Как выявляются нарушения в сфере обработки персональных данных

• г. Уфа

На сколько могут приостановить основную деятельность государственного учреждения в случае обнаружения нарушений в области обработки персональных данных? (Информационная система учреждения содержит иные категории персональных данных более 100000, и так как учитываются недекларированные возможности в прикладном программном обеспечении, относится ко 2 уровню защищенности персональных данных по 1119 постановлению Правительства)

Как доказать, что информационно-методический центр относится к области "образование". Направления деятельности: диагностико-аналитическая, информационная, организационно-методическая, консультационная, деятельность в области информатизации, деятельность в области научного обеспечения развития системы образования.

Работаем с педагогами, обучающимися, руководителями образовательных организаций. ОКВЭД организации не отражает реальную деятельность в области "Образование". Какие ОКВЭД подойдут к данным направлениям деятельности.

Ребенок из школы принес заполнить анкету СОГЛАСИЕ РОДИТЕЛЯ (ЗАКОННОГО ПРЕДСТАВИТЕЛЯ) НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ где требуется указать паспортные данные родителей. Ссылаются на Федеральный закон ФЗ-152 «О персональных данных». Но в статье 24 ч 1 Конституции РФ указано что такие данные у меня могут только просить. В интернете противоречивая информация. На сайте одной из школ написано: В отношении тех, кто не даст согласие на обработку данных, должна быть выполнена норма 152-ФЗ по блокированию обработки данных:

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных.

П.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

В этом случае персональные данные ребенка блокируются в информационной системе, исключаются из всех информационных систем школы и отсутствуют во всех учетных документах, заполняемых с 2011 года. Ребенок принимает участие только в тех мероприятиях, которые не сопровождаются составлением списка участников.

При том в документе не указано как информация будет храниться, кому передаваться и т.д.

Что посоветуете?

Вопрос по персональным данным: если я обрабатываю фото и видеоматериалы людей с их согласия в специальной программе для улучшения их качества, считается ли это неавтоматизированной обработкой персональных данных...

В положении об обработке персональных данных закреплено, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Отправила письмо в отп банк об отзыве персональных данных и получила вот такой ответ: Согласие на обработку данных указано в Заявлении, подписанном Вами при оформлении кредита, которое в настоящее время хранится в Банке.

Обработка персональных данных осуществляется Банком в соответствии с.

Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее -

«Закон»).

Относительно сроков хранения и обстоятельств, условий, при которых документы, содержащие персональные данные Клиента подлежат уничтожению или обезличиванию, Банк сообщает следующее:

1. Согласно п.4 ст.21 Закона, в случае достижения цели обработки персональных данных, оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные, или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных, либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами.

Согласно ст. 17 Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», организация обязана хранить бухгалтерскую документацию (в том числе, содержащую и персональные данные клиента) в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее пяти лет.

2. Документы, содержащие персональные данные Клиента, подлежат уничтожению или обезличиванию по решению суда или по истечении пяти лет после исполнения обязательств по Договору, а также в иных предусмотренных законодательством РФ случаях.

К сожалению, в настоящее время мы не можем удалить Ваши персональные данные, в соответствии с действующим законодательством, Банк обязан хранить.

Ваши персональные данные. После окончания срока действия кредита/пяти лет обязуемся, что данные будут удалены.

Надеемся, что наш ответ помог прояснить ситуацию. Как действовать мне дальше?

Мы зарегистрировали благотворительный фонд защиты животных "Благое Дело". Сейчас в наших планах создание сайта. В связи с этим необходимо решение по включению фонда в реестр операторов, осуществляющих обработку персональных данных.

При изучении этого вопроса я понял алгоритм заполнения формы уведомления в Роскомнадзор на включение фонда в реестр операторов, осуществляющих обработку персональных данных.

Но появились вопросы, по которым я прошу вашего пояснения и помощи.

По двум пунктам формы (1 - "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»", 2 - "Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ ") у меня появились вопросы:

1. При заполнении этих пунктов я увидел требования (и в первом, и во втором, в той или иной степени, напрямую или косвенно, через ссылки) исполнения следующих НПА:

- Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных";

- Постановление Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

- Приказ ФСБ России от 10.07.2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Соответственно, возник вопрос:

Необходимо-ли при заполнении данных пунктов формы расписывать полностью все требования указанных НПА или достаточно основных требований?

Когда я начал готовить заполнение формы по этим вопросам, я подготовил "заготовку" этого заполнения (вложенный файл). Но, в процессе заполнения я отследил все требования, все ссылки на НПА, в связи с чем я понял, что необходимо дальнейшее изучение вопроса и помощь.

Соответственно, кроме вопроса у меня появились 2 просьбы:

1. Рассмотреть и скорректировать мою "заготовку" по заполнению этих вопросов формы и дополнительно, еще по двум вопросам (3 - "Правовое основание обработки персональных данных”, 4 - “Цель обработки персональных данных"). На всякий случай, так как по ним, по еще двум вопросам, мне, вроде, все понятно).

2. Оказать помощь в подготовке следующих документов, которые должны быть у фонда (если необходимо, скорректировать перечень документов):

1. Политика конфиденциальности (она же политика обработки персональных данных) для сайта/мобильного приложения фонда.

2. Пользовательское соглашение (оно же договор-оферта и оно же лицензионное соглашение) для сайта/мобильного приложения фонда.

3. Положение об обработке персональных данных фонда.

4. Положение о конфиденциальности у фонда (если это необходимо).

1.5. Форма приказа о назначении ответственного по персональным данным.

1.6. Инструкция ответственного за обработку персональных данных.

1.7. Формы приказа об утверждении положения о персональных данных

Учитывая, что фонд у нас еще только в начале пути, прошу рассмотреть возможность оказания вашей услуги в режиме

pro-bono.

Заранее благодарю!

С уважением, Богомолов А.В., заместитель руководителя Благотворительного фонда защиты животных "Благое Дело"

89059400919

factory-2@mail.ru

"Заготовка":

Правовое основание обработки персональных данных * руководствуясь:

• Конституцией Российской Федерации;

• Гражданским кодексом Российской Федерации;

• Налоговым кодексом Российской Федерации;

• Трудовым кодексом Российской Федерации;

• Федеральным Законом от 27.07.2006 г. № 152-ФЗ “О персональных данных”;

• Федеральным Законом от 27.07.2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;

• Законом Российской Федерации от 27.12.1991 N 2124-1 “О средствах массовой информации»;

• Федеральным Законом от 11.08.1995 г. № 135-ФЗ ”О благотворительной деятельности и добровольчестве (волонтерстве)”,

• Федеральным Законом от 12.01.1996 г. № 7-ФЗ “О некоммерческих организациях”,

• Уставом Благотворительного Фонда помощи животным “Благое Дело”

• Федеральным законом от 19.12.2005 г. №160-ФЗ “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных”;

• Федерального закона от 08.08.2001 N 129-ФЗ “О государственной регистрации юридических лиц и индивидуальных предпринимателей”;

• Федерального закона от 26.07.2006 N135-ФЗ “О защите конкуренции”/

Цель обработки персональных данных * с целью:

• Достижения целей, предусмотренных Уставом Благотворительного Фонда помощи животным "Благое Дело”;

• Оказания благотворительной помощи (в т.ч. сбор благотворительных пожертвований, оплата благотворительных пожертвований);

• Организации коммуникаций и оповещений, осуществления информационных рассылок;

• Оказания услуги по созданию личного кабинета на сайте Оператора;

• Исполнения обязанностей, возложенных на Оператора действующим законодательством РФ;

• Осуществления прав и законных интересов Оператора и третьих лиц, в том числе по исполнению требований действующего законодательства Российской Федерации, обеспечению безопасности деятельности;

• Достижения общественно значимых целей с использованием эффективных инструментов для выполнения требований действующего законодательства Российской Федерации, противодействия коррупции, мошенничеству, легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

• Осуществления прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Оператора, обеспечения пользования работниками установленными законодательством РФ гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;

• Заключения и исполнения обязательств по договорам гражданско-правового характера, в том числе по трудовым договорам и государственным контрактам;

• Осуществления обратной связи с пользователями Интернет-сайтов Оператора, в том числе для получения от пользователей мнений, вопросов по информации сайтов и информационным продуктам Оператора, а также для направления им ответов;

• Формирование обезличенного цифрового портрета пользователя сайта Оператора, лица, осуществляющего платежи через сайт Оператора.

• Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» *:

Организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

Организационные меры:

1. Оформлена Политика Оператора в отношении обработки и защиты персональных данных. Политика опубликована на сайте Оператора ………..

2. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства:

- Приказ о назначении лица, ответственного за организацию обработки персональных данных (администратора безопасности персональных данных) с номерами контактных телефонов, почтовым адресом и адресом электронной почты;

- Инструкция по работе администратора безопасности персональных данных;

- Перечень персональных данных, подлежащих защите;

- Положение об обработке и защите персональных данных;

- Приказ об утверждении перечня лиц, допущенных к обработке персональных данных;

- Положение о разграничении прав доступа сотрудников к базе персональных данных;

- Положение о правилах доступа к персональным данным;

- Перечень информационных систем персональных данных;

- Правила обработки персональных данных без использования средств автоматизации;

- Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении;

- Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;

- Оформлен журнал учета машинных носителей персональных.

3. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, знакомятся с документами о политике Оператора в отношении обработки персональных данных, нормами законодательства, подписывают соглашение о неразглашении персональных данных, об ознакомлении с документами по защите персональных данных.

Технические меры:

1. Определено место хранения информации с персональными данными, обеспечена сохранность информации с персональными данными.

2. На ЭВМ Оператора установлено антивирусное программное обеспечение.

3. Исключен несанкционированный доступ к системе обеспечения защищенности персональных данных.

4. Информация с персональными данными передается на магнитных и бумажных носителях только лицами, допущенными к обработке персональных данных, а также по специально выделенной сети.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ *

1. Определены угрозы безопасности персональных данных при их обработке в информационных системах;

2. Проведена оценка эффективности принимаемых мер по обеспечению безопасности прсональных данных.

3. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратора безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.

4. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности персональных данных и положением об обработке и защите персональных данных.

5. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности персональных данных.

6. Положение о разграничении прав доступа сотрудников к базе персональных данных технически реализуются с помощью средств защиты информации.

Компания осуществляет сбор и обработку персональных данных, которые пользователи предоставляют Компании при использовании сайтов и мобильных приложений (далее – «сайты») с любого устройства и при коммуникации с Компанией в любой форме, в соответствии с данной Политикой.

Пользователь, регистрируясь на сайтах и используя сайты и предоставляя свои персональные данные, дает согласие на обработку персональных данных в соответствии с настоящей Политикой. Размещая свои персональные данные на сайте пользователь делает их общедоступными.

В случае, если пользователь не согласен с условиями настоящей Политики использование сайта пользователем должно быть немедленно прекращено.

1. Основные понятия

«Персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

«Обработка персональных данных» – осуществление любых действий или совокупности действий в отношении персональных данных, включая сбор, запись, систематизацию, накопление, хранение, обновление и изменение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, как с использованием, так и без использования систем автоматизированной обработки персональных данных.

2. Собираемые данные персональные данные, предоставленные пользователем при заполнении информационных полей на сайте для целей регистрации, в том числе при заполнении контактных форм, при подписках на рассылки; персональные данные и иная информацию, содержащаяся в сообщениях, которые пользователь направляет Компании; технические данные, которые автоматически передаются устройством, с помощью которого пользователь используете сайт, в том числе технические характеристики устройства, IP-адрес, информация, сохраненная в файлах «cookies», которые были отправлены на устройство пользователя, информация о браузере, дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация; иные данные, которые пользователь разместил на сайте.

3. Цели обработки данных.

Персональные данные обрабатываются исключительно для тех целей, для которых они были предоставлены, в том числе: регистрации пользователей на сайте; предоставления пользователям информации о сайте; коммуникации с пользователями, в случае обращения последнего к Компании; идентификации пользователей при коммуникации с Компанией; участия пользователей в мероприятиях, проводимых на сайте. Термин «мероприятия» включает в себя акции маркетингового, рекламного и иного характера проводимые на сайте; направления пользователям новостных и информационных материалов; предоставления пользователям услуг, заключения лицензионных договоров; демонстрацией пользователю рекламы, в том числе таргетированной; проведения проверок, исследований и анализа данных о поведении пользователей на сайте с целью улучшения и модернизации сайта; проведения статистических и иных исследований, на основе обезличенных данных; выполнения полномочий и обязанностей, возложенных на сайт законодательством Российской Федерации; для иных целей с согласия пользователей.

Технические данные обрабатываются для: обеспечения функционирования и безопасности сайта; улучшения качества сайта; соблюдения требований законодательства Российской Федерации.

4. Прекращение обработки персональных данных.

Обработка персональных данных подлежит прекращению: при наступлении условий прекращения обработки персональных данных или по истечении установленных сроков; по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей; по требованию пользователя, если обрабатываемые персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки; в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки невозможно; по истечении срока действия согласия на обработку персональных данных или в случае отзыва такого согласия, если для обработки персональных данных не будет иных правовых оснований, предусмотренных законодательством Российской Федерации.

5. Ссылки на сайты третьих лиц.

На сайте могут быть размещены ссылки на сторонние сайты. Компания не несет ответственности за безопасность или конфиденциальность любой информации, собираемой сторонними сайтами.

6. Безопасность персональных данных.

Сайт принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

7. Изменения.

Компания производит обновление политики по мере необходимости. Продолжая использование сайта пользователь подтверждает согласие с внесенными изменениями.

8. Контакты.

Вопросы, связанные с обработкой персональных данных необходимо направлять по электронной почте указав тему письма «Персональные данные» на адрес: personaldata@fotostrana.ru.

Дата с которой применяется настоящая редакция – 29.06.2017.

Согласно Постановлению правительстваN 1119 от 01.11.2012 в организации должен быть назначен ответственный за обеспечение безопасности персональных данных в информационных системах. Какая ответственность предусмотрена, если такое лицо не назначено.

Бесплатный вопрос юристам онлайн

Если Вам трудно сформулировать вопрос — позвоните, юрист Вам поможет:
Бесплатно с мобильных и городских

Мной был направленно письмо об отзыве персональных данных.

В соответствии с ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Согласно ч. 5 ст. 21 указанного Закона, В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

На основании вышеизложенного, руководствуясь ч. 2 ст. 9, ч. 5 ст. 21 Федерального закона «О персональных данных», заявляю об отзыве своего согласия на обработку персональных данных и необходимости прекращения всех форм обработки моих персональных данных в течение 30 дней с момента получения Вами настоящего заявления. На что получил ответ:

На Ваше требование о прекращении обработки персональных данных, Общество поясняет следующее.

В соответствии с частью 2 статьи 9 ФЗ «О персональных данных» от 27 июля

2006 года № 152-ФЗ (далее – ФЗ «О персональных данных»), согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Указанной нормой закона также предусмотрено, что в случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор (Общество) вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных, в частности, в пунктах 2 – 11 части 1 статьи 6 ФЗ «О персональных данных».

Согласно пункту 5 части 1 статьи 6 ФЗ «О персональных данных», обработка персональных данных допускается в случае, когда такая обработка необходима в соответствии с требованиями действующего законодательства.

Обработка персональных данных после получения отзыва согласия на обработку персональных данных осуществляется Обществом в соответствии с п.2 ст.9, п.п.2 п.1 ст.6 ФЗ "О персональных данных", а именно в целях исполнения п. 4 статьи 7 Федерального закона № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", а также "Положение о требованиях к правилам внутреннего контроля не кредитных финансовых организаций в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (утв. Банком России 15.12.2014 N 445-П).

На основании вышеизложенного и нормах законодательства, сообщаем Вам, что обработка Ваших персональных данных будет осуществляться Обществом в сроки, установленные действующим законодательством.

Как я понимаю они оказываются от моего заявления об отзыве персональных данных?

Хотим подать в банк заявление об отзыве согласия на обработку персональных данных. При заполнении заявления возник вопрос.

Подскажите, пожалуйста, как правильно его назвать? "Заявление об отзыве согласия на обработку персональных данных" или может быть правильнее будет назвать "Заявление о частичном отзыве согласия на обработку персональных данных"?

Кроме того, данный вопрос возник в связи с тем, что банки часто отказывают удалять персональные данные из базы, ссылаясь на ч.1 ст. 6 Федерального закона №152, в своем ответе клиентам банки пишут следующее: "В силу ч. 1 ст. 6 Федерального закона о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных данным Федеральным законом. Обработка персональных данных допускается в случаях, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, в связи, с чем не требует согласия субъекта персональных данных". Как быть, чтобы такой ситуации при подачи заявления не возникло и банк удалил персональные данные? Тем более, что в своем заявлении мы указываем, что у банка остается возможность связываться с нами по почтовому адресу и его указываем. Спасибо!

Бесплатный вопрос юристам онлайн

Если Вам трудно сформулировать вопрос — позвоните, юрист Вам поможет:
Бесплатно с мобильных и городских
Помощь юристов и адвокатов
Спроси юриста! Ответ за5минут
спросить
Администратор печатает сообщение