Кто является регуляторами закон о пдн

Кто отвечает за работу с персональными данными: обязанности и ответственность – Институт Профессионального Кадровика

Кто является регуляторами закон о пдн
25 ноября

3172

#CNT# data-template-html-inactive=В избранное #CNT#>

Доступ к персональным данным в организации получает уполномоченный сотрудник, который отвечает за работу с ПДн компании. Ответственный назначается приказом руководства или в соответствующем локальном документе указывается, кто исполняет эти обязанности.

Максимально полно о доступе к персональным данным, законодательстве и практике, а также ответственности за разглашение в этой области вам расскажут эксперты Валентина Митрофанова и Мария Финатова в нашем новом онлайн-курсе по безопасности и защите персональных данных. Узнайте о тонкостях обработки ПДн применительно к вашей сфере деятельности

Образец приказа о назначении ответственного лица за обработку персональных данных

Подотчетность и ответственность за персональные данные раскрывается в ст. 22.1 152-ФЗ.

Уполномоченный сотрудник подчиняется непосредственно исполнительному органу юрлица, реализующего функции оператора ПД, и получает от него указания.

Исполнительный орган бывает единоличным (директор) или коллегиальным (правление, дирекция) — ст.69 №208-ФЗ. Конкретная информация о руководстве компанией изложена в Уставе.

Что нового появилось в трудовом законодательстве на этой неделе расскажет Валентина Митрофанова. Смотрите новый выпуск  «Кадрового обзора».

Обязанности ответственного сотрудника в области обработки ПД:

  • уведомить регулятора — Роскомнадзор — о начале обработки персданных в организации, контролировать исполнение законов и положений о ПД и требований их защиты работодателем и остальными сотрудниками;
  • информировать работников об основных положениях нормативных документов в области ПД, внутренней документации, посвященной обработке конфиденциальной информации, вопросам защиты персональных данных от разглашения;
  • принимать, обрабатывать заявления субъектов, касающиеся своих персданных, контролировать процессы приема и обработки;

Скачать образец приказа о назначении ответственного за обработку персональных данных

обеспечивать постоянный и открытый доступ к ЛНА, устанавливающему политику предприятия-оператора в области обработки ПДн, правилах доступа к персональным данным и к информации о реализуемых методах их защиты;

  • взаимодействовать с регулятором на предмет обработки ПД, согласовывать действия коллектива во время проведения проверок и при ответах на запросы специалистов Роскомнадзора.

Ответственный сотрудник консультирует коллег по порядку обработки и защиты ПДн и содействует им в рамках своей компетенции, ведет перечень ПД, предназначенных для обработки.

Оператор персданных обязан не только установить ответственных за работу с личными сведениями лиц.

Необходимо создать условия для организации безопасного доступа к персональным данным, исключения возможности их разглашения.

Для этого возложить ответственность за сохранность сведений личного характера на бумаге и в информационных системах на уполномоченных сотрудников путем предоставления доступа.
Важно!Параметры допуска фиксируются в ЛНА – подробно расписывается кому какой доступ предоставляется и для каких целей, бывает полным и ограниченным.

Вид и порядок доступа к персональным данным граждан устанавливается в зависимости от характера ПД, с которыми работает специалист и определяется его функциональными обязанностями. Законодательно обусловленного разделения персонала по видам допусков к личным сведениям нет, кто имеет доступ к конфиденциальной информации, решает сам работодатель.

СоветПолным доступом наделяются сотрудники, которым он необходим в силу выполняемых обязанностей. Это главный бухгалтер, начальник отдела кадров, первые лица организации, их заместители — перечень таких должностей определяется внутренним нормативным актом по персональным данным или отдельным приказом.

В ЛНА закрепляется и перечень лиц с ограниченным допуском, по которому также может быть издан регламентирующий приказ. В нем указываются: должности; перечень конфиденциальной информации, допуск к которой открыт; список разрешенных операций. Ограничение доступа обуславливается спецификой личных сведений, нужных для выполнения трудовых функций конкретному специалисту.

Скачать образец перечня должностей и персональных данных

Лица, на которых возложена ответственность за обработку персональных данных в компании, имеют доступ к информационным системам ПДн или к бумажным носителям — исходя из того, как обрабатывается личная информация в организации. Разрабатываются и закрепляются в локальной нормативной документации компании механизмы защиты персданных:

  • как обеспечивается сохранность информации при работе в ИСПДн и при ручной обработке ПД;
  • какие мероприятия осуществляются для исключения несанкционированного доступа и разглашения информации конфиденциального характера.

Руководствоваться при разработке внутренних документов лицам, имеющим доступ к персональным данным, надо следующими нормативными актами, регламентирующими выполнение операций с личной информацией:

  • на бумаге  — ПП № 687;
  • в ИСПДн  — ПП №1119 и Приказ ФСТЭК № 21.
Важно!Обработка биометрии нормируется ПП № 512, в нем устанавливаются требования к носителям биометрических ПД и технологиям хранения данных вне ИСПДн.

Сотрудник, исполняющий обязанности по обработке конфиденциальных сведений, несет ответственность за разглашение персональных данных. При обнаружении таких инцидентов к уполномоченному лицу применяется дисциплинарное взыскание —увольнение.

В зависимости от допущенных нарушений во время обработки ПД и от ущерба от разглашения личных сведений, к ответственным за эту работу сотрудникам применяются как административные, так и уголовные наказания.

 

Источник: https://profkadrovik.ru/articles/working-conditions/vidy-dostupa-k-personalnym-dannym-otvetstvennost-za-bezopasnost-pnd-/

Оператор персональных данных – кто является оператором ПДн по ФЗ 152

Кто является регуляторами закон о пдн

Знание законодательной базы для того, кто намерен осуществлять обработку ПДн в рамках своей деятельности, является обязательным, и главным нормативно-правовым актом является Федеральный Закон № 152, принятый в 2006 году.

Он регулирует взаимоотношения владельцев личной информации и тех, кто использует эти сведения для коммерческих и иных целей.

Детальный анализ ФЗ позволит разобраться, кто признается оператором персональных данных, какие у него права и обязанности, может ли быть обработчиком поручитель, какие требования предъявляются к тем, кто собирает, хранит, копирует, распространяет, уничтожает и блокирует сведения. Особого внимания заслуживает вопрос необходимости исполнения закона о ПДн в полном объеме, например, в отдельных случаях нет необходимости отправлять уведомление Роскомнадзору об осуществлении обработки информации.

Кто является оператором персональных данных в соответствии с ФЗ-152?

В статье 3 четко прописано, что статус оператора ПДн имеют все, кто сами либо с помощью уполномоченных лиц обрабатываютперсональные данные, предварительно установив их состав, цели и список выполняемых действий. Под данную категорию попадают как юридические, так и физические лица, а также муниципальные органы и государственные структуры. Фактически это все без исключения компании, реализующие товары или услуги.

В действующем законодательстве РФ указаны организации, которым не нужно дополнительно информировать Роскомнадзор о проведении операций с ПДн. К ним относятся фирмы и ИП, которые получают и используют личные сведения субъектов:

  • на основании положений ТК России (каждый работодатель — это оператор);
  • после заключения соответствующего договора для исполнения его условий;
  • в рамках деятельности религиозного или общественного сообщества, но только в том случае, если они не будут передавать ПДн третьим лицам;
  • входящие в состав государственных информационных систем (ГИС);
  • в неавтоматизированных системах с соблюдением установленных требований ФЗ и других подзаконных актов;
  • в ситуациях, когда требуется защита интересов и обеспечения безопасности общества и граждан, в том числе при оказании услуг связи, междугородных и международных перевозок и т.п.

Кроме того, оператор личных данных не должен сообщать в компетентный орган, если обрабатывает исключительно Ф.И.О. гражданина, сведения для выдачи однократных пропусков и ПДн, которые имеют общедоступный характер.

Если ваша деятельность не относится ни к одной из перечисленных категорий, то уведомление посылать необходимо, причем сразу после этого вы будете включены в реестр. Каждый человек может в любое время зайти на официальный ресурс Роскомнадзора и узнать наименование и другие сведения об операторе персональных данных.

Если в перечне информации нет, это может значить, что фирма или ИП не подали уведомление, соответственно, нарушили закон либо совершают операции, для которых не требуется его предоставлять.

Проконсультироваться, нужно ли в вашем случае контактировать с проверяющей организацией, можно в нашем специализированном центре. Опытные эксперты по защите ПДн изучат ситуацию и дадут конкретные рекомендации по поводу правового урегулирования деятельности согласно ФЗ-152.

Независимо от того, в какой сфере работает компания, насколько большой штат сотрудников и объем обрабатываемой личной информации, в обязательном порядке необходима разработка Политики обработки ПДн и прочей внутренней документации, определяющей порядок совершения всех операций.

Для тех, кто ведет бизнес онлайн, предусмотрено требование опубликовать основные документы на сайте.

При отсутствии неограниченного доступа к Политике можно получить штраф в пределах от 3 до 30 тысяч рублей, в дополнение к этому организация автоматически попадает в реестр нарушителей, что негативно скажется на деловой репутации.

Права и обязанности оператора персональных данных

Занимаясь обработкой ПДн, предприниматель или фирма должны четко придерживаться законодательных нормативов. Например, есть возможность осуществлять с полученными сведениями такие операции, как:

  • копирование;
  • сбор, анализ и сохранение;
  • изменение, дополнение, обновление;
  • распространение;
  • использование;
  • систематизация и накопление;
  • обезличивание;
  • блокировка, уничтожение, удаление.

Но при этом установлены ограничения относительно продолжительности хранения и способа применения. Запрещено продолжать обрабатывать ПДн после достижения изначально поставленных целей и сроков.

Что касается требований к операторам персональных данных, то основными среди них являются:

  1. Отправка уведомления о начале проведения действий с ПДн сотрудников, клиентов с обязательным указанием адреса, Ф.И.О./названия организации, субъектов и типов обрабатываемых сведений, правового обоснования деятельности, списка операций, предпринятых мер обеспечения безопасности. Также нужно сообщить дату начала работ с ПДн, сроки и условия её завершения, наличие трансграничной передачи информации (передачи на территорию иностранного государства).
  2. Обеспечение защиты ПДн от несанкционированного доступа. На предприятии должен быть сотрудник, ответственный за внедрение и контроль операций, а также разработаны и интегрированы организационные и технические меры защиты. Для внедрения мер обеспечения безопасности требуется составить достаточной большой список локальных документов, начиная от должностных инструкций, заканчивая моделью актуальных угроз ПДн.
  3. Конфиденциальность информации. Операторы должны организовать свою деятельность таким образом, чтобы к ней имели доступ только уполномоченные лица, не происходило утечек, и не было случаев передачи ПДн третьей стороне без предварительного получения письменного согласия.
  4. Использование локальных ИСПДн — имеется ввиду необходимость хранения и обработки на российских серверах при сборе ПДн. При этом возможность дальнейшей трансграничной передачи не запрещена.
  5. Прекращение операций после истечения предусмотренного срока или достижения изначально установленных условий обработки. Кроме того, ФЗ-152 позволяет каждому субъекту написать заявление с просьбой отозвать согласие на использование его ПДн, после чего у фирмы или ИП есть 30 дней на исполнение данного требования, если конечно же нет законных оснований для продолжения обработки его ПДн.

Что проверяет Роскомнадзор?

Регулярные проверки ведомства — мощный стимул для организаций не нарушать положения ФЗ-152. Главное, на что обращают внимание представители госструктуры:

  • наличие письменного согласия субъектов в случае их необходимости;
  • присутствие локальной документации, регулирующей взаимоотношения между оператором и владельцем ПДн, а также их соблюдение;
  • своевременное уведомление о начале обработки;
  • поставленные цели и длительность хранения информации;
  • применяемые меры защиты, налаженная система ограничения доступа;
  • сервера, на которые помещаются сведения для систематизации и хранения.

Естественно, если в прошлом оператор персональных данных совершал нарушения, но его будут инспектировать особенно тщательно, так что есть смысл изначально привести деятельность в сфере ПДн в соответствие в требованиями ФЗ-152.

Делегирование обработки ПДн

Осуществлять обработку самостоятельно необязательно — можно поручить организацию обработки и защиту информации специалистам.

Это может быть сервис-провайдер либо иное лицо (например, наш Центр безопасности данных), которое возьмет на себя обеспечение технической части согласно условиям подписанного договора и нормативам российского законодательства.

Юридическое право выполнять действия с ПДн закрепляется в поручении, где отдельным пунктом прописана необходимость обеспечения безопасности и конфиденциальности обрабатываемых данных граждан.

Чем грозит разглашение личной информации граждан?

Закон предусматривает различные виды ответственности за несоблюдение оператором требований ФЗ-152 в отношении операций с ПДн, а именно:

  • замечание, выговор и увольнение сотрудника, допустившего разглашение конфиденциальной информации;
  • взыскание суммы ущерба с работника-нарушителя;
  • возмещение морального вреда субъекту персональных данных в результате гражданских исков;
  • наложение административного штрафа, размер которого может варьироваться в зависимости от обстоятельств дела (от 15 тысяч до 18 миллионов рублей);
  • и другие виды ответственности, вплоть до уголовной для руководителя при значительных нарушениях, повлекших за собой серьезные последствия для субъекта.

Источник: https://data-sec.ru/personal-data/operator/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.