huis-Browsers-Organisatie als beheerder van persoonsgegevens. Of misschien niet melden over de verwerking van persoonsgegevens? Hoe de toezichthouder informeren over de start van de verwerking van persoonsgegevens van werknemers

Organisatie als beheerder van persoonsgegevens. Of misschien niet melden over de verwerking van persoonsgegevens? Hoe de toezichthouder informeren over de start van de verwerking van persoonsgegevens van werknemers

De activiteiten van elke organisatie brengen onvermijdelijk de verwerking van persoonsgegevens in een informatiesysteem (ISPDN) met zich mee. Elk bedrijf dat vertrouwelijke informatie over werknemers, klanten, partners en andere personen gebruikt, moet zich registreren als een beheerder van persoonsgegevens.

De procedure voor het opslaan en beschermen van persoonsgegevens

De organisatie van de bescherming van vertrouwelijke informatie verloopt in verschillende fasen:

  • Controle van de initiële werkzaamheden met betrekking tot de verwerking van persoonsgegevens (herziening van het lokale regelgevingskader, analyseren van informatiestromen van PD en ISPD in het algemeen, identificeren van tekortkomingen en bedreigingen voor de beveiliging van het informatiesysteem, doen van voorstellen om tekortkomingen te corrigeren, verbeteren van systemen voor de bescherming van persoonsgegevens ).
  • Ontwikkeling van een regelgevend kader voor de bescherming van persoonsgegevens. Deze fase omvat de classificatie van ISPD en registratie als beheerder van persoonsgegevens bij Roskomnadzor.
  • Ontwerpen van een systeem voor de bescherming van persoonsgegevens - het kiezen van methoden, maatregelen en klassen van middelen voor de bescherming van persoonsgegevens, het ontwikkelen van technische documentatie voor het maken van PDS, evenals het ontwikkelen van specifieke maatregelen om informatie in elke specifieke PDIS te beschermen.
  • Implementatie van PDIS - in werking stellen van PD-beveiligingssystemen en opzetten van bestaande middelen voor PD PD-beveiliging.
  • ISPD-conformiteitsbeoordeling, in het kader waarvan beoordelingstesten van ISPD worden uitgevoerd en het bijbehorende Certificaat wordt afgegeven.

Registratie als beheerder van persoonlijke gegevens in het Roskomnadzor-register maakt deel uit van het algehele proces van het organiseren van de verwerking en bescherming van persoonlijke gegevens.

Stadia van registratie van de ISPD-operator bij Roskomnadzor

De registratie van de ISPD-operator omvat de volgende fasen:

  • Ontwikkeling en goedkeuring van een regelgevend kader voor de verwerking en bescherming van persoonsgegevens.
  • Het invullen van het meldingsformulier van het voornemen om persoonsgegevens te verwerken op de website van het territoriale lichaam van Roskomnadzor.
  • Het versturen van een melding aan het informatiesysteem van de Bevoegde Instantie voor de Bescherming van de Rechten van Persoonsgegevens.
  • Een ingevuld formulier met handtekeningen afdrukken.
  • Een afgedrukt kennisgevingsformulier verzenden naar het juiste territoriale agentschap van Roskomnadzor op de plaats van registratie van de exploitant.

Wij nodigen u uit om met behulp van onze online service de documenten op te stellen die nodig zijn voor de registratie als beheerder van persoonsgegevens. Deze pagina bevat wetten, instructies, reglementen, journaals, mededelingen en andere documenten.

Dit patroon wordt vaak gebruikt bij:

  • Informatiebrief over wijziging van de gegevens in het register van operators die persoonsgegevens verwerken
  • Toestemming voor het doorgeven van persoonsgegevens aan derden
  • Lijst van persoonsgegevens die worden beschermd in ISPD
  • Bescherming van persoonsgegevens in onderwijsinstellingen

Populaire documenten en procedures:

Registratie van de beheerder van persoonsgegevens voor intern gebruik

blz. 4 - dit moet door elke rechtspersoon worden gedaan. aan een persoon of individuele ondernemer, als hij de verwerking van persoonsgegevens van werknemers en opdrachtgevers op zich neemt?

wij zijn een bedrijf dat een systeem heeft gecreëerd en bespreekt waar de persoonlijke gegevens van de klanten van de klant aanwezig zijn, de set van deze documenten past niet bij ons, het is meer geschikt wanneer de werkgever de gegevens van zijn werknemers verwerkt, maar hetzelfde is niet helemaal hetzelfde.

Hallo! er zijn een paar vragen over het aanpassen van sjablonen. 1) Vertel me hoe u de ISPD-systeemsjablonen kunt aanpassen om het systeem te classificeren voor huidige type 1-bedreigingen en de noodzaak om het 1e beschermingsniveau te garanderen. Zullen de voorgestelde sjablonen in dit geval consistent met elkaar zijn? 2.) Is het mogelijk om alle documenten van het systeem (28 documenten) vooraf in te vullen met de initieel ingevoerde gegevens (naam van de rechtspersoon, categorieën persoonsgegevens), of moet u deze elke keer invullen een apart document van het systeem?

Specificeer, alstublieft, wat is het minimaal mogelijke niveau van beveiliging van persoonlijke gegevens dat kan worden afgegeven op basis van uw sjablonen? (we zijn geïnteresseerd in het minimaliseren van de kosten van het systeem. PD van werknemers en aannemers zullen worden verwerkt. We verwerken geen speciale categorieën van PD en biometrische gegevens)

Hallo! Wij zijn geïnteresseerd in het gebruik van het mechanisme voor het bijhouden en vastleggen van taken in het kader van de werkzaamheden van onze medewerkers, door een account (persoonlijk account) te registreren met de naam van de medewerker (gebruikersnaam) en hiervoor een unieke identifier (login) en wachtwoord te verstrekken record, zoals aanbevolen in uw sjabloon "Regelgeving intellectueel eigendom", clausule 6.2. Tegelijkertijd stelt clausule 6.4 van de bovengenoemde Intellectual Property Regulations dat alle zakelijke e-mailadressen en alle logins of gebruikersnamen in de Software Tools worden aangegeven in een speciaal intern document dat is goedgekeurd door de algemeen directeur van het bedrijf, dat wordt bijgewerkt en indien nodig aan alle medewerkers van het bedrijf worden medegedeeld, d.w.z. de gegevens worden aan anderen bekendgemaakt. Gelieve volgende vragen te verduidelijken: 1.) Hebben persoonsgegevens (en zo ja, tot welke categorie) betrekking op de accountgegevens (persoonlijk account) met de naam van de werknemer (gebruikersnaam) en de unieke identifier (login) en wachtwoord van de medewerker in het interne systeem Van de Operator, het e-mailadres van de medewerker in het interne systeem van de Operator? 2.) als dergelijke gegevens verwijzen naar persoonlijke gegevens, zullen er dan eigenaardigheden zijn bij het gebruik ervan in uw sjablonen voor ISPD (zal dit niet de noodzaak met zich meebrengen om cryptografische beschermingstools aan te schaffen, enz.)?

Hallo! Volgens de wetgeving is het niet nodig om de toezichthouder te informeren bij de verwerking van persoonsgegevens die worden verwerkt in overeenstemming met de arbeidswetgeving. Maar hoe zit het met kandidaten die niet worden aangenomen? Hun gegevens zijn gebleven, hebben we het recht om ze op te slaan zonder de toezichthouder op de hoogte te stellen? Bijvoorbeeld als de kandidaat de proeftijd niet heeft gehaald (hier is sprake van een duidelijke arbeidsverhouding). Of werd bijvoorbeeld niet eens toegelaten tot het examen? We hebben deze gegevens vandaag niet nodig, maar morgen hebben we het profiel verhoogd, een persoon uitgenodigd en een baan gevonden. Zal dit bepaling 86 van artikel van de arbeidswet zijn in het deel "verwerking van persoonsgegevens van werknemers kan uitsluitend worden uitgevoerd met het oog op naleving van wetten en andere regelgevende rechtshandelingen, bijstand aan werknemers in dienstverband" en kan dienovereenkomstig worden uitgevoerd zonder medeweten van de toezichthouder?

Hallo. Is het gegevensverwerkingspakket ontwikkeld voor medewerkers of opdrachtnemers?

Moet u de documenten online of na het downloaden alleen in WORD invullen?

Hallo! Als u de persoonsgegevens van uw medewerkers of klanten verwerkt, dan is het absoluut noodzakelijk om deze te beschermen. Het is noodzakelijk om de juiste set lokale voorschriften te ontwikkelen die in de procedure worden gepresenteerd, evenals technische maatregelen te nemen, als de verwerking in een geautomatiseerde of gedeeltelijk geautomatiseerde modus wordt uitgevoerd, en organisatorisch. De uitzondering geldt alleen voor het indienen van een melding bij Roskomnadzor voor registratie als persoonlijke operator. Al deze uitzonderingen worden uiteengezet in artikel 22, lid 2, 152-FZ. De meest voorkomende uitzonderingen zijn de verwerking van persoonsgegevens van werknemers in het kader van de arbeidswetgeving, verwerking van persoonsgegevens van klanten in het kader van de uitvoering van de overeenkomst (bijvoorbeeld om de goederen te kunnen leveren, moet de klant weten wat zijn adres, paspoortgegevens).

Hallo! Volgens lid 2 van art. 3 van wet nr. 152-FZ betekent een beheerder van persoonsgegevens in het bijzonder een rechtspersoon die zelfstandig of samen met andere personen de verwerking van persoonsgegevens organiseert en (of) uitvoert. De verwerking van persoonsgegevens betekent elke actie (bewerking) of een reeks acties (bewerkingen) die worden uitgevoerd met behulp van automatiseringstools of zonder gebruik van dergelijke tools met persoonlijke gegevens, inclusief verzameling, registratie, systematisering, accumulatie, opslag, verduidelijking (bijwerken, wijzigen), extractie, gebruik, overdracht (distributie, verstrekking, toegang), depersonalisatie, blokkering, verwijdering, vernietiging van persoonlijke gegevens (clausule 3 van artikel 3 van wet nr. 152-FZ) of een of een combinatie van de hierboven genoemde acties, - volgens de wet bent u de beheerder van persoonlijke gegevens, met alle volgende verplichtingen. De wet maakt geen uitzondering voor die operators die PD niet rechtstreeks van de proefpersonen hebben opgehaald, maar PD van een andere operator hebben ontvangen. De exploitant is degene die de verwerking uitvoert, d.w.z. eenieder die ten minste één van de in art. 3 ФЗ № 152 acties met PD. En in dit geval raden we u aan de procedure te volgen: http://www..Bedankt voor het gebruik van de service!

Hallo! U moet de vragen van de vragenlijst aan de linkerkant van de pagina beantwoorden - er wordt automatisch een pakket met benodigde documenten gegenereerd. Als de ingevoerde waarde in een document identiek is voor een ander document in het algemene pakket, dan wordt deze automatisch ingevuld in dit document. Documentsjablonen zijn geschikt om het 1e niveau van PD-beveiliging te waarborgen. Wij vestigen uw aandacht op het feit dat het naast het ontwikkelen van documentatie ook noodzakelijk is om technische beschermingsmaatregelen te ontwikkelen en uit te voeren. De samenstelling en inhoud van dergelijke "basis" maatregelen wordt bepaald in de volgorde van FSTEC No. 21 van 18 februari 2013 "Na goedkeuring van de samenstelling en inhoud van organisatorische en technische maatregelen om de veiligheid van persoonsgegevens te waarborgen tijdens hun verwerking in persoonlijke data-informatiesystemen." Bedankt voor het gebruik van onze service!

zie antwoord hieronder

Hallo! Persoonlijke gegevens zijn alle informatie waarmee u een persoon nauwkeurig kunt identificeren (in de zin van de federale wet van 27.07.2006 N 152-FZ "Over persoonlijke gegevens"). In dit geval zijn afzonderlijk genomen zakelijke e-mailadressen en logins of gebruikersnamen persoonsgegevens van werknemers die nodig zijn voor de werkgever in verband met arbeidsverhoudingen, wat op zich niet de eigenaardigheden met zich meebrengt van het toepassen van een speciaal beschermingsregime (mits naleving met de vereisten die zijn vastgesteld door hoofdstuk 14 van de arbeidswet van de Russische Federatie). We raden u aan om vertrouwd te raken met de procedure op de link: http: // www .. Dank u voor het gebruik van onze service!

Hallo. De werkgever heeft het recht om, zonder Roskomnadzor hiervan op de hoogte te stellen, de persoonsgegevens van kandidaten voor functies te verwerken, hun cv op te slaan en zowel een papieren als een elektronische database van sollicitanten te vormen, mits hun schriftelijke toestemming. Deze conclusie is gebaseerd op het feit dat in overeenstemming met paragraaf 1 van deel 2 van art. 22 van de federale wet van 27.07.2006, nr. 152-FZ "Over persoonlijke gegevens", zonder de bevoegde instantie op de hoogte te stellen, kan de verwerking van gegevens die zijn verwerkt in overeenstemming met de arbeidswetgeving worden uitgevoerd. De persoonlijke gegevens van sollicitanten kunnen worden opgeslagen in de database met de werkgever, indien schriftelijk de toestemming van de kandidaat en de periode van dergelijke opslag is aangegeven. Wat betreft voormalige werknemers (aangezien ze de test niet hebben doorstaan), zijn wij van mening dat als de arbeidswet van de Russische Federatie of andere wetten niet verplicht zijn om de gegevens van voormalige werknemers te verwerken, een dergelijke verwerking alleen mag worden uitgevoerd met de kennisgeving van Roskomnadzor (indien er geen andere gronden zijn om persoonsgegevens te verwerken zonder melding te doen, bijvoorbeeld de verwerking van persoonsgegevens zonder het gebruik van automatiseringstools). We raden u aan dit probleem op te lossen met de bevoegde instantie. Dankjewel voor je aanvraag.

22 artikel 152-FZ werd vereerd. Maar aangezien we niet met alle sollicitanten wiens persoonsgegevens we verzamelen arbeidsrelaties aangaan (we accepteren ze om te testen of nodigen ze in ieder geval uit voor interviews), moet Roskomnadzor in dit geval toch op de hoogte worden gesteld.

Hallo. De verwerking van persoonsgegevens van sollicitanten vindt ook plaats in het kader van de arbeidswetgeving. Volgens het standpunt van het Vierde Arbitragehof van beroep zijn de gronden bedoeld in paragraaf 1 van deel 2 van art. 22 van de federale wet van 27.07.2006, nr. 152-FZ "Over persoonsgegevens", is ook van toepassing op wervingsactiviteiten (Resolutie van 07.02.2018 nr. 04АП-127/2018 in zaak nr. А19-17054 / 2017). Dit komt door het feit dat de arbeidswetgeving niet alleen wordt geregeld door de arbeidswet van de Russische Federatie, maar ook door andere voorschriften. Zo bepaalt de federale wet nr. 1032-1 van 19.04.1991 "Betreffende de werkgelegenheid van de bevolking in de Russische Federatie" dat werkgevers het werkgelegenheidsbeleid bevorderen, met name door middel van werkgelegenheid. Wij zijn van mening dat de schriftelijke toestemming van de aanvrager voor de opslag van bepaalde van zijn gegevens voor de in de toestemming genoemde periode voldoende is om te voldoen aan de wet op dit gebied. Het is niet nodig om Roskomnadzor op de hoogte te stellen. Om geschillen te voorkomen, raden we u echter aan om dit probleem op te lossen met de bevoegde instantie. Dankjewel voor je aanvraag.

Bedankt! Ik heb het vonnis gelezen. De vraag is glibberig. Deze rechterlijke uitspraak suggereert dat Roskomnadzor op de hoogte moet worden gesteld, maar de CA van de regio Irkoetsk koos samen met het beroep de kant van de juridische entiteit. Gezien de bekende positie van Roskomnadzor is het niet bekend of de AU van onze regio onze kant zal kiezen. Daarom stuurden ze een brief met een vraag.

Hallo. Bedankt voor uw feedback. Het zou interessant en nuttig zijn om het resultaat van uw beroep op onze discussiepagina te zien. Met vriendelijke groet, FreshDoc bedrijf.

Ik zal me zeker afmelden hoe ze zullen antwoorden! Uw advies heeft mij enorm geholpen bij het ontwikkelen van een juridisch standpunt over deze kwestie)

schreef. Wat denk je dat je hebt geantwoord? Niks! Dat is natuurlijk, antwoordden ze, maar over niets. De essentie van de brief komt erop neer dat u beslist of u een melding doet of niet. Ik wilde hun antwoord krijgen in het geval van controle, maar het werkte niet. En om ons te verschuilen achter een rechterlijke beslissing van een andere regio.. Tot nu toe hebben we geen Angelsaksisch rechtssysteem, maar een continentaal rechtssysteem en voor mij is de belangrijkste conclusie uit het redenerende deel van de beslissing van de rechtbank de visie van Roskomnadzor, maar zal onze regionale rechtbank aan onze kant staan, zoals in Irkoetsk onbekend?

Hallo. Bedankt voor je feedback. De aanwezigheid van een reactie van Roskomnadzor is geen gegarandeerde bescherming tegen vervolging. Ook voor de rechtbank is het oordeel van de afdeling, wat dat ook moge zijn, niet doorslaggevend. Wij raden u aan uw eigen met redenen omklede mening te vormen en, indien mogelijk, passende rechtshandelingen in te schakelen. Met vriendelijke groet, FreshDoc bedrijf.

In ieder geval moet in ieder geval aan de kennisgeving worden voldaan, hoewel niet, maar aan de vereisten van artikel 18.1, 19 van FZ-152 moet door elke exploitant worden voldaan bij het verwerken van PD: benoem een ​​verantwoordelijke persoon, ontwikkel en keur een beleid en regelgeving over PD goed, enz. . Bovendien voert Roskomnadzor geplande inspecties uit met betrekking tot alle exploitanten, en niet alleen met betrekking tot degenen die zijn opgenomen in het Roskomnadzor-register onder de kennisgeving

Hallo. Ja, het is de verantwoordelijkheid van de PD-operator om de nodige en voldoende maatregelen te nemen om de naleving van de verplichtingen te garanderen die zijn vastgelegd in de federale wet nr. 152-ФЗ van 27 juli 2006 "Over persoonsgegevens", ongeacht zijn aanwezigheid / afwezigheid in het register van operators (een kennisgeving sturen naar Roskomnadzor). Tegelijkertijd, om te voldoen aan de vereisten van art. 22 van de federale wet van 27.07.2006 nr. 152-FZ "Over persoonlijke gegevens", is de exploitant verplicht Roskomnadzor op de hoogte te stellen van zijn voornemen om persoonlijke gegevens te verwerken voordat hij persoonlijke gegevens verwerkt, anders riskeert hij een boete op grond van art. 19.7 van de Administratieve Code van de Russische Federatie.

Hallo. De kring van persoonsgegevenssubjecten is vastgelegd in paragraaf 3 "Persoonlijke gegevens verwerkt in ISPDN" van de verordening betreffende de verwerking en bescherming van persoonsgegevens, die is opgenomen in het documentenpakket en te vinden is op de link https://www. site/?Oid = 7086347. Daarin is met name vastgelegd dat de gegevens van de volgende onderwerpen worden verwerkt: medewerkers van de Operator; aandeelhouders / oprichters van de Exploitant, personen verbonden aan werknemers, aandeelhouders, oprichters (kinderen waarvoor alimentatie wordt betaald, echtgenotes, enz.); klanten (consumenten van de diensten van de Operator); individuele ondernemers - opdrachtnemers van de Exploitant; klanten van organisaties, aannemers van de Operator (dienstverlening aan zakelijke klanten). Ook werd geconstateerd dat deze lijst aan herziening onderhevig is. Bedankt dat u contact met ons heeft opgenomen.

U kunt de documenten direct op de website invullen.

Op de website van de adviseur

Exploitant van persoonlijke gegevens - bedrijven en individuen die persoonlijke gegevens verzamelen, opslaan en verwerken. Ze verzamelen bijvoorbeeld e-mailadressen om te mailen of vragen klanten om een ​​naam en telefoonnummer achter te laten voor bestellingen in een online winkel. Letterlijk in de wet als volgt:

Zbagojno: 152-FZ - in "Delo"

Persoonsgegevens zijn alle gegevens over een persoon waarmee deze kunnen worden geïdentificeerd. Bijvoorbeeld:

  • E-mail;
  • telefoon,
  • naam en achternaam;
  • Geboortedatum;
  • adres;
  • koppeling.

Een nickname zonder andere gegevens wordt niet beschouwd als persoonsgegevens; een persoon kan er niet aan worden geïdentificeerd.

Met geolocatie en cookies is de situatie controversieel. Formeel worden ze op zichzelf niet als persoonsgegevens beschouwd. Het is bijvoorbeeld moeilijk om te bepalen wie zich op dit punt bevindt, alleen door geolocatie. In werkelijkheid ontwikkelde Roskomnadzor in 2016-2017 aanbevelingen voor het verwerken van deze gegevens en begon hij inspecties uit te voeren.

Roskomnadzor is van mening dat het bedrijf de beheerder van persoonsgegevens wordt op het moment dat het de gegevens begint te verwerken. Het maakt daarbij niet uit of het bedrijf hiervan op de hoogte is gesteld of niet. Zodra één persoon het feedbackformulier op de site invulde, werd het bedrijf de beheerder van persoonlijke gegevens. De rechtbanken volgen hetzelfde standpunt.

Sociale media gegevens

Nominaal kan informatie van open pagina's op sociale netwerken als openbaar beschikbaar worden beschouwd. Het lijkt erop dat de persoon die zich op het sociale netwerk heeft geregistreerd, zelf de toegang tot zijn naam en telefoonnummer heeft geopend. Dit betekent dat de gegevens meegenomen kunnen worden. In het aanbod met Vkontakte-gebruikers staat een clausule dat de gegevens toegankelijk zijn voor andere internetgebruikers:

In werkelijkheid lezen maar weinig mensen het aanbod. Daarom zegt Roskomnadzor dat gegevens van sociale netwerken mogen worden verwerkt als de persoon toestemming heeft gegeven.

In 2017 spande VKontakte een rechtszaak aan tegen Double Data en het National Bureau of Credit Histories. Ze haalden informatie uit openbare gebruikersprofielen, beoordeelden hun kredietgeschiedenis en verkochten de informatie aan banken.

Het blijkt dat gegevens op sociale netwerken niet als openbaar beschikbaar worden beschouwd. Je kunt niet zomaar de telefoons van gebruikers pakken en robotstofzuigers aan hen gaan verkopen. In dit geval wilde het sociale netwerk de aandacht vestigen op het probleem, dus de rechtszaak was voor de roebel. Maar in een ander geval kan een gebruiker een bedrijf aanklagen voor een miljoen of twee.

Ons advies is om toestemming te krijgen van klanten om open data van sociale netwerken te gebruiken. Wanneer u zich bijvoorbeeld registreert in een online winkel met Vkontakte-gegevens, kunt u het volgende bericht weergeven:

“Voor registratie gebruiken we open gegevens van uw Vkontakte-pagina: naam, e-mail, telefoonnummer. Als u hiermee akkoord gaat, klikt u op de knop "Volgende".

Als de gebruiker akkoord gaat, zijn er geen klachten tegen het bedrijf.

Wanneer u geen melding nodig heeft

Er zijn uitzonderingen door de wet wanneer een bedrijf gegevens verwerkt maar geen beheerder van persoonsgegevens wordt:

  • verwerkt alleen werknemersgegevens die wettelijk verplicht zijn en geeft deze niet door aan iemand anders zonder toestemming van de werknemer. Hij vult bijvoorbeeld een werkopdracht en een medewerkerskaart in en bewaart deze in een kluis.

    • Als de accountant de gegevens van de werknemer wil overdragen aan de bank voor een salarisproject, wordt het bedrijf de beheerder van de persoonsgegevens en moet de werknemer toestemming krijgen;

  • verwerkt persoonsgegevens op papier. Om een ​​kortingskaart uit te geven, schrijft de verkoper de naam en het telefoonnummer van de klant in een notitieboekje, maar voert de gegevens niet in de computer in;
  • maakt gebruik van openbaar beschikbare informatie- degene die de persoon over zichzelf heeft gezegd. Het haalt bijvoorbeeld gegevens uit de telefoongids van inwoners van Tula.

Het blijkt dat bijna alle bedrijven persoonsgegevens verwerken en daarom een ​​melding moeten doen bij Roskomnadzor. Uitzonderingen zijn kapperszaken in het dorp of vleesverkopers op de markt.

Roskomnadzor inspectie

We kennen bedrijven die persoonsgegevens verwerken en bang zijn om een ​​melding te doen. Ze denken dat ze, omdat ze gegevens hebben verwerkt zonder voorafgaande kennisgeving, de wet hebben overtreden en een boete zullen krijgen. Ze hebben echt de wet overtreden, maar dat betekent niet dat Roskomnadzor meteen met een inspectie komt.

Register van exploitanten van persoonsgegevens op de Roskomnadzor-website

Er zijn 380 duizend bedrijven in het Roskomnadzor-register en het aantal groeit voortdurend:

Roskomnadzor kan niet alle bedrijven op de lijst controleren. Volgens onze observaties komen cheques het vaakst bij bedrijven die zich proberen te verbergen en geen melding doen. Dat bevestigde Roskomnadzor in de zomer op de Doors Open Day.

De cheque komt niet meteen. Ten eerste stuurt Roskomnadzor een brief met de vraag waarom het bedrijf gegevens verzamelt en zich niet registreert als operator. Het niet reageren op een dergelijke brief is een reden voor verificatie.

Medewerkers van de afdeling kunnen de website van het bedrijf op internet bekijken, alle elektronicaverkopers controleren of een andere methode kiezen. Er was een geval waarin in Astrachan alle bedrijven met de letter A. beboet werden die persoonsgegevens verwerkten en geen melding deden.

Roskomnadzor vestigt het vaakst de aandacht op bedrijven die persoonsgegevens gebruiken om:

  • het aannemen van medewerkers en het voor hen uitgeven van verzekeringen of salarisprojecten;
  • klantenkaarten;
  • reclame mailingen;
  • dienstverlening;
  • registratie op sites;
  • bellen naar potentiële klanten.

Boetes voor overtreding van de wet op persoonsgegevens in het Wetboek van administratieve overtredingen van de Russische Federatie op de website van de adviseur

Daarom raden wij aan alle bedrijven die een website hebben met een aanmeldformulier of een nieuwsbriefabonnement een melding bij Roskomnadzor te doen. De boete voor het verwerken van persoonsgegevens zonder kennisgeving is 5.000 roebel. Daarnaast kan Roskomnadzor de website blokkeren of de activiteiten van het bedrijf opschorten, maar dit zijn zeldzame maatregelen.

Als Roskomnadzor met een cheque komt, kan het zijn dat het bedrijf persoonlijke gegevens onjuist verwerkt, de boete kan oplopen tot 75.000 roebel.

Niet alle bedrijven en individuele ondernemers weten of zij exploitanten van persoonsgegevens zijn en of zij informatie over zichzelf aan Roskomnadzor moeten doorgeven. We gaan na wie de dienst nauwer volgt en hoe we burgers kunnen informeren over de start van de verwerking van persoonsgegevens.

Wie zijn de exploitanten van persoonsgegevens en wat doen ze?

De meeste mensen weten dat persoonlijke gegevens (hierna - PD) informatie bevatten over de achternaam, voornaam en patroniem van een burger, informatie uit zijn paspoort, mobiel telefoonnummer, woonadres, e-mail. Welke andere informatie kunt u in deze lijst opnemen? Het blijkt dat: een uitputtende lijst wordt nergens gepresenteerd en kan dat in principe ook niet zijn. Dit wordt bevestigd door de formulering in Federale wet van 27.07.2006 nr. 152-FZ:

Persoonlijke gegevens - alle informatie die direct of indirect betrekking heeft op een specifieke of identificeerbare persoon (onderwerp van persoonlijke gegevens).

Het blijkt dat in sommige gevallen de achternaam, naam en autonummer voldoende zijn om een ​​burger te identificeren, terwijl u in andere gevallen ook zijn rijbewijsnummer en registratieadres nodig heeft.

Een verantwoordelijke voor de verwerking van persoonsgegevens is een staats- of gemeentelijk orgaan, rechtspersoon of natuurlijke persoon die:

  • zelfstandig of samen met andere personen de verwerking van PD organiseert en/of uitvoert;
  • bepaalt de doelen van het werken met persoonlijke informatie, de samenstelling ervan, evenals acties (operaties) ermee.

Dat wil zeggen, iedereen die PD aanvraagt ​​en gebruikt, is hun operator. En iedereen die toegang heeft tot en informatie verwerkt waarmee een burger kan worden geïdentificeerd, werkt in feite met PD en is verantwoordelijk voor niet-naleving van de wet op hun bescherming.

Laten we ons voorstellen wie een PD-operator kan zijn. banken? Ja! Sites die abonneemateriaal verzamelen? Ja! Juridische en boekhoudkundige bedrijven die verschillende diensten verlenen? Ja! Winkels en schoonheidssalons die een bonuskaart aanbieden? Nogmaals, ja! Verenigingen van huiseigenaren, universiteiten, kleuterscholen, reisbureaus, medische instellingen, geautomatiseerde systemen, inclusief overheidssystemen? Ja ja ja! Exploitanten van PD - overal, op elk gebied!

Verplichtingen van de exploitant bij de verwerking van persoonsgegevens

Iedereen die met PD te maken heeft, is verplicht zich te houden aan bepaalde regels voor het verzamelen, beveiligen, ophelderen, blokkeren en vernietigen van dit soort informatie. Volgens wet nr. 152-FZ moeten exploitanten:

Registratie bij Roskomnadzor als beheerder van persoonsgegevens

De wet bepaalt dat u, voordat u bij PD gaat werken, contact moet opnemen met de bevoegde toezichthouder en de aanvang van de werkzaamheden met persoonsgegevens dient te melden. Dit betekent niet dat elk bedrijf moet worden opgenomen in het register van beheerders van persoonsgegevens van Roskomnadzor. Deze lijst bevat niet:

  • werkgevers. Ze verzamelen en bewaren informatie in overeenstemming met de arbeidswetgeving, bijvoorbeeld bij het opstellen van arbeidsovereenkomsten, verschillende opdrachten van personeelskarakter;
  • een mobiele of vaste telefoonmaatschappij, indien de gegevens uitsluitend zijn verkregen voor het verlenen van communicatiediensten op grond van een gesloten overeenkomst, niet wordt verspreid en niet aan derden wordt verstrekt zonder toestemming van de PD-subject;
  • openbare verenigingen of religieuze organisaties die toegang krijgen tot de gegevens van hun leden (deelnemers) om de in de samenstellende documenten gestelde doelen te bereiken;
  • organisaties en individuen die openbaar beschikbare informatie gebruiken die PD-subjecten zelf hebben bekendgemaakt, bijvoorbeeld op persoonlijke sites;
  • alle bedrijven die een passysteem hebben. Als de paspoortgegevens van een burger worden herschreven om een ​​eenmalige toegang tot het grondgebied van de organisatie te verkrijgen, hoeft u zich niet te registreren;
  • systemen met de status van geautomatiseerde informatiesystemen van de staat, evenals PD-systemen van de staat die zijn gecreëerd om de veiligheid van de staat en de openbare orde te beschermen. Er zijn er veel, waaronder de systemen "Era-Glonass" en "Management", AIS-accounting voor non-profit en religieuze organisaties en vele andere op federaal en regionaal niveau;
  • burgers en organisaties die informatie verwerken zonder gebruik te maken van automatiseringstools (computer). In dit geval moeten ze zich laten leiden door de vereisten die zijn goedgekeurd door Regeringsbesluit van 15 september 2008 N 687;
  • organisaties die gegevens opvragen om de veilige werking van het vervoerscomplex te waarborgen, bijvoorbeeld bij het boeken en kopen van tickets, onder meer via de onlinediensten van vervoerders of tussenpersonen.

Rekening houdend met dergelijke formuleringen zijn veel van de organisaties niet langer opgenomen in het register van operators die zich bezighouden met de verwerking van persoonsgegevens, dat wordt bijgehouden door Roskomnadzor. Maar wie niet onder de uitzonderingen valt, moet op de lijst van de toezichthouder staan.

De registratieprocedure bestaat uit het indienen van een melding in een bepaalde vorm. Het is te vinden via het register van persoonlijke gegevens van Roskomnadzor, het portaal van staatsdiensten, of met behulp van Orde van het Ministerie van Telecom en Massacommunicatie van Rusland van 21.12.2011 N 346... Aan het einde van dit artikel kunt u het benodigde document ook gratis downloaden.

Ongeacht de wijze waarop de ambtenaren worden geïnformeerd, moet de melding het volgende vermelden:

  • volledige en afgekorte naam van het bedrijf met aanduiding van de organisatie- en rechtsvorm, evenals wettelijke en postadressen, TIN;
  • de doeleinden van verwerking, aangegeven in de samenstellende documenten of daadwerkelijk uitgevoerd;
  • te verwerken PD-categorieën;
  • subjecten van wie de PD is gepland om te worden verwerkt, inclusief relaties met hen, bijvoorbeeld een passagier, lener, abonnee, deposant, verzekeringnemer;
  • op grond waarvan u recht heeft op verwerking (bijvoorbeeld artikelen Van de Air Code van de Russische Federatie of burgerlijke staatsrecht inzake handelingen van de burgerlijke stand), met inbegrip van de aanwezigheid van een vergunning voor het soort activiteit dat wordt uitgevoerd;
  • een beschrijving van de methoden die worden gebruikt voor de verwerking van PD en hun lijst: niet-geautomatiseerde, geautomatiseerde of gemengde verwerking;
  • informatie over de personen die verantwoordelijk zijn voor het organiseren van de verwerking van PD, hun telefoonnummers, postadressen, e-mail;
  • informatie over encryptie (cryptografische) middelen;
  • de startdatum, alsmede de voorwaarden voor het beëindigen van PD-verwerking;
  • informatie over waar de gegevens zijn opgeslagen tijdens hun verwerking, inclusief over het land waar de databases met informatie over de persoonlijke gegevens van burgers van de Russische Federatie zich bevinden;
  • informatie over het waarborgen van de veiligheid van PD in overeenstemming met de vastgestelde eisen Besluit van de regering van de Russische Federatie van 01.11.2012 N 1119.

Houd er rekening mee dat de registratie van een beheerder van persoonlijke gegevens op de Roskomnadzor-website binnen 30 dagen wordt uitgevoerd. Als een elektronische aanvraag wordt ingediend, moet het bedrijf een extra papieren kopie van de kennisgeving naar de territoriale overheid sturen. Als er niet voldoende informatie is, zullen ambtenaren een verzoek sturen om de ingediende documenten te verduidelijken. U kunt de melding niet weigeren en gegevens over de organisatie invullen in het register.

Als de organisatie om verschillende redenen de doeleinden van PD-verwerking heeft gewijzigd of andere wijzigingen moeten worden aangebracht, stuurt zij binnen 10 dagen een brief naar Roskomnadzor in de voorgeschreven vorm. Het document vindt u hieronder. Bovendien kunnen de lezers van de site het formulier downloaden van het document dat nodig is om een ​​bedrijf uit te sluiten van het register.

Alle diensten die in dit geval door Roskomnadzor worden geleverd, zijn gratis.

Verantwoordelijkheid voor weigering tot inschrijving in het register

De huidige wetgeving voorziet in administratieve aansprakelijkheid bij overtreding van de eisen voor de bescherming van persoonsgegevens. Volgens Federale wet van 07.02.2017 nr. 13-FZ, die op 1 juli 2017 in gebruik werd genomen, artikel 13.11 van het Wetboek van Administratieve Overtredingen van de Russische Federatie er zijn verschillende soorten overtredingen waarvoor operators van persoonsgegevens kunnen worden beboet. Afhankelijk van de overtreding variëren de boetes voor rechtspersonen op grond van dit artikel van 15.000 tot 75.000 roebel, en voor individuele ondernemers - van 5.000 tot 20.000 roebel.

Weigering van inschrijving in het register kan worden gezien als het niet verstrekken van informatie aan de toezichthouder. De straf hiervoor is voorzien in artikel 19.7 van het Wetboek van Administratieve Overtredingen van de Russische Federatie... Daaronder worden ambtenaren geconfronteerd met een boete van 300 tot 500 roebel, en juridische - van 3.000 tot 5.000 roebel.

21 februari 2014 om 23:45

Of misschien niet melden over de verwerking van persoonsgegevens?

  • Informatiebeveiliging

Deel één van artikel 22 van federale wet nr. 152-FZ van 27 juli 2006 "Over persoonsgegevens" (hierna de wet genoemd) bepaalt de verplichting van de exploitant die de verwerking van persoonsgegevens uitvoert om de Roskomnadzor-instantie op de hoogte te stellen voordat verwerken. Onmiddellijk (in het tweede deel van het artikel) stelt de wet de gronden voor waarop de exploitant het recht heeft om de verwerking niet te melden. Deze gevallen komen vrij vaak voor. Maar aangezien de wet kennisgeving niet verbiedt, zelfs als er dergelijke gevallen zijn, kiezen een aantal operatoren ervoor om het pad van kennisgeving te volgen. Het kan de moeite waard zijn om geen kennisgeving in te dienen, of zelfs maar na te denken over hoe u onder de "uitzonderingen" kunt vallen. Daar zijn minstens 3 redenen voor.

Moeilijk om de vraag "Waarom?" voor al diegenen die de beslissing hebben genomen om een ​​kennisgeving aan de Roskomnadzor-instantie te sturen als dit niet mogelijk was. Uiteraard zijn marketingcampagnes (imago, openheid) niet uit te sluiten. Toch worden ze in sommige gevallen uit onwetendheid of op basis van de houding 'Beter buiten te houden' op de hoogte gebracht. Ik wil uw aandacht vestigen op het bekende recht van operators die persoonsgegevens verwerken om de autoriteiten van Roskomnadzor niet op de hoogte te stellen van de verwerking, en daar zijn verschillende redenen voor.

  1. De persoon die een melding over de verwerking van persoonsgegevens heeft gedaan, moet de last dragen om de ingediende informatie voortdurend te actualiseren. Deze verplichting is geregeld in deel 7. Kunst. 22 van de wet. Indien de beheerder die de verwerking van persoonsgegevens uitvoert geen melding doet van de wijziging van informatie (wijziging van het adres van de beheerder, wijziging van de categorieën van PD die worden verwerkt, wijziging van de verantwoordelijke voor de verwerking van PD en zijn contacten , enz.), dan kan hij administratief aansprakelijk worden gesteld. Het bleek moeilijk te zijn: er veranderde iets in de organisatie, nam en stuurde een brief. Zoals de praktijk laat zien, wordt dit in de meeste gevallen vergeten. Zo moesten degenen die zich in het register hebben ingeschreven (het register omvat alle personen die een verwerkingsmelding hebben ingediend) van operators die vóór 1 juli 2011 persoonsgegevens verwerken, aanvullende informatie verstrekken als bedoeld in de paragrafen 5, 7.1, 10 en 11 van deel 3 artikel 22 van de wet (rechtsgrond voor de verwerking van persoonsgegevens, naam van de verantwoordelijke, enz.). Zoals blijkt uit het register van operators van persoonlijke gegevens van Roskomnadzor, heeft meer dan de helft van de operators dit tot op heden niet gedaan. Ook het idee dat al deze organisaties geen interne wijzigingen hebben ondergaan met betrekking tot de verwerking van persoonsgegevens is twijfelachtig. Ik stel ook voor dat u nadenkt of u de relevantie van inschrijvingen in het Register op de lange termijn tijdig gaat volgen, als de mogelijkheid bestaat om dit helemaal niet te doen?
  2. Roskomnadzor-instanties plannen inspecties van operators die persoonlijke gegevens verwerken met behulp van het departementale uniforme informatiesysteem - EIS. Alle operators die meldingen hebben gedaan, staan ​​er al in en daardoor wordt de kans om in het inspectieplan te worden opgenomen vele malen groter. Door Roskomnadzor gecontroleerde organisaties op andere gebieden (communicatiediensten, RES, media, omroep) worden automatisch gecontroleerd op naleving van de wetgeving op het gebied van persoonsgegevens, als Roskomnadzor op de hoogte wordt gesteld van de verwerking.
  3. Als de beheerder van persoonsgegevens zou besluiten om de Roskomnadzor-instantie op de hoogte te stellen van de verwerking, hoewel hij het recht had om dit niet te doen, zou het niet werken om van het register te worden uitgesloten omdat hij helemaal geen kennisgeving kon doen. Deze mogelijkheid wordt niet geboden door de wet of het desbetreffende bestuursreglement. In plaats daarvan wordt het alleen om algemene redenen verstrekt.
Als je een melding zou sturen, maar je bent vastgehaakt door het bovenstaande, dan zijn de algemene aanbevelingen eenvoudig.
  1. Lees (begrijp) deel 2 van art. 22 van de federale wet van de Russische Federatie van 27 juli 2006 N 152-FZ "Over persoonsgegevens".
  2. Bekijk welke persoonsgegevens en in verband waarmee deze door u worden verwerkt.
  3. In sommige gevallen kan het nodig zijn om je werkzaamheden met persoonsgegevens aan te passen. Ik zal een voorbeeld geven om duidelijk te maken wat ik bedoel.
Een van de mogelijkheden om geen melding te maken van de verwerking van persoonsgegevens voorzien in paragraaf 2 van deel 2 van art. 22 Wet klinkt zo
door de ondernemer is ontvangen in verband met het sluiten van een overeenkomst waarbij de persoon persoonsgegevens partij is, indien persoonsgegevens niet worden verspreid, en niet aan derden worden verstrekt zonder toestemming van de persoon persoonsgegevens en worden gebruikt door de ondernemer uitsluitend voor de uitvoering van de opgegeven overeenkomst en het sluiten van overeenkomsten met het onderwerp persoonsgegevens

U bent dus een overeenkomst aangegaan met een particulier voor een soort dienst. We namen een mobiel telefoonnummer van een persoon om te informeren over de gereedheid van de dienst. In de meeste gevallen is een mobiel telefoonnummer niet nodig voor de uitvoering van het contract. Als een mobiel telefoonnummer van een klant wordt afgenomen, is bovendien zijn toestemming voor de verwerking van persoonsgegevens vereist. U valt in dit geval echter niet onder de uitzondering in de Wet, waardoor u geen melding kunt maken van de verwerking van persoonsgegevens.
Als u de noodzaak van een mobiel telefoonnummer voorschrijft in het contract met deze persoon voor de uitvoering van het contract, dan claimt u al het recht om onder de uitzondering te vallen.
U kunt de noodzaak van een mobiel telefoonnummer voor de uitvoering van het contract als volgt verslaan: "De organisatie verbindt zich ertoe de klant via telefoonnummer x ... x op de hoogte te stellen van gereedheid ...".

Wanneer moet u Roskomnadzor informeren over de verwerking van persoonsgegevens? Het antwoord staat in het artikel.

Vraag: Zijn wij wettelijk verplicht om ons te registreren in het register van exploitanten van persoonlijke gegevens van Roskomnadzor?In paragraaf 2 van art. 22 van de wet van 27.07.2006, nr. 152-FZ "Over persoonsgegevens" stelt dat, 2. De exploitant heeft het recht om persoonsgegevens te verwerken zonder kennisgeving aan de bevoegde instantie voor de bescherming van de rechten van personen met persoonsgegevens Wij zijn niet verplicht om ons in het register te registreren?

Antwoord geven: Het is niet verplicht om u te registreren in het register van exploitanten van persoonsgegevens van Roskomnadzor, aangezien er geen registratieprocedure is. De exploitant is verplicht om Roskomnadzor op de hoogte te stellen voordat hij met de verwerking van persoonsgegevens begint (clausule 1 van artikel 22 van wet nr. 152-FZ). Roskomnadzor houdt een register van operators bij op basis van meldingen.

Tegelijkertijd zijn er uitzonderingen op de gespecificeerde rechtsstaat, die in detail worden vermeld in paragraaf 2 van art. 22 van wet nr. 152-FZ.

Rechtvaardiging

Opslag van persoonsgegevens in Rusland. Welke functies zijn er voor werknemersinformatie?

Als het bedrijf persoonsgegevens verwerkt niet alleen van medewerkers en tegenpartijen - individuen. Dat wil zeggen dat elk bedrijf verplicht is om ambtenaren op de hoogte te stellen van de verwerking van persoonsgegevens.

Als algemene regel is de werkgever verplicht om Roskomnadzor te informeren over het begin van de verwerking van persoonsgegevens (deel 1 van artikel 22 van wet nr. 152-FZ). Veel bedrijven hebben dit nog steeds niet gedaan. Zij rechtvaardigen dit als volgt: de werkgever verwerkt alleen persoonsgegevens van zijn werknemers. Daarom valt het bedrijf onder de uitzondering, die is vastgelegd in paragraaf 1 van deel 2 van art. 22 van wet nr. 152-FZ. Volgens deze bepaling heeft de werkgever het recht om persoonsgegevens te verwerken in overeenstemming met de arbeidswetgeving zonder Roskomnadzor hiervan op de hoogte te stellen.

Maar in de meeste gevallen is de stelling dat melding niet vereist is onjuist. De werkgever verwerkt immers niet alleen de gegevens van werknemers, maar ook van andere betrokkenen. Bijvoorbeeld vertegenwoordigers van tegenpartijen bij het ontvangen van volmachten of werknemers van andere ondernemingen die tot dezelfde groep behoren bij de werkgever. In dergelijke gevallen is het raadzaam om Roskomnadzor hiervan op de hoogte te stellen.

In welke vorm moet Roskomnadzor op de hoogte worden gebracht?

In de melding informatie opnemen over de persoonsgegevens van werknemers (artikel 7 van de Tijdelijke aanbevelingen voor het invullen van het meldingsformulier, goedgekeurd door Roskomnadzor op 30-12-2014). De uitzonderingen uiteengezet in deel 2 van art. 22 van wet nr. 152-FZ zijn in dit geval niet van toepassing.

Roskomnadzor zal de informatie uit de kennisgeving binnen 30 dagen vanaf de datum van ontvangst van het document in het register van exploitanten opnemen. U hoeft hiervoor geen geld te betalen (deel 4, deel 5 van artikel 22 van wet nr. 152-FZ).

Werkgevers die Roskomnadzor niet op de hoogte hebben gesteld, lopen het risico een brief van ambtenaren te ontvangen. Als reactie hierop moeten werkgevers een bericht sturen of motiveren waarom het niet wordt verzonden. In het laatste geval neemt het risico toe dat Roskomnadzor de geldigheid van dit soort rechtvaardiging controleert. Volgens het jaarverslag over 2014 stuurde Roskomnadzor dus meer dan 58 duizend van dergelijke brieven naar operators (

Vergelijkbare publicaties: