152 фз статья 22: Закон О персональных данных. Статья 22. Уведомление об обработке персональных данных 2016-2021г. ЮрИнспекция

Разное 

Персональные данные

1 сентября вступят в силу масштабные поправки в Закон о персональных данных.

По этому поводу опубликовано Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2022 г. № 08-75348 «О результатах рассмотрения обращения» .

Публикуем его полностью:

Вопрос: С 1 сентября 2022 года статья 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» будет действовать в новой редакции, а именно — с учетом изменений, внесенных Федеральным законом от 14 июля 2022 г. N 266-ФЗ.

Согласно этой редакции уведомление в Роскомнадзор об обработке персональных данных теперь надо подавать практически во всех случаях обработки персональных данных (перечень исключений существенно сокращен, обрабатывать без уведомления персональные в соответствии с трудовым законодательством больше нельзя).

В связи с чем прошу пояснить, обязан ли работодатель подавать соответствующее уведомление в отношении обработки данных работников, если данные сотрудников необходимы работодателю для стандартных трудовых отношений, как-то: заключение трудового договора, выплата заработной платы, передача в ПФР и ФСС информации о работниках согласно действующему законодательству, наделение работников полномочиями представителя (оформление доверенности на сотрудника в интересах организации), оформление пропусков для входа на территорию работодателя и т. д.?

Ответ: Роскомнадзор рассмотрел Ваше обращение от 15.08.2022 N 02-11-32221 и сообщает следующее.

Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон), персональные данные — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).

На основании п. 3 ст. 3 Закона под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

По вопросу подачи уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление), сообщаем, что согласно п. 2 ст. 3 Закона оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данным.

На основании ч. 1 ст. 22 Закона обработка персональных данных должна осуществляться с уведомлением уполномоченного органа о таком намерении, за исключением случаев, предусмотренных ч. 2 ст. 22 настоящего Закона.

Таким образом, в связи с принятием Федерального закона от 14.07.2022 N 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», в случае осуществления указанной деятельности в Вашем обращении, не подпадающей под исключения ч. 2 ст. 22 Закона, полагаем, организации надлежит направить Уведомление в территориальное управление Роскомнадзора по месту нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе.

Обращаем Ваше внимание, что оператор вправе в настоящий момент направить Уведомление по форме, установленной в соответствии с приложением N 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале деятельности по обработке персональных данных и внесении изменений в ранее представленные сведения, утвержденных приказом Роскомнадзора от 30.05.2017 N 94, в виде документа на бумажном носителе или в форме электронного документа.

Электронная форма Уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/).

На интернет-странице https://pd.rkn.gov.ru/operators-registry/notification/updateform/ оператору предоставлена возможность сформировать Уведомление в электронной форме и направить в его в территориальный орган Роскомнадзора одним из следующих способов:

1. сформировать Уведомление и направить в бумажном виде;

2. сформировать Уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи;

3. сформировать Уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.

В последующем, после издания Роскомнадзором приказа об утверждении форм уведомлений и информационных писем в соответствии с изменениями в Законе, оператор вправе направить соответствующее Информационное письмо для внесения изменений в сведения об операторе в Реестре в территориальный орган Роскомнадзора по месту регистрации в качестве юридического лица.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) |

Купить Гарант Купить документ Запросить демо Спросите цену Система Гарант

Расширять

  • Глава 1. Общие положения
    • Статья 1. Сфера применения настоящего Федерального закона
    • Статья 2. Цель настоящего Федерального закона
    • Статья 3. Основные понятия, используемые в настоящем Федеральном законе
    • Статья 4. Законодательство Российской Федерации о персональных данных
  • Глава 2. Принципы и условия обработки персональных данных
    • Статья 5. Принципы обработки персональных данных
    • Статья 6. Условия обработки персональных данных
    • Статья 7. Статус неразглашения персональных данных
    • Статья 8. Общедоступные источники персональных данных
    • Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
    • Статья 10. Специальные категории персональных данных
    • Статья 11. Биометрические персональные данные
    • Статья 12. Трансграничный поток персональных данных
    • Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
  • Глава 3. Права субъекта персональных данных
    • Статья 14. Права субъекта персональных данных в отношении его персональных данных
    • Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической пропаганды
    • Статья 16. Права субъектов персональных данных при принятии решений исключительно на основании автоматизированной обработки их персональных данных
    • Статья 17. Право на обжалование действий или бездействия оператора
  • Глава 4. Обязанности Оператора
    • Статья 18. Обязанности оператора при сборе персональных данных
    • Статья 18.1. Меры по обеспечению исполнения Оператором обязанностей, предусмотренных настоящим Федеральным законом
    • Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
    • Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при поступлении запроса от субъекта персональных данных или его представителя, а также от уполномоченного органа, уполномоченного в области защиты прав субъектов персональных данных
    • Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, обновлению, блокированию и уничтожению персональных данных
    • Статья 22.
      Уведомление об обработке персональных данных
    • Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
  • Глава 5. Государственный контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
    • Статья 23. Орган, уполномоченный на защиту прав субъектов персональных данных
    • Статья 24. Ответственность за нарушение требований настоящего Федерального закона
  • Глава 6. Заключительные положения
    • Статья 25. Заключительные положения

Узнать больше и Купить

Компания Гарант специализируется на разработке и сопровождении программного обеспечения «Законодательство России на английском языке» с 1991 года

Правовые особенности ИТ-инфраструктуры в России

Перейти к основному содержанию

Светлана Яковлева

Погружное охлаждение

Опубликовано 24 сентября 2020 г.

+ Подписаться

Если вы хотите начать бизнес в России или уже имеете российских пользователей, важно обратить внимание на следующие составляющие российского законодательства.

Роскомнадзор  

Почти у каждой компании есть данные, которые передаются или обрабатываются, а значит должны быть защищены. Если компания планирует собирать данные о физических лицах, она должна уведомить Роскомнадзор сразу после регистрации. При этом необходимо уведомить орган о намерении осуществлять обработку персональных данных граждан до начала обработки данных (ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»). С 1 июля 2017 года в России повышены административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ, что может дорого обойтись компании.

Федеральный закон № 242    

В июле 2014 года принят Федеральный закон № 242, которым определены изменения в Федеральный закон № 152 в части требований к хранению персональных данных. Поправки вызвали огромный резонанс в ИТ-отрасли, так как требуют, чтобы персональные данные граждан России собирались, обрабатывались и хранились только на серверах и системах хранения, физически расположенных в России. Особо было указано, что новые правила распространяются на все: частные и публичные компании (в том числе в сфере электронной коммерции), которые работают с персональными данными российских пользователей. Другими словами, 242-й ФЗ касается локализации персональных данных.

Федеральный закон № 152

Цель закона определена статьей 2 Федерального закона от 27.07.2006 № 152-ФЗ (ред. 31.12.2017) «О персональных данных» — обеспечение защита прав и свобод человека и гражданина при обработке персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну. Другими словами, 152-й Федеральный закон о том, как именно вы должны хранить свои данные — какие средства защиты должны применяться к разным типам данных. Причиной принятия закона о защите персональных данных стала необходимость устранения барьеров в международной торговле со странами ЕС. Обмен персональными данными, часто необходимый при совершении сделок, возможен только между государствами, способными обеспечить надлежащую защиту передаваемой и получаемой информации.

Защита персональных данных

Персональные данные подразделяются на несколько категорий:

  • Общедоступные персональные данные, которые можно получить из определенных общедоступных источников информации;
  • Специальные персональные данные, к которым относятся сведения о расе, религиозных и политических взглядах, состоянии здоровья и интимной жизни лица;
  • Биометрические персональные данные, которые описывают физиологические и биологические характеристики человека в целях его идентификации;
  • Другие персональные данные (любые персональные данные, не подпадающие под описание выше).

Данные могут храниться как в документальной форме, так и в информационных системах. Согласно вышеуказанным законам все информационные системы классифицируются в зависимости от того, какие персональные данные в них хранятся и обрабатываются. Информационные системы также классифицируются в зависимости от того, чьи данные они содержат: только о сотрудниках компании или случайных людях.

Еще одной важной характеристикой информационной системы является количество субъектов, чьи данные в ней хранятся, которое может быть меньше или больше 100 000.

Также должны быть идентифицированы соответствующие риски безопасности. Они классифицируются как а) относящиеся к системному программному обеспечению, б) относящиеся к прикладному программному обеспечению и в) не относящиеся ни к одному из видов программного обеспечения.

В зависимости от точного сочетания перечисленных выше факторов Постановлением Правительства РФ от 01.11.2012 № 1119 установлены четыре уровня безопасности, которые могут потребоваться информационной системе. Естественно, меры, необходимые для обеспечения необходимого уровня безопасности, различаются по сложности и стоимости.

Требования безопасности персональных данных касаются практически всех. Если человек может быть идентифицирован по этим данным, его/ее персональные данные должны быть защищены. Компания будет оштрафована за несоблюдение закона. Еще одна важная проблема — репутационный риск для бизнеса, так как все случаи несоблюдения и нарушения законов о персональных данных публикуются в открытых источниках. Для крупных компаний такая плохая реклама может оказаться намного дороже любых штрафов и пени.

На основании двух упомянутых выше важных законов могу сказать следующее: когда компании приходят в Россию, они должны проверять, какие данные они собирают и обрабатывают. Все персональные данные граждан России должны изначально собираться, храниться и обрабатываться в России. Вам необходимо провести аудит существующей ИТ-инфраструктуры, чтобы понять, как построить или изменить ее в соответствии с российским законодательством. Эти шаги могут облегчить жизнь вашей компании и помочь вам избежать непредвиденных расходов.

  • Насколько важно местоположение при выборе центра обработки данных?

    22 сент. 2020 г.

  • Тенденции ИТ-инфраструктуры. Часть 2

    18 сент. 2020 г.

  • Частые ошибки при открытии бизнеса в России

    11 сент. 2020 г.

  • Тенденции ИТ-инфраструктуры

    8 сент.

    No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *