Закон о защите персональных данных 152 фз: Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных \ КонсультантПлюс

Разное 

Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных \ КонсультантПлюс

Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

(в ред. Федерального закона от 14.07.2022 N 266-ФЗ)

(см. текст в предыдущей редакции)

2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

(в ред. Федерального закона от 14.07.2022 N 266-ФЗ)

(см. текст в предыдущей редакции)

3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

(в ред. Федерального закона от 14.07.2022 N 266-ФЗ)

(см. текст в предыдущей редакции)

Тотальные изменения 152-ФЗ О персональных данных / Хабр

1 сентября 2022 года вступают в силу поправки в 152-ФЗ О персональных данных. Изменения внесены Федеральным законом от 14. 07.2022 N 266-ФЗ и носят самый масштабный характер с 2011 года. Можно сказать, что уже с сентября существенным образом будут изменены требования к обработке персональных данных как сотрудников, так и иных лиц. При этом данные изменения касаются практически всех лиц, работающих с персональными данными.

1. Наиболее важным уточнением является требование подачи с 01.09.2022 г. уведомления в Роскомнадзор об обработке персональных данных. В старой редакции закона была масса исключений, которые позволяли этого не делать.

Основами поводами работы без «регистрации» в РКН были обработка ПДн сотрудников или в связи с заключением и исполнением договоров. Однако с сентября практически все исключения утратили силу.

Из числа актуальных остались только случаи неавтоматизированной обработки ПДн (т.е. при непосредственном участии человека при использовании, уточнении, распространении, уничтожении персональных данных в отношении каждого из субъектов персональных данных).

Таким образом, ранее работавшая связка Пользовательское соглашение – Политика конфиденциальности, служившая основанием для обработки ПДН в целях заключения и исполнения договора, с 01 сентября 2022 г. становится неактуальной. Даже при наличии Пользовательского соглашения, оферты и иного договора нужно подавать уведомление в РКН и готовить локальные документы по защите ПДн (в уведомлении сообщается о их наличии).

Следствием подачи уведомления является включение в реестр операторов персональных данных и плановые проверки РКН соблюдения организационных и технических требований к защите ПДн.

2. Вторым по важности изменением следует считать уведомление РКН о трансграничной передаче персональных данных с 01 марта 2023 года. Это актуально для сервисов с зарубежным хостингом или поставщиками услуг/товаров российским гражданам. При желании РКН может придраться также к использованию на сайте метрических программ для аналитики трафика или виджетов иностранных поставщиков услуг.

Нужно быть готовым, что РКН может отказать в разрешении на трансграничную передачу ПДн по ряду причин. Поэтому лучше задуматься заранее о переходе на отечественные решения, не требующие передачи данных за рубеж.

3. Третьим по важности изменением можно считать возложение на лицо, обрабатывающее персональные данные по поручению оператора (так называемого «процессора»), всех обязанностей по их защите, предъявляемых к оператору. На иностранного процессора дополнительно возлагается солидарная ответственность с оператором ПДн, т.е. субъект может предъявить требование напрямую как оператору, так и процессору.

Данные изменения актуальны для поставщиков облачных сервисов и SaaS (PaaS) решений. Закон обязывает включать подробное описание требований к обработке ПДн непосредственно в контракте с процессором.

4. Политика конфиденциальности должна теперь публиковаться не только где-то на сайте, но и на страницах сбора ПДн. Как вам такое предложение разместить Политику в форму обратной связи или захвата?

5. В завершение упомянем существенное сокращение сроков ответа на запросы субъекта персональных данных. Они сократились с 30 календарных до 10 рабочих дней. Но с учетом изложенного выше, эта поправка явно меньшее из зол.

Важные изменения в российском законодательстве о защите персональных данных

Менее чем через месяц вступят в силу поправки в Закон №152-ФЗ «О персональных данных», которые коснутся практически каждой компании. Указанные изменения внесены Федеральным законом от 14.07.2022 № 266-ФЗ; Таким образом, законодатель оставил операторам персональных данных чуть больше месяца на то, чтобы разобраться с нововведениями.

Ниже мы приводим обзор основных изменений, на которые следует обратить особое внимание. Они вступят в силу 1 сентября 2022 года.

  • Увеличилось количество случаев, когда оператор должен уведомлять Роскомнадзор об обработке персональных данных. Например, при оформлении в рамках трудовых отношений они используются для оформления единого пропуска на территорию, а также в ряде других случаев.

  • Дополнены требования, которые оператор должен включить в договор в случае возложения обработки персональных данных на другое лицо.

    Такие поручения могут быть выданы при заключении договоров по корпоративной программе ДМС, регистрации зарплатного проекта в банке, организации обучения сотрудников, организации корпоративной мобильной связи.

  • Согласие субъекта персональных данных должно быть конкретным и недвусмысленным; таким образом, большинству компаний потребуется пересмотреть и изменить стандартную форму согласия.

  • Сокращено время ответа на запрос субъекта персональных данных – оператор должен дать ответ в течение 10 рабочих дней. Субъект персональных данных вправе запросить информацию о выполнении оператором обязанностей, предусмотренных Законом № 152-ФЗ.

  • Дополнен перечень документов, которые должны быть разработаны и приняты оператором. Помимо политики в отношении обработки персональных данных необходимы локальные акты, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы и сроки их обработки.

    обработки и хранения, а также порядок уничтожения персональных данных.

  • Политика Оператора в отношении обработки персональных данных должна быть размещена, в том числе, на страницах сайта, на которых осуществляется сбор персональных данных. Это актуально для компаний, принимающих заявки, обращения или резюме кандидатов на своих сайтах, а также в случае использования файлов cookie.

  • Об инцидентах, повлекших за собой неправомерную передачу (предоставление, распространение, доступ) персональных данных, необходимо уведомлять Роскомнадзор в течение 24 часов с момента обнаружения инцидента, а также в течение 72 часов с момента получения результатов служебного расследования, а также дополнительно взаимодействовать с ФСБ через новую информационную систему ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).

  • Положения Закона № 152-ФЗ теперь распространяются на иностранных юридических и физических лиц, если они осуществляют обработку персональных данных граждан Российской Федерации на основании договора или иного соглашения, сторонами которого являются граждане Российской Федерации, либо на основании на основании согласия гражданина Российской Федерации на обработку его персональных данных.

    Это актуально для компаний, которые ведут общие базы данных на стороне иностранных компаний.

Также с 01.03.2023 вступают в силу изменения, связанные с трансграничной передачей персональных данных, согласно которым операторы обязаны уведомлять Роскомнадзор о намерении осуществить трансграничную передачу персональных данных и получать разрешение в случае страна-получатель не входит в перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных. Например, на момент публикации в список стран, предоставляющих такую ​​защиту, не входят США, Китай или страны Ближнего Востока.

В случае нарушения требований Закона № 152-ФЗ на компанию может быть наложен крупный штраф до 6 млн рублей. Несмотря на то, что Роскомнадзор не будет проводить плановые проверки до конца 2022 года, мы рекомендуем использовать это время для разработки недостающих внутренних документов, регламентирующих обработку персональных данных, и налаживания процессов взаимодействия.


Политика в отношении обработки персональных данных®

1. Цель и объем документа

Политика Общества в отношении обработки персональных данных (далее — Политика) определяет позицию и намерения Общества в отношении обработки и защиты персональных данных, соблюдения прав и основных свобод каждого человека, в особенности права на неприкосновенность частной жизни, личную и семейную тайну , защита его чести и репутации.

Политика подлежит изучению и неукоснительному соблюдению руководителями и сотрудниками всех подразделений Компании; также доводится до сведения лиц, состоящих в договорных, гражданско-правовых или иных отношениях с Обществом, партнеров и иных заинтересованных лиц.

2. Состав персональных данных, обрабатываемых в Обществе

В Обществе осуществляется обработка следующих персональных данных клиентов:

  • Фамилия, имя, отчество клиента — физического лица (физического лица) или физического лица, являющегося представитель юридического лица Заказчика
  • Адрес доставки
  • Контактный телефон
  • Электронная почта
  • Банковские реквизиты
  • Варианты, связанные с файлами cookie

Компания осуществляет обработку персональных данных соискателей в объеме, необходимом для принятия решения о приеме на работу соискателя.

Общество осуществляет обработку персональных данных работников в объеме, необходимом для выполнения работодателем обязанностей, предусмотренных действующим законодательством.

В Обществе не осуществляется обработка биометрических персональных данных, а также специальных категорий персональных данных (за исключением данных о состоянии здоровья работников, связанных с вопросом о возможности выполнения такими работниками своих трудовых функций).

3. Цели обработки персональных данных

Компания обрабатывает персональные данные в целях:

  • информирование клиентов о новых товарах и услугах, предлагаемых Компанией, выставках, в которых участвует Компания (рассылка каталогов, информационных листовок) , электронные сообщения на адреса электронной почты подписавшихся клиентов с информационными и рекламными материалами, касающимися товаров, предлагаемых Компанией)
  • индивидуальный учет заказов клиентов в целях выполнения договоров с клиентами
  • изучение мнений клиентов о Компании и предлагаемых ею товарах путем обратной связи с клиентами (путем регистрации отзывов, оставленных на сайте Компании, сбора анкет и форм-запросов, присланных по электронной почте и заполненных клиентами)
  • прием на работу новых работников Общества и выполнение обязательств Общества, установленных для работодателя в соответствии с требованиями законодательства Российской Федерации к работникам в процессе их трудовой деятельности
  • принятие решения о возможности заключения трудовых договоров с лицами, претендующими на вакантные должности

4. Положения Политики

Компания осуществляет обработку и обеспечение безопасности персональных данных в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона № 152- ФЗ «О персональных данных», Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных, и отмена Директивы 95/46/EC (Общее положение о защите данных).

При обработке персональных данных Компания придерживается следующих принципов:

  • Компания осуществляет обработку персональных данных только на законной и справедливой основе.
  • Общество не вправе раскрывать третьим лицам и распространять персональные данные без согласия физического лица (если иное не установлено действующим законодательством Российской Федерации).
  • Компания собирает только те персональные данные, которые необходимы и достаточны для заявленной цели обработки.
  • Обработка персональных данных Компанией ограничивается достижением конкретных, заранее определенных и законных целей.
  • Компания уничтожает или обезличивает персональные данные после достижения целей обработки или в случае отсутствия в дальнейшем необходимости в достижении этих целей.
  • Компания вправе поручать обработку персональных данных (с согласия физического лица) третьим лицам на основании договоров, заключенных с этими лицами.
  • Третьи лица, осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» и Общим регламентом по защите персональных данных (GDPR) .
  • В случае трансграничной передачи Обществом персональных данных физических лиц на территорию иностранного государства указанная трансграничная передача должна осуществляться в соответствии с требованиями действующего законодательства Российской Федерации, а также международных правовых актов. Принимающей стороной при такой передаче могут быть только страны-участницы Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СЕД № 108 от 28.01.19).81) и обеспечение надлежащей защиты прав субъектов персональных данных.

5. Права физических лиц при обработке персональных данных

Физическое лицо, чьи персональные данные обрабатываются Обществом, имеет право:

  1. получать от Общества:
    • подтверждение факта обработки персональных данных Обществом
    • информация о правовых основаниях и целях обработки персональных данных
    • информация об используемых Обществом способах обработки персональных данных
    • информация о наименовании и местонахождении Компании
    • информация о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные в силу договора с Обществом или в силу федерального закона
    • перечень обрабатываемых персональных данных, касающихся лица, направившего запрос, и сведения об источниках данных
    • сведения о сроках обработки персональных данных, в том числе о сроках их хранения
    • информация об осуществляемой или планируемой трансграничной передаче персональных данных
    • наименование и адрес лица, осуществляющего обработку персональных данных от имени Общества
    • иная информация, предусмотренная Федеральным законом «О персональных данных» № 152-ФЗ или GDPR
  2. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неверными, получены неправомерно или не нужны для заявленной цели обработки
  3. отозвать согласие на обработку персональных данных, направив письменное заявление по электронной почте на электронный адрес export@firma-gamma. com по адресу Компании: ООО «ПАННА» 111024, г. Москва, ул. Кабельная, д. 7, ул. 5-я, стр. 7.
  4. отказаться в любой момент от списка адресов электронной почты в сообщении электронной почты на адрес электронной почты [email protected].
  5. потребовать исправления неправомерных действий Компании в отношении его персональных данных
  6. требовать возмещения убытков и/или морального вреда в судебном порядке.
  7. Информация о внедренных требованиях по защите персональных данных

При обработке персональных данных Общество принимает необходимые правовые, организационные и технические меры для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

  • осуществляет доступ работников к персональным данным, обрабатываемым в рамках информационной системы Общества а также на свои физические носители только в целях выполнения своих должностных обязанностей
  • устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Общества, а также обеспечивает регистрацию и учет всех действий с этими данными
  • определяет угрозы безопасности персональных данных при их обработке в информационной системе Общества
  • применяет организационно-технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защиты персональных данных
  • выявляет случаи несанкционированного доступа к персональным данным и принимает меры реагирования, в том числе сообщает об утечке в срок и в порядке, предусмотренных GDPR, а также восстанавливает персональные данные, измененные или уничтоженные в результате несанкционированного доступа к ним
  • оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных
  • осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», GDPR и принятым в соответствии с ними нормативно-правовым актам и локальным законам
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных перед вводом в эксплуатацию информационных систем персональных данных
  • соблюдение условий, исключающих несанкционированный доступ к физическим носителям персональных данных и обеспечивающих безопасность персональных данных
  • ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями о защите персональных данных, с локальными законодательными актами по вопросам обработки и защиты персональных данных, обучение работников Общества

ВНИМАНИЕ:

Физические лица, чьи персональные данные обрабатываются Компанией, могут получить полные разъяснения по вопросам обработки их персональных данных, направив официальный запрос на адрес электронной почты export@firma-gamma.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *