152-ФЗ — Статья 22 — Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
10. 1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Положения статьи 22 закона №152-ФЗ используются в следующих статьях:-
Статья 22.1
Лица, ответственные за организацию обработки персональных данных в организациях
-
Статья 23
Уполномоченный орган по защите прав субъектов персональных данных
5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона; Открыть статью
-
Статья 25
Заключительные положения
2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
Политика конфиденциальности персональных данных АО «КомплектСервис»
-
1. ПРИМЕНЯЕМЫЕ ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ.
-
2.
ОБЩИЕ ПОЛОЖЕНИЯ.- Назначение документа
Настоящая Политика АО «КомплектСервис» в отношении обработки персональных данных (далее – Политика) разработана в соответствии со п. 2 статьи 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и определяет политику АО «КомплектСервис» (далее – Оператор) в отношении обработки информации о субъектах персональных данных, которую Оператор и/или его партнеры могут обрабатывать при осуществлении установленных в Уставе видов деятельности.
- Нормативные ссылки
- Федеральный закон от 27 июля 2006 года № 149 «Об информации, информационных технологиях и о защите информации».
- Федеральный закон от 27 июля 2006 года № 152 «О персональных данных»
- Федеральный закон от 21. 07.2014 N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
- Область действия
Действие настоящей Политики распространяется на все процессы Оператора, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
Использование услуг Оператора означает согласие субъекта персональных данных с настоящей Политикой и указанными в ней условиями обработки его персональных данных.
- Утверждение и пересмотр
Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно до замены ее новой Политикой. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте Оператора в сети Интернет, либо иным способом.
- Назначение документа
-
3. ПЕРСОНАЛЬНЫЕ ДАННЫЕ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫЕ ОПЕРАТОРОМ
- Общий порядок обработки
При организации обработки персональных данных Оператором выполняются следующие принципы и условия:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
- персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
Оператор в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Оператором извещает представителей Оператора об изменении своих персональных данных.
- Общий порядок обработки
-
4. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ОПЕРАТОРА
Оператор производит обработку только тех персональных данных, которые необходимы для выполнения договорных обязательств (исполнения соглашений и договоров с субъектом Оператора, исполнения обязательств перед контрагентом и работниками), ведения общехозяйственной деятельности Оператора, а также в целях исполнения требований законодательства РФ.
Оператором производится обработка персональных данных следующих категорий субъектов персональных данных: физические лица — посетители сайта компании.
Цели обработки персональных данных:
- регистрация/авторизация субъекта на cайте Оператора;
- упрощение доступа субъекта к информации, размещенной на сайте Оператора;
- обработка и выполнение заказов через сайт Оператора;
- предоставление ответов на вопросы субъектов или решений по запросам, связанным с продукцией и услугами Оператора;
- осуществление деятельности по продвижению продукции и услуг Оператора;
- оценка и анализ работы сайта Оператора;
- анализ покупательских особенностей субъекта и предоставление персональных рекомендаций;
- информирование субъекта об акциях, скидках и специальных предложениях Оператора посредством электронной почты и СМС-рассылок;
- определение победителя в проводимых Оператором акциях;
- получение персонализированных сообщений, рекламы и специальных предложений, которые соответствуют личным интересам субъектов, на основании данных, которые субъекты предоставляют Оператору, а также данных, собранных Оператором с помощью cookie-файлов или аналогичных методов при использовании субъектами веб-сайтов / социальных сетей/мобильных приложений;
- оценка деловых качеств субъектов на заполнение вакансий компании Оператора;
- возможное трудоустройство субъектов в компанию Оператора.
-
5. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПЕРЕДАЧИ ИХ ТРЕТЬИМ ЛИЦАМ
Оператор обрабатывает и хранит персональные данные субъектов в соответствии с внутренними нормативными документами, разработанными согласно законодательству РФ.
В отношении персональных данных субъекта обеспечивается их конфиденциальность, целостность и доступность. Передача персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта персональных данных.
В случае реорганизации, продажи или иной передачи бизнеса (полностью или части) Оператора к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к получаемым им персональным данным.
- получено согласие субъекта на поручение обработки персональных данных другому лицу;
- поручение обработки персональных данных осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27 июля 2006 года № 152 «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных и несет ответственность перед Оператором. Оператор несет ответственность перед субъектом персональных данных за действия уполномоченного лица, которому Оператор поручил обработку персональных данных.
При обработке персональных данных субъектов Оператора руководствуется Федеральным законом РФ от 27 июля 2006 года № 152 «О персональных данных».
-
6. ПРАВА СУБЪЕКТА НА ДОСТУП И ИЗМЕНЕНИЕ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
Для обеспечения соблюдения установленных законодательством прав субъектов персональных данных Оператором разработан и введен порядок работы с обращениями и запросами субъектов персональных данных, предоставления субъектам персональных данных установленной законом информации.
Данный порядок обеспечивает соблюдение следующих прав субъектов Оператора:
- право на получение информации, касающейся обработки его персональных дан-ных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27. 07.2006 № 152-ФЗ «О персональных данных» или другими Федеральными зако-нами.
- право на уточнение, блокирование или уничтожение своих персональных данных, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки
- право на получение информации, касающейся обработки его персональных дан-ных, в том числе содержащей:
-
7. ОБЯЗАННОСТИ ОПЕРАТОРА
В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Оператор обязан:
- осуществлять обработку персональных данных с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
- не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных»;
- предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется;
- в случаях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных» осуществлять обработку персональных данных только с согласия в письменной форме субъекта персональных данных;
- предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в предоставлении указанной информации и дать в письменной форме мотивированный ответ, содержащий ссылку на положения Федерального закона № 152-ФЗ «О персональных данных», являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. При обращении либо при получении запроса субъекта персональных данных или его представителя предоставить субъекту персональных данных или его представителю информацию, касающуюся обработки его персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
- если предоставление персональных данных является обязательным в соответствии с Федеральным законом, разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копиро-вания, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Описание принимаемых мер приведено в п. 7 настоящей Политики;
- по требованию субъекта персональных данных внести изменения в обрабатываемые персональные данные, или уничтожить их, если персональные данные являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих указанные факты, а также уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. Вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
- уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором;
- персональные данные получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных сведений, содержащихся в Уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц.
- в случае выявления неправомерной обработки персональных данных или неточных персональных данных, устранить выявленные нарушения в соответствии с порядком и сроками, установленными частями 1-3 и 6 Федерального закона № 152-ФЗ «О персональных данных»;
- в случае достижения целей обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных №152-ФЗ «О персональных данных» или другими Федеральными законами.
- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
- в случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных.
-
8. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ
Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных субъектов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц. Оператором применяются следующие методы и способы обеспечения безопасности персональных данных:
- определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применяются прошедшие в установленном порядке процедуры оценки соответствия средств защиты информации;
- проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- ведется учет машинных носителей персональных данных;
- организовано обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по выявленным нарушениям;
- производится восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационных системах персональных действий;
- производится контроль за принимаемыми мерами по обеспечению безопасности персональных данных и контроль уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных.
Термины, определения, сокращения | Комментарии |
Автоматизированная обработка персональных данных | Обработка персональных данных с помощью средств вычислительной техники. |
Компания | АО «КомплектСервис» |
Обработка персональных данных |
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. |
Персональные данные | Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). |
Субъект персональных данных (субъект) | Физическое лицо, индивидуальный предприниматель или представитель юридического лица, заключившее с Оператором гражданский договор на выполнение работ, оказание услуг в соответствии с осуществляемыми Оператором видами деятельности, а также работники Оператора и работники контрагентов Оператора. |
- Форма согласия на обработку персональных данных doc
Наша миссия
сделать более доступной высокотехнологичную
и современную медицинскую технику
для каждого жителя России
Наша команда
это более 900 сотрудников по всей России.
Мы уверены, что здоровье — это главная
ценность человека
Мы профессионалы
и создаем основу для успешного
взаимовыгодного сотрудничества с нашими
клиентами
ФЗ-152 – нужно ли вашей компании их соблюдать?
После введения в действие в России Закона о персональных данных № 152-ФЗ иностранные компании, работающие на российском рынке, были вынуждены принимать меры по соблюдению требований закона, чтобы избежать потенциального риска штрафов. Широкое внедрение облачных сервисов, от программного обеспечения до систем хранения, создало дополнительные проблемы совместимости — поставщики облачных услуг (CSP) также должны соблюдать требования закона для хранения данных клиентов в облаке.
Мы рекомендуем всем операторам данных, обрабатывающим российские персональные данные, проверить их соблюдение. В этой статье мы объясняем, почему это важно, особенно для компаний, выходящих на российский рынок.
Какова основная цель закона?
Федеральный закон 152-ФЗ «О персональных данных» укрепляет конфиденциальность граждан. По закону вся информация, полученная компаниями, банками, социальными сетями, интернет-магазинами и т. д. от сотрудников и клиентов, должна тщательно храниться. Передача персональных данных третьим лицам подлежит административной и уголовной ответственности. При этом для получения любой частной информации должно быть назначено уполномоченное лицо, которое будет ее обрабатывать и обеспечивать безопасность.
Под персональными данными в Законе понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Операторы данных могут осуществлять сбор персональных данных только с согласия субъекта ПДн. При этом устного разрешения часто бывает недостаточно – лучше подписать краткое соглашение или (если это сайт) предусмотреть поле с требованием поставить галочку о согласии на обработку передаваемых персональных данных.
Закон также требует, чтобы данные можно было использовать только для той конкретной цели, для которой они были собраны.
Предприятия должны принять все необходимые меры для защиты данных, а также быть прозрачными для граждан в отношении того, как они используют собранные личные данные. Граждане могут запросить посмотреть, какие данные о них хранятся в организации, а также могут запросить их удаление в любое время.
Почему это важно
Наиболее очевидным влиянием 152-ФЗ на иностранные компании является суверенитет данных. Правила локализации данных требуют, чтобы все операторы данных, работающие с персональными данными граждан России, хранили свои базы данных таких данных в России.
Это новшество затрагивает международные компании, поскольку почти все их внутреннее программное обеспечение (CRM, учетные системы, системы управления персоналом и т. д.) является глобальным и часто находится за границей. Кроме того, это важно для зарубежных веб-сервисов, не имеющих локализованных систем (таких как Twitter и Facebook). Новинка касается и разработчиков веб-сервисов, которые изначально решили локализовать системы в своих странах, хотя ориентируются на российскую аудиторию.
За несоблюдение требований по локализации, а также требований законодательства Российской Федерации в области персональных данных Роскомнадзор может заблокировать сайты или ограничить обработку персональных данных в нелокализованных базах данных. На это указано в статье 23 п. 4 Федерального закона «О персональных данных». Регулятор может проверить локализацию сайта выездными проверками, установив местонахождение базы данных, содержащей персональные данные россиян.
Помимо блокировки веб-сайта оператора данных, обрабатывающего российские персональные данные, предусмотрены финансовые санкции. Административные штрафы за несоблюдение Правил локализации данных оператором данных составляют от 2 млн до 6 млн рублей (в настоящее время примерно от 27 000 до 80 000 долларов США) при первоначальном нарушении, при повторном нарушении штраф может достигать ₽ 18 миллионов (около 240 000 долларов США).
Они также ввели штрафы для топ-менеджеров компаний (генеральный директор или генеральный директор). За первоначальное нарушение до 200 000 рублей (примерно от 1560 до 3125 долларов США), за повторное нарушение — от 500 000 до 800 000 рублей (примерно от 7800 до 12 500 долларов США).
Стоит отметить, что если деятельность иностранной организации направлена на россиян, то к такой организации применяются не только требования по локализации. Также существуют и другие требования, в том числе уведомление уполномоченного органа по обработке персональных данных, публикация документа, определяющего политику оператора в отношении обработки ПДн, назначение лица, ответственного за обработку персональных данных, и т.д.
Рекомендации для иностранных компаний
Чтобы избежать штрафов и рисков блокировки интернет-ресурсов в России, рекомендуется предварительно оценить, соответствует ли ваша компания критериям для работы в России. При наличии факторов, указывающих на то, что деятельность направлена против россиян, следует не только локализовать базы данных, содержащие персональные данные граждан России, но и соблюдать иные требования законодательства о персональных данных, а также быть готовым к эффективному сотрудничеству с Роскомнадзором.
Linkedin отказался хранить личные данные российских пользователей на территории России и был заблокирован. История иллюстрирует потенциальные последствия, к которым могут привести иностранные компании, если они не будут соблюдать российское законодательство.
Конфиденциальность
Политика обработки персональных данных
1. Общие положения
Настоящая Политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Nauticat (далее — Оператор).
1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) распространяется на всю информацию, которую Оператор может получить о посетителях сайта https://nauticat.com.
2. Основные понятия, используемые в Политике
2. 1. Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
2.3. Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу https://nauticat.com.
2.4. Информационная система персональных данных — совокупность персональных данных, содержащихся в базах данных, и информационных технологий и технических средств, обеспечивающих их обработку.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации с персональными данными, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение , использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому Пользователю Сайта https://nauticat.com.
2.9. Персональные данные, разрешенные субъектом персональных данных к распространению — персональные данные, к которым неограниченный круг лиц имеет доступ субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных к распространению в соответствии с порядке, предусмотренном Законом о персональных данных (далее – персональные данные, разрешенные к распространению).
2.10. Пользователь – любой посетитель сайта https://nauticat. com.
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) либо ознакомление с персональными данными неограниченного круга лиц, в том числе публикация персональных данных в средствах массовой информации, размещение в информации и телекоммуникационных сетей или предоставления доступа к персональным данным иным способом.
2.13. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
3. Основные права и обязанности Оператора
3.1. Оператор имеет право:
– получать от субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные;
– в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных Законом о персональных данных;
— самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения исполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или иными федеральными законами .
3.2. Оператор обязан:
— предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных;
– организовать обработку персональных данных в порядке, установленном действующим законодательством Российской Федерации;
– отвечать на запросы и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
— сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней со дня получения такого запроса;
– опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
– выполнять иные обязанности, предусмотренные Законом о персональных данных.
4. Основные права и обязанности субъектов персональных данных
4.1. Субъект персональных данных имеет право:
— получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Информация предоставляется субъекту персональных данных Оператором в доступной форме и не должна содержать персональных данных, относящихся к иным субъектам персональных данных, за исключением случаев наличия законных оснований для раскрытия таких персональных данных. Перечень информации и порядок ее получения устанавливаются Законом о персональных данных;
– потребовать от оператора уточнения его персональных данных, блокирования или уничтожения их в случае, если персональные данные являются неполными, устаревшими, недостоверными, полученными незаконным путем или не являются необходимыми для заявленной цели обработки, а также принять предусмотренные законодательством меры по их защите. права;
– выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения товаров, работ, услуг на рынке;
– отозвать согласие на обработку персональных данных;
– обращение в уполномоченный орган по защите прав субъектов персональных данных или в суд на неправомерные действия или бездействие Оператора при обработке его персональных данных;
— осуществлять иные права, предусмотренные законодательством Российской Федерации.
4.2. Субъекты персональных данных обязаны:
— предоставлять Оператору достоверные данные о себе;
– сообщить Оператору об уточнении (обновлении, изменении) своих персональных данных.
4.3. Лица, предоставившие Оператору заведомо ложные сведения о себе или сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.
5. Оператор может обрабатывать следующие персональные данные Пользователя
5.1. Фамилия, имя, отчество.
5.2. Адрес электронной почты.
5.3. Телефонные номера.
5.4. Также на сайте осуществляется сбор и обработка обезличенных данных о посетителях (включая файлы cookie) с помощью интернет-статистики (Яндекс Метрика и Google Analytics и другие).
5.5. Вышеуказанные данные, именуемые в дальнейшем по тексту Политики, объединены общим понятием Персональные данные.
5.6. Обработка специальных категорий персональных данных, касающихся расы, национальности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.