Кто является оператором персональных данных?
Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.
Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.
Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:
-
обрабатываемых в соответствии с трудовым законодательством;
-
полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
-
относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
-
сделанных субъектом персональных данных общедоступными;
-
включающих в себя только фамилии, имена и отчества субъектов персональных данных;
-
необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
-
включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
-
обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
-
обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.
Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.
Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.
Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.
ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Согласие субъекта персональных данных на обработку его персональных данных
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
3.2 Права субъекта персональных данных
Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.
Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.
ОБЩИЕ ПОЛОЖЕНИЯ
Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – ФЗ-152).
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Обществе с ограниченной ответственностью «Агентство Судебного Взыскания» (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В Политике используются следующие основные понятия:
Цели сбора ПД.
Здесь важно указать, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей и не допускается обработка данных, несовместимая с целями их сбора. Сами же цели обработки проистекают в том числе из анализа правовых актов, регламентирующих деятельность того или иного оператора, целей фактически осуществляемой им деятельности и деятельности, предусмотренной учредительными документами, а также отдельных бизнес-процессов оператора в информационных системах персональных данных (п
3.2 Рекомендаций).
В частности, цели обработки, общие для большинства учреждений (в том числе автономных), могут быть следующими:
1) заключение трудовых договоров, договоров с контрагентами, выполнение обязательств по этим договорам;
2) кадровое планирование, принятие решения о трудоустройстве кандидата на должность;
3) исполнение налогового законодательства, ведение бухгалтерского учета;
4) осуществление пропускного режима;
5) организация предоставления услуг на основании законодательства, действующего в профильной сфере.
Последний пункт – отсылка к отраслевому законодательству. Здесь речь идет об услугах, которые учреждение оказывает в рамках уставной деятельности: предоставление дошкольного, дополнительного или среднего специального образования, оказание государственных и муниципальных услуг на базе многофункционального центра и т. д.
