Политика в отношении обработки персональных данных роскомнадзор: Полная информация для работы бухгалтера

Политика в отношении обработки персональных данных

МОБУ СОШ №1 имени И.Д. Бувальцева МО Кореновский район (далее «школа») в рамках выполнения своей основной деятельности осуществляет обработку персональных данных различных категорий субъектов: сотрудников организации, кандидатов на работу, учащихся, родителей (законных представителей), и в соответствии с законодательством Российской Федерации является оператором персональных данных с соответствующими правами и обязанностями.

С целью поддержания  репутации и обеспечения соблюдения норм законодательства Российской Федерации  МОБУ СОШ №1 имени И.Д. Бувальцева считает важнейшими задачами: обеспечение легитимности обработки персональных данных в образовательно – воспитательной деятельности школы и обеспечение надлежащего уровня безопасности обрабатываемых в школе персональных данных.

При организации и осуществлении обработки персональных данных школа руководствуется требованиями Федерального закона от 27. 07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами .

Обработка персональных данных в школе осуществляется на законной, справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых в школе персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.

При обработке персональных данных в школе обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Школа принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных.

Хранение персональных данных в школе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Цели обработки персональных данных, состав и содержание персональных данных, а также категории субъектов персональных данных, чьи данные обрабатываются в школе, содержатся в уведомлении школы об обработке персональных данных, направленном в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), и подлежат обновлению в случае их изменения. В школе  обрабатываются биометрические персональные данные.

Школа не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

С целью обеспечения безопасности персональных данных при их обработке школа принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Школа добивается того, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись в соответствии с требованиями законодательства Российской Федерации.

В школе назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

Каждый новый работник школы, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами школы по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

Федеральный закон Российской Федерации от 27 июля 2006г. №152-ФЗ «О персональных данных»(скачать)

Трудовой кодекс Российской Федерации о защите пресональных данных(скачать)

Политика образовательного учреждения в отношении обработки персональных данных(скачать)

Приказ о назначении ответственных за обработку персональных данных(скачать)

Положение об обработке и защите персональных данных сотрудников МОБУ СОШ №1 им И. Д.Бувальцева МО Кореновский район(скачать)

Должностная инструкция администратора ИСПДН(скачать)

Заявление о согласии на обработку персональных данных(скачать)

Политика в отношении обработки и обеспечения безопасности персональных данных в ООО «СК ДИЗАЙН РИТЕЙЛ»

ПОЛИТИКА в отношении обработки и обеспечения безопасности персональных данных в ООО «СК ДИЗАЙН РИТЕЙЛ»

Перечень условных обозначений, терминов и сокращений

ИСПД – Информационная система персональных данных

Компания – ООО «СК ДИЗАЙН РИТЕЙЛ»

НСД – Несанкционированный доступ

ПД – Персональные данные

Политика – Политика в отношении обработки и обеспечения безопасности персональных данных

Настоящая политика распространяется на пользователей сайта, клиентов, соискателей по вакансиям, сотрудников сторонних организаций, взаимодействующих с компанией (далее-субъекты персональных данных).

Политика действует бессрочно после утверждения и до ее замены новой версией. Загружая веб-сайт на компьютере, мобильном устройстве и заполняя web-формы, содержащие персональные данные, а также передавая персональные данные компании любым иным способом, субъекты персональных данных соглашаются на условия, описанные в Политике.

Настоящая Политика в отношении обработки и обеспечения безопасности персональных данных (далее – Политика) разработана на основании ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных», с учетом требований Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных.

Действие настоящей Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к персональным данным (далее – ПД), а также определяет ответственность ООО «СК ДИЗАЙН РИТЕЙЛ» (далее – Компания) и ее должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм законодательства Российской Федерации, регулирующих обработку и защиту персональных данных.

Настоящая Политика определяет принципы, цели, порядок и условия обработки ПД работников Компании и иных субъектов, чьи ПД обрабатываются Компанией.

В настоящей Политике содержатся положения об ответственности Компании и её работников, в случае выявления нарушений законодательства Российской Федерации, при обработке ПД.

Настоящая Политика является общедоступным документом и может быть предоставлена по требованиям субъектов ПД, направленным в адрес Компании.

Действие настоящей Политики не распространяется на отношения, возникающие при:

• организации хранения, комплектования, учета и использования содержащих персональные данные документов, имеющих статус архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

• персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Положения настоящей Политики являются обязательными для выполнения всеми работниками и иными лицами, имеющими договорные отношения с Компанией.

Обработка ПД осуществляется в Компании на основе следующих принципов:

1. Обработка ПД осуществляется на законной и справедливой основе.
2. Обработка ПД ограничена достижением конкретных, заранее определенных и законных целей.
3. Компания обрабатывает только ПД, отвечающие целям их обработки.
4. Компания разделяет базы данных, содержащие ПД, обработка которых осуществляется в целях, несовместимых между собой.
5. Содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки.
6. Обрабатываемые ПД не являются избыточными по отношению к заявленным целям их обработки.
7. При обработке ПД обеспечиваются точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД.
8. Принимаются необходимые меры, либо обеспечивается их принятие по удалению или уточнению неполных, или неточных ПД.
9. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД.
10. Обрабатываемые ПД уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Компания осуществляет обработку персональных данных в целях осуществления деятельности Компании, согласно законодательству Российской Федерации и Уставу Компании.

Категории субъектов, персональные данные которых обрабатываются в Компании с использованием средств автоматизации или без использования таковых:

1. Контрагенты Компании, представленные:

• руководителями,

• представителями контрагентов,

• юридическими лицами и их работниками,

• индивидуальными предпринимателями и их работниками (при наличии),

• физическими лицами, имеющие или имевшие договорные отношения с Компанией, в том числе находящиеся на преддоговорном этапе установления таких отношений.

2. Клиенты Компании, в состав которых включаются:

• физические лица (покупатели) и их представители (лица, действующие по доверенности и др.), имеющие договорные отношения с Компанией;
• посетители интернет-магазина и сайта Компании;
• пользователи мобильного приложения;
• участники программы лояльности.

3. Посетители Компании.

4. Иные субъекты персональных данных, которые не вошли в вышеперечисленные категории, и обработка персональных данных которых не противоречит законодательству Российской Федерации и необходима ООО «СК ДИЗАЙН РИТЕЙЛ» для осуществления целей обработки персональных данных.

В Компании обрабатываются следующие категории ПД:

• иные категории, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным или к общедоступным ПД;
• биометрические ПД;
• общедоступные ПД.

В Компании назначается лицо, ответственное за организацию обработки ПД.

В Компании назначается лицо, ответственное за обеспечение безопасности ПД в информационных системах персональных данных (далее – ИСПД).

В обработке ПД в Компании участвуют работники, в рамках выполнения своих должностных обязанностей.

Обработка ПД в Компании допускается в следующих случаях:

• обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
• обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПД, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
• обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;
• обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД. Исключение составляет обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
• осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД, либо по его просьбе;
• осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
• также обработка  ПД  Компанией возможна в иных случаях, предусмотренных федеральным законодательством.

Включение  Компанией  ПД субъектов в общедоступные источники ПД возможно только в случае  наличия требований федерального законодательства либо в случае получения письменного  согласия субъекта ПД.

Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Компания осуществляет трансграничную передачу ПД субъектов в целях исполнения договорных обязательств с контрагентами только при наличии согласия субъекта ПД.

Компания осуществляет обработку биометрических персональных данных только при наличии требований федерального законодательства либо при наличии письменного согласия субъекта ПД. Биометрические персональные данные не хранятся вне информационных систем персональных данных Компании.

Компанией не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПД.

Компания вправе поручить обработку ПД другому лицу только с согласия субъекта ПД, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Компания обязывает лицо, осуществляющее обработку ПД по поручению, соблюдать принципы и правила обработки ПД, предусмотренные законодательством Российской Федерации. В случае, если Компания поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПД по поручению Компании, несет ответственность перед Компанией.

Компания обязуется и обязывает иных лиц, получивших доступ к ПД, не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено законодательством Российской Федерации

Обработка Компанией ПД прекращается в следующих случаях:

• достижение целей обработки ПД;
• истечение срока обработки ПД, предусмотренного законодательством Российской Федерации, договором или согласием субъекта ПД на обработку его ПД;
• при отзыве субъектом ПД согласия на обработку его ПД в случаях, не противоречащих требованиям законодательства Российской Федерации.

Компания принимает все необходимые правовые, организационные и технические меры при обработке ПД для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПД.

Реализуются меры по организации обработки и обеспечению безопасности ПД, обрабатываемых без средств автоматизации, в том числе:

• для каждой категории ПД должны быть определены места хранения ПД (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПД и имеющих к ним доступ;
• должно быть обеспечено раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях;
• должны соблюдаться условия, обеспечивающие сохранность ПД и исключающие несанкционированный доступ (далее – НСД) к ним при хранении материальных носителей.

Реализуются меры по защите ПД при их обработке в информационных системах ПД, в том числе:

• определяется уровень защищенности ПД при их обработке в информационных системах;
• выполняются требования по защите ПД в информационных системах ПД, в соответствии с определенными уровнями защищенности ПД;
• применяются необходимые средства защиты информации;
• осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
• осуществляется учет машинных носителей ПД;
• осуществляется обнаружение фактов НСД к ПД и принятие необходимых мер;
• осуществляется восстановление ПД, модифицированных или уничтоженных вследствие НСД к ним;
• устанавливаются правила доступа к ПД, обрабатываемым в ИСПД, а также обеспечиваются регистрация и учет действий, совершаемых с ПД в ИСПД, там, где это необходимо;
• контролируются принимаемые меры по обеспечению безопасности ПД и уровень защищенности ИСПД.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки его персональных данных Компанией;
• правовые основания и цели обработки персональных данных;
• сведения о применяемых Компанией способах обработки персональных данных;
• наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании законодательства Российской Федерации;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27. 07.2006 № 152-ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные законодательством Российской Федерации.

Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных уполномоченными работниками Компании в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Субъект персональных данных имеет право на уточнение его персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных, однако Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии законных оснований.

По вопросам, связанным с обработкой и защитой Ваших персональных данных, Вы можете связаться с Компанией, направив письменный запрос по адресу: 195027, город Санкт-Петербург, улица Магнитогорская, дом 30, литер Б, помещение 462. Если субъект персональных данных считает, что Компания осуществляют обработку его персональных данных с нарушением требований законодательства Российской Федерации или иным образом нарушаются его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

Компания несет ответственность за соответствие порядка обработки и обеспечения безопасности персональных данных законодательству Российской Федерации.

Все работники Компании, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечения безопасности персональных данных.

Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПД, в соответствии с существующими в Компании процедурами.

По факту любых нарушений требований настоящей Политики будут проведены разбирательства в соответствии с существующими в Компании процедурами, по результатам которых могут быть применены меры дисциплинарной ответственности в соответствии с трудовым законодательством Российской Федерации.

В тех случаях, когда нарушение требований настоящей Политики явилось причиной нарушения положений законодательства Российской Федерации, Компания вправе обратиться в правоохранительные органы.

По всем возникшим вопросам касательно персональных данных Вы можете обратиться любым удобным для Вас способом:
По электронной почте info@skdesign. ru
По почте 195027, город Санкт-Петербург, улица Магнитогорская, дом 30, литер Б, помещение 411А
По телефону 8 (800) 770-07-85
—

Утверждены новые формы уведомлений Роскомнадзора

Главная •   Аналитика и брошюры  •   Оповещения  •   Утверждены новые формы уведомлений Роскомнадзора

«Пепеляев Групп» сообщает, что с 26 декабря 2022 года операторы персональных данных обязаны использовать новые формы уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении обработки персональных данных, и о прекращении обработки персональных данных.

До начала обработки персональных данных оператор обязан уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществлять обработку персональных данных (статья 22( 1) Федерального закона «О персональных данных»). Обращаем ваше внимание, что лицо, осуществляющее обработку персональных данных, является оператором персональных данных независимо от того, зарегистрировано ли оно в реестре операторов Роскомнадзора.

В случае изменения сведений, содержащихся в уведомлении о намерении обрабатывать персональные данные, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней со дня возникновения таких изменений или со дня при прекращении обработки персональных данных (п. 7 ст. 22 Федерального закона «О персональных данных»).

Формы уведомлений устанавливаются Роскомнадзором (пункт 8 статьи 22 Федерального закона «О персональных данных»). В настоящее время формы, предусмотренные Приказом Роскомнадзора № 94 от 30 мая 2017 года.

26 декабря 2022 года вступает в силу Приказ Роскомнадзора от 28 октября 2022 года № 180, которым утверждены новые формы вышеуказанных уведомлений:

• о намерении обрабатывать персональные данные;

• об изменении сведений, содержащихся в уведомлении о намерении обработки персональных данных; и

• о прекращении обработки персональных данных.

В соответствии с пунктом 3 статьи 22 Федерального закона «О персональных данных» уведомление о намерении обработать персональные данные должно содержать следующую информацию:

• наименование оператора (полное наименование) и его адрес;

• цель обработки персональных данных;

• описание мер, направленных на обеспечение исполнения оператором обязанностей, предусмотренных Федеральным законом «О персональных данных», а также мер по обеспечению безопасности персональных данных при их обработке (статьи 18.1 и 19 Федерального закона «О персональных данных»). Данные»), в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

• наименование физического или юридического лица, ответственного за организацию обработки персональных данных, и их контактные телефоны, почтовые адреса и адреса электронной почты;

• дата начала обработки персональных данных;

• срок или условие прекращения обработки персональных данных;

• сведения о наличии или отсутствии трансграничной передачи персональных данных при их обработке;

• сведения о местонахождении базы данных, содержащей персональные данные граждан Российской Федерации;

• полное наименование физического лица или наименование юридического лица, осуществляющего доступ и (или) осуществляющего обработку персональных данных, содержащихся в государственных и муниципальных информационных системах, на основании договора;

• сведения о способах обеспечения безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

В отличие от формы, действующей до 26 декабря 2022 года, в новой форме уведомления оператор обязан для каждой цели обработки персональных данных указывать:

• категории персональных данных;

• категории субъектов данных, персональные данные которых обрабатываются;

• правовое основание обработки персональных данных;

• перечень действий с персональными данными; и

• способы обработки персональных данных.

В отличие от формы, действовавшей до 26 декабря 2022 года, новая форма уведомления не предусматривает указания оснований для внесения изменений. Кроме того, для каждой цели обработки персональных данных оператор обязан указать:

• категории персональных данных;

• категории субъектов данных, персональные данные которых обрабатываются;

• правовое основание обработки персональных данных;

• перечень действий с персональными данными; и

• способы обработки персональных данных.

Оператор считается прекратившим обработку персональных данных, если выполняется одно из следующих условий:

• оператор ликвидирован;

• оператор реорганизован;

• прекращается деятельность по обработке персональных данных или отзывается лицензия;

• наступает срок или условие прекращения обработки персональных данных, указанные в уведомлении;

• решение суда, вступившее в законную силу;

• и другие основания.

В отличие от формы, действовавшей до 26 декабря 2022 года, новая форма уведомления прямо не предусматривает обязанность оператора прилагать документы, подтверждающие условия исключения оператора из реестра операторов Роскомнадзора.

Изменение форм уведомления связано с изменением требований Федерального закона «О персональных данных» в части информирования Роскомнадзора. Формы уведомлений утверждаются этим органом.

Изменение формы Уведомления о намерении обработать персональные данные можно оценить двояко. С одной стороны, теперь операторам нужно будет раскрывать Роскомнадзору больше информации, да и заполнение самой формы займет больше времени. С другой стороны, чтобы правильно заполнить эту форму, операторам потребуется проделать довольно много работы в компании. Результатом этой работы может стать улучшение обработки персональных данных и, как следствие, большая их безопасность.

Сокращение данных в Уведомлении об изменении сведений, содержащихся в Уведомлении о намерении обработать персональные данные и Уведомлении о прекращении обработки персональных данных, можно оценить как небольшой плюс, но оно не устраняет нужно изначально раскрывать Роскомнадзору больше информации.

Операторам целесообразно привести деятельность по обработке персональных данных в соответствие с требованиями законодательства. В частности, компании, не зарегистрированные в реестре операторов Роскомнадзора, должны направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.

Перед отправкой уведомления рекомендуется выявить и проанализировать все процессы, в которых компания сталкивается с персональными данными.

По каждому из выявленных процессов необходимо собрать информацию, которая требуется в соответствии с новой формой уведомления, проверить наличие законных оснований для обработки персональных данных, проверить, что состав обрабатываемых данных не является избыточным для конкретной цели обработки, проверить, назначено ли компанией лицо, ответственное за обработку персональных данных, и, при необходимости, установить такое лицо и издать приказ.

Уведомление можно отправить в Роскомнадзор одним из следующих способов:

Юристы «Пепеляев Групп» готовы оказать компаниям комплексную юридическую помощь по вопросам соблюдения законодательства в сфере персональных данных, в том числе:

• Аудит текущей деятельности компании на предмет соблюдения законодательства о персональных данных и подготовка рекомендаций по приведению деятельности в соответствие;

• Приведение внутренних документов компании в соответствие с требованиями Федерального закона «О персональных данных», в том числе актуализация или разработка политики обработки персональных данных, форм согласия на обработку персональных данных и иных необходимых документов в области персональных данных;

• подготовка уведомлений для направления в Роскомнадзор, в том числе уведомлений о намерении обработки персональных данных, об изменении сведений, содержащихся в уведомлении о намерении обработки персональных данных, и о прекращении обработки персональных данных;

• Предоставление юридических консультаций по вопросам трансграничной передачи персональных данных;

• Консультации по локализации персональных данных;

• Консультирование по вопросам обработки персональных данных третьими лицами, в том числе разработка инструкций оператора по обработке персональных данных;

• Проведение оператором технического аудита в целях обеспечения безопасности персональных данных, в том числе выявление угроз безопасности персональных данных при их обработке в информационных системах персональных данных, определение уровней защищенности персональных данных и иных мероприятий;

• Подготовка списков, в том числе списка лиц, уполномоченных на обработку персональных данных, списка используемых информационных систем персональных данных и т. д.;

• Представление клиента в отношениях с Роскомнадзором;

• Проведение обучения сотрудников по вопросам обработки персональных данных.

Важные изменения в российских правилах защиты данных – Вопросы конфиденциальности

Майкл Маллой и Павел Ариевич

20 июля 2014 года новый закон о внесении изменений в закон о защите информации и закон об информации был подписан президентом России и, таким образом, официально принят. Закон, как уточняется, вступит в силу с 1 сентября 2015 г.

Закон требует, чтобы все операторы персональных данных хранили и обрабатывали любые персональные данные российских граждан в базах данных, расположенных в России (за некоторыми исключениями). Наказанием за нарушение этого требования в конечном итоге является блокировка сайтов, связанных с неправомерным обращением с российскими персональными данными. Реестр нарушителей прав субъектов персональных данных создается Российским органом в области связи (Роскомнадзор), из которого Роскомнадзор может перейти к блокировке сайтов.

Поскольку закон принят недавно и еще не вступил в силу, неясно, как этот реестр и блокировка веб-сайтов будут работать на практике, но мы отмечаем, что блокировка веб-сайтов является широко используемым методом правоприменения в России.

Эти правила важны для всех, кто ведет дела с россиянами, независимо от того, где находится бизнес.

Эти новые правила окажут значительное влияние на российские и многонациональные компании с российским присутствием или с участием ориентированных на Россию веб-сайтов, поскольку многие из таких действий включают сбор, хранение и/или обработку персональных данных за пределами Российской Федерации. Федерация.

Кроме того, они, вероятно, лягут тяжелым бременем на многие международные компании, работающие в Интернете (например, компании, предоставляющие туристические услуги), которые регулярно обрабатывают данные физических лиц из всех стран (включая Россию), не имея дочерних компаний или присутствия в России, как это требуется. их, чтобы различать данные, относящиеся к российским лицам, и хранить эти данные в России. Особенно огорчительным аспектом для этих компаний является то, что без российского присутствия у них будет мало возможностей или возможностей привлечь Роскомнадзор к включению в реестр или блокировке веб-сайтов.

По мнению многих комментаторов, введение таких беспрецедентных правил может создать новое существенное бремя для иностранных инвестиций в Россию и может привести к более масштабным негативным экономическим последствиям, чем предполагалось. Имея это в виду, существует большая вероятность того, что закон будет изменен или доработан до 1 сентября 2015 года. Хотя этот новый закон устанавливает дополнительные требования к соблюдению, существуют стратегии, с помощью которых можно добиться эффективного соблюдения.

На данный момент мы настоятельно рекомендуем всем, кто ведет бизнес в России или с россиянами, внимательно следить за тем, как обрабатываются личные данные россиян. Мы будем более чем рады предоставить любую дополнительную информацию или помощь.