом Российской Федерации.

 

17. ООО «Консоль»

Уважаемый Александр Николаевич, несет ли работодатель ответственность, если неизвестные  взломали базу данных о сотрудниках фирмы и использовали её в корыстных целях. 

В соответствии с ч. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон) оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Согласно ч. 1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.