8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » IT-юристы » Разработка пакета документов по защите персональных данных (ПДн)

Разработка пакета документов по защите персональных данных (ПДн)

Мы разработаем и поможем внедрить юридическую документацию, связанную с работой организации как онлайн, так и внутри организации:

Документы для легитимной работы с ПДн сайта, платформы и проч., регистрацией пользователей и реализацией проекта: 

  • Пользовательское соглашение
  • Политика конфиденциальности
  • Правила работы с ПДн
  • Согласие на обработку ПДн
  • Согласие на обработку биометрических ПДн (с возможностью использования в маркетинговых целях)

Документы для легитимной работы с ПДн в организации Заказчика:

  • Положение о работе с ПДн в организации
  • Приказ о назначении лица, ответственного за организацию обработки ПДн 
  • Приказ об утверждении перечня лиц, допущенных к работе с ПДн в организации
  • Форма перечня лиц, допущенных к обработке ПДн
  • Обязательство о неразглашении ПДн лиц, допущенных к работе с ПДн
  • Приказ об утверждении мест хранения ПДн и лицах, ответственных за соблюдение конфиденциальности ПДн при их хранении
  • Правила рассмотрения обращений субъектов ПДн или их представителей
  • Форма журнала учета обращений субъектов ПДн о выполнении их законных прав
  • Приказ о назначении комиссии по уничтожению документов, содержащих ПДн
  • Форма акта уничтожения ПДн
  • Приказ об определении уровня защищенности ПДн
  • Форма акта определения уровня защищенности ПДн
  • Модель угроз безопасности в информационной системе Заказчика
  • Прочие документы по информационной безопасности (по желанию Заказчика).

Вы получаете:

Пакет документов для легитимной работы проекта, помощь в выборе правовых конструкций, который поможет исключить риски, связанные с возможным выявлением контролирующими/надзорными органами нарушений законодательства при реализации проекта, в случае споров с пользователями, подрядчиками, сотрудниками (особенно по трудовому законодательству, Закону о защите прав потребителей и Закону о персональных данных).

Разработка пакета документов по защите персональных данных (ПДн) - услуги RTM Group
Разработка пакета документов по защите персональных данных (ПДн) - от RTM Group
Узнать стоимость?
Перейти

Эксперты по разработке документов по защите персональных данных

Эксперт по разработке документов по защите персональных данных Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по разработке документов по защите персональных данных Камахин Олег Владимирович

Камахин Олег Владимирович

Юрист по уголовным делам в IT сфере

Опыт: Профессиональный опыт в юридической сфере с 1993 года

Профиль >>

Все эксперты

Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»

После введения в действие Правил проверки операторов персональных данных (Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»), установивших виды и периодичность проверок Роскомнадзора, кратно увеличилось количество запросов в адрес компаний о приведении в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»).

Несоблюдение (нарушение) требований № 152-ФЗ по работе с персональными данными грозит привлечением к административной ответственности (КОАП РФ), уголовной ответственности (УК РФ), дисциплинарной ответственности (ТК РФ), гражданско-правовой ответственности (возмещение убытков, компенсация морального вреда, ГК РФ). Опытные юристы нашей компании отлично знают, что нужно сделать, оформить и предоставить, чтобы избежать проблем и неприятностей.

Какие данные сотрудников компании являются персональными?

Персональные данные — это любая информация, которая относится прямо или косвенно к конкретному человеку (субъекту персональных данных). Это могут быть фамилия, имя, отчество, мобильный телефон, электронная почта, адрес проживания, фотография, паспортные данные и другие данные, позволяющие идентифицировать человека. При трудоустройстве работодателю могут предоставляться личные документы: паспорт, трудовая книжка, СНИЛС, документ об образовании, медицинская книжка, военный билет и другие.

Как только работодатель получает от работника вышеуказанные документы, на него возлагается обязанность обеспечить хранение и защиту персональных данных, в них содержащихся, что обеспечивается статьей 14 Трудового Кодекса РФ.

Для дальнейшего использования персональных данных необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ, ст. 6 152-ФЗ).

Мы знаем, какие требования по защите персональных данных должен соблюдать работодатель. Подготовим пакет документов в соответствии с требованиями ТК РФ и 152-ФЗ.

 

Действуют ли требования по защите персональных данных по 152-ФЗ в отношении клиентов и/или контрагентов компании?

Действуют. При работе с клиентами, партнерами и другими физическими лицами компания собирает, хранит, передает и использует персональные данные, т.е. ведет их обработку (ст. 5 закона № 152-ФЗ). Необходимо определить объем, категорию персональных данных (категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. № 1119) и цели обработки персональных данных.

В большинстве случаев компании требуется получить согласие субъекта персональных данных на обработку его персональных данных (ст. 9 №152- ФЗ). По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор (ст.22 152-ФЗ), однако закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно. Юристы RTM Group знают, как доказать отсутствие необходимости регистрации в качестве оператора по обработке ПДн.

Специалисты RTM Group помогут выполнить требования законодательства по защите персональных данных таким образом, чтобы максимально усилить Вашу позицию перед проверяющими (контролирующими) органами, а также при получении жалоб/претензий относительно обработки персональных данных от кого бы то ни было.

    Нужна консультация?
    Задать вопрос

     

    Какими нормативными актами нужно руководствоваться при разработке и внедрении документов по обработке персональных данных?

    • Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»;
    • Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ;
    • Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»;
    • Постановление Правительства от 1 ноября 2012 г. № 1119;
    • Постановление Правительства от 15 сентября 2008 г. № 687;
    • Приказ ФСТЭК России от 18 февраля 2013 г. № 21;
    • Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»;
    • Приказ Министерства связи и массовых коммуникаций РФ от 21.12.2011 № 346 (ред. от 28.08.2015) «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»;
    • Федеральная служба по надзору в сфере связи и массовых коммуникаций от 27 июля 2017 года «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
    • Приказ ФСБ России от 10 июля 2014 г. N 378;
    • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 15.02.2008, № 1679 дсп от 25.03.2008;
    • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 14.02.2008, № 1682 дсп от 25.03.2008.

    Обращаем Ваше внимание (!): необходимо следить за изменениями в законодательстве и использовать актуальные редакции нормативных документов.

     

    Какие документы по обработке ПДн нужны в компании?

    Организационно-распорядительная документация, регламентирующая процессы обработки и защиты ПДн, включает в себя:

    • положения;
    • приказы и акты по вопросам организации защиты ПДн;
    • регламенты;
    • журналы;
    • перечни, планы;
    • инструкции;
    • соглашения;
    • формы документов.

    После проведенного анализа мы точно сможем сказать какие документы нужны именно Вашей компании.

     

    Что Вы получаете в результате заказанной в RTM Group услуги?

    • Рекомендации по внесению изменений (корректировке) существующих документов.
    • Комплект регламентирующей организационно-распорядительной документации (для «внутренней» деятельности компании).
    • Комплект документации для работы с контрагентами/клиентами (для «внешней» деятельности компании).

    Это могут быть: должностные инструкции работников, обрабатывающих ПДн; должностные инструкции работников, обеспечивающих информационную безопасность и поддержку ИТ; положения о подразделениях; договоры с третьими лицами; трудовые договоры; согласие на обработку персональных данных; обязательство о неразглашении персональных данных, политика обработки персональных данных и т.п.

     

    Как предоставляется услуга (алгоритм действия)?

    • Чек-лист (анализ).
      Цель — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть понять информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.
    • Разработка комплекта документации.
      В соответствии с Рекомендациями Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» от 27.07.2017 г.
    • Рекомендации по внесению изменений (корректировке) существующих документов по итогам анализа.
      В случае, если в процессе анализа существующей документации будут выявлены устранимые нарушения (несоответствия), мы предоставим рекомендации по внесению изменений и приведению в соответствие с требованиями закона.

     

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Вопросы правомерности той или иной деятельности — неотъемлемая часть работы юристов RTM Group
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по разработке документов по защите персональных данных

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:




    Оглавление:

    Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных» Какие данные сотрудников компании являются персональными? Действуют ли требования по защите персональных данных по 152-ФЗ в отношении клиентов и/или контрагентов компании? Какими нормативными актами нужно руководствоваться при разработке и внедрении документов по обработке персональных данных? Какие документы по обработке ПДн нужны в компании? Что Вы получаете в результате заказанной в RTM Group услуги? Как предоставляется услуга (алгоритм действия)? Почему RTM Group Заказать услугу по разработке пакета документов по защите ПДн10  Стоимость услуги по разработке пакета документов по защите ПДн


    Видео по разработке документов по защите персональных данных

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по разработке документов по защите персональных данных

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация *

    Консультация производится исключительно в формате электронной переписки и предполагает краткий блиц-вопрос/блиц-ответ без изучения каких-либо документов или исследования обстоятельств дела

    бесплатно *

    Разработка пакета документов для защиты ПДн

    от 150 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    * Уважаемые клиенты, убедительно просим Вас обратить внимание (!), что предоставление экспертами компании RTM Group самостоятельной услуги «консультация» производится исключительно в формате электронной переписки и предполагает краткий блиц-вопрос/блиц-ответ без изучения каких-либо документов или исследования обстоятельств дела. Для более комфортного взаимодействия с Вами, в рамках предшествующей электронной переписки, возможно обсуждение интересующих Вас вопросов с экспертом посредством телефонной связи.

    Анализ документов, нормативных актов и судебной практики, применительно к конкретному вопросу, формирование позиции, перспектив рассмотрения дела и т.п. осуществляется в рамках оказания иных услуг, например, услуги «проведение исследования».

    Мы рады оказать Вам всяческое содействие и предпримем все необходимые усилия, чтобы решить Ваш вопрос!

    Наши преимущества

    ПРАВО 300

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика.

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    Команда IT-юристов №1 в России

    Юристы с профильной подготовкой в информационных технологиях

    Широкая география работы и присутствия

    Работа на территории России, Беларуси и Казахстана

    Наши отзывы по разработке документов по защите персональных данных

    Благодарность от ГБПОУ "Саранский строительный техникум"
    26.09.2022
    Администрация ГБПОУ РМ "ССТ" благодарит руководителя юридического направления технического департамента Маришину Марию за качественное выполнение услуг по разработке согласий персональных данных. Директор С.М. Ведяйкин
    Отзыв от Евгения Кондратько
    25.05.2023
    Выражаю благодарность компании RTM Group за качественное сопровождение проверки регулятора (РКН). Коллеги провели полную консультацию по защите ПДн и помогли с устранением всех замечаний регулятора.

    Наши кейсы

    Маркетплейс. Онлайн-обучение. Риски и их нивелирование

    Заказчик обратился с просьбой подготовить юридическую обвязку принадлежащего ему сайта с функционалом онлайн-обучения. Нужно определить возможные риски для владельца платформы и минимизировать их.

    Услуги для вас

    Услуга 152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

    152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

    — Что означает соответствие 152-ФЗ?
    — Чем грозит несоответствие по 152-ФЗ?
    — Аудит для банков и МФЦ
    — Что представляет собой аудит?
    — Стоимость аудита 152-ФЗ
    Услуга Защита персональных данных (ПДн) для интернет-проекта

    Защита персональных данных (ПДн) для интернет-проекта

    — Являются ли IP-адрес и cookie персональными данными?
    — Получение согласия на обработку персональных данных на сайте
    — Документы по защите персональных данных для сайта
    — На что и как сайту получать согласие на обработку персональных данных?
    — Что включает в себя услуга по защите персональных данных?
    — Где заказать услугу по защите персональных данных
    — Стоимость услуги по защите персональных данных

    Продукты и решения для вас

    Офисный пакет

    Офисный пакет

    Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
    Системы защиты информации

    Системы защиты информации

    Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
    DLP

    DLP

    DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
    SIEM

    SIEM

    SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

    Межсетевые экраны

    Межсетевые экраны

    Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
    Управление уязвимостями

    Управление уязвимостями

    Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

    Антивирусы

    Антивирусы

    Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
    Цифровая криминалистика

    Цифровая криминалистика
    Операционные системы

    Операционные системы

    Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

    Информационная безопасность

    Информационная безопасность

    Нам доверяют

    Полезные статьи

    Статья Защита персональных данных при аутсорсинговой обработке

    Защита персональных данных при аутсорсинговой обработке

    Обработка персональных данных… многие слышали, читали об этом, но понять до конца трудно, «что это такое и с чем это едят».
    Статья Что представляет собой Федеральный закон «О персональных данных» N 152-ФЗ и какая ответственность за его нарушения

    Что представляет собой Федеральный закон «О персональных данных» N 152-ФЗ и какая ответственность за его нарушения

    Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – № 152-ФЗ, Закон, ФЗ «О персональных данных») регулирует отношения связанные с обработкой персональных данных, осуществляемой государственными органами, муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств (ст. 1 № 152-ФЗ).

    Статья Типы и классификация ИСПДн

    Типы и классификация ИСПДн

    Статья о том, что такое ИСПДн, какие типы и классификации ИСПДн существуют, чем они отличаются и как их определить. От экспертов RTM Group.
    Статья Особенности реализации GDPR

    Особенности реализации GDPR

    25 мая 2018 года вступил в силу регламент Европейского союза о защите персональных данных. Данный регламент был разработан для защиты персональных данных резидентов и жителей ЕС, а его главной особенностью является то, что его требования распространяются не только на страны Евросоюза.
    Статья Правила защиты персональных данных: обучение сотрудников компании

    Правила защиты персональных данных: обучение сотрудников компании

    Какой идеальной бы с технической точки зрения не была система защиты персональных данных, огромную угрозу несут сами сотрудники компании, поэтому важно проводить обучение сотрудников правилам защиты информации.
    Статья Ваши персданные все равно утекут — что с этим делать?

    Ваши персданные все равно утекут — что с этим делать?

    В этой статье эксперты RTM Group рассказали, насколько серьезно организации заботятся о сохранности персональных данных и о том, где и кем они могут быть использованы в случае утечки.
    Статья Защита персональных данных: почему не уделяют внимания и почему придется уделить

    Защита персональных данных: почему не уделяют внимания и почему придется уделить

    Регуляторы со стороны Роскомнадзора (далее — РКН) и ФСБ серьезно взялись за организации, которые обрабатывают персональные данные (далее — ПДн). На это указывают новые документы, которые уже вступили в силу.
    Статья Обзор проекта федерального закона № 502113-8 «О внесении изменений в Уголовном кодексе Российской Федерации»

    Обзор проекта федерального закона № 502113-8 «О внесении изменений в Уголовном кодексе Российской Федерации»

    В проекте федерального закона говорится о внесении изменений в статью 272 УК РФ, а именно — дополнение этой статьи подпунктом 272.1, который будет отличаться более точной областью применения.
    Статья Консультации граждан на портале «Госуслуги» при помощи технологии ChatGPT

    Консультации граждан на портале «Госуслуги» при помощи технологии ChatGPT

    Внедрение технологии ChatGPT на портале «Госуслуги» России представляет собой значительный шаг вперед в области обслуживания граждан.

    FAQ: Часто задаваемые вопросы

    Какие данные сотрудников необходимы для правильной разработки документов по защите ПДн?

    Персональные данные (ПДн) — это любая информация, которая относится прямо или косвенно к конкретному человеку (субъекту персональных данных). Это могут быть ФИО, мобильный телефон, электронная почта, адрес проживания, фотография, паспортные данные и другие данные, позволяющие идентифицировать человека. При трудоустройстве работодателю могут предоставляться личные документы: паспорт, трудовая книжка, СНИЛС, документ об образовании, медицинская книжка, военный билет и другие.

    Однако, получение тех или иных ПДн должно быть юридически обосновано, определены цели получения ПДн и способы обработки ПДн и т.п. Конкретный перечень ПДн именно для Вашей организации зависит от специфики профессии, условий труда, задач сотрудника и проч., может быть сформирован только после изучения основных бизнес-процессов в компании, штатного расписания, должностных инструкций.

    У нас юридическое лицо, зарегистрированное не в России. Для работы с персональными данными граждан РФ нам необходимо соответствовать требованиям Роскомнадзора (собираем минимальный набор данных: имя, емейл).

    Подскажите, пожалуйста, что ещё необходимо?

    Юридическая справка по регистрации оператора при обработке персональных данных:
    Нормативная база (основания):

    • Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) “О персональных данных”
    • Информация Роскомнадзора “Ответы на вопросы в сфере защиты прав субъектов персональных данных” (Публикация на сайте http://rkn.gov.ru по состоянию на 03.04.2018)

    Информация для организаций:

    В соответствии с ч.1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.

    Уведомление должно быть направлено в письменной форме или направлено в электронной форме в соответствии с законодательством Российской Федерации.

    Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения в реестр операторов.

    Однако, до подачи уведомления необходимо провести ряд важных внутренних мероприятий: нужно создать определенный пакет документов, включая положение об обработке персональных данных и приказы о назначении ответственных, а также принять ряд организационных и технических мер.

    Также, прошу Вас обратить внимание, что согласно п.5 ст.18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории РФ.

    На сайте организации требуется размещать именно правила работы с ПДн?

    Нет, не обязательно называть их «Правила работы с персональными данными», можно оставить наименование «Политика конфиденциальности», просто помнить о том, что Политика конфиденциальности – это более широкое понятие, она охватывает правила работы с персональными данными. Политика конфиденциальности, по большому счету, если правильно составлена, может включать в себя работу с гостайной, с персональными данными и работу с коммерческой информацией. То есть, может быть три составляющих.

    В общем, как Вам удобнее, самое главное, чтобы документы были и соответствовали закону.

    Если субъект не указал запреты в согласии на распространение, для оператора это что значит?

    В согласии на распространение персданных субъект ставит именно согласие.

    Вот смотрите, есть перечень персданных, например, фамилия, имя и отчество. Если субъект не поставил «да» или «нет» в соответствующем поле, то это не значит, что он согласен, субъект должен четко поставить галочку «да». То есть согласие должно быть конкретным. Молчание не рассматривается, в данном случае, как согласие.

    Надо ли собирать согласия на распространение ПДн с работников при размещении их данных во внутренних справочниках, а также на внутренних порталах?

    В принципе, законодательство, как таковое, не требует, потому что это трудовые отношения с работниками, и вы же эти справочники для внутреннего пользования создаете, что не предполагает распространение персданных неопределенному кругу лиц. Принимая сотрудников на работу, вы берете обязательство о неразглашении персональных данных, какой-то конфиденциальной информации. Так что, в данном случае, получать с работников еще одно дополнительное согласие на распространение персональных данных, я думаю, не требуется. Единственное, что нас ничто не спасает от самодурства некоторых должностных лиц, когда закон не требует, но у нас есть специалист в госоргане, в определенном регионе, который говорит, что документ должен быть. Я всегда говорю: не надо упираться, если должно – предоставьте. Но вообще это неправильно, это не в силу закона.

    Какая ответственность за не уведомление Роскомнадзора о начале обработки ПДн третьих лиц?

    Ответственность здесь административного характера предполагается, штрафы поименованы, если с разбивкой по суммам, по альтернативным санкциям – в Кодексе об административных правонарушениях… статья 13.11 КоАП РФ – там очень подробно перечислены составы и возможные альтернативные санкции за нарушение тех или иных составов.

    Можно ли считать ПДн, сделанные видными для всех пользователей социальной сети (например, номер телефона, ФИО) в соответствии с правилами настройки приватности, сделанными доступными для распространения неограниченному кругу лиц?

    Обычно суды, наряду с законодательством, всегда руководствуются пользовательским соглашением, которое действует в той или иной социальной сети. Например, был судебный спор с социальной сетью «ВКонтакте», где пользователь обратился в суд, требовал большие компенсации, устранение нарушения его прав, ссылался на то, что его фотографию, которая была размещена, скопировал другой пользователь, и разместил неприличный пост с его участием. Суды встали на сторону социальной сети «Вконтакте» и ссылались на то, что в пользовательском соглашении, которое принимал пользователь при регистрации указано, что пользователь сам определяет настройки приватности своего профиля, и сам определяет, какие данные сделать доступными всем (неограниченному кругу лиц), ограниченно доступными или никому недоступными. Все цитаты приведены в судебном решении из этого пользовательского соглашения, вот почему важно правильно оформлять пользовательское соглашение. Истцу было отказано – он сам не проставил флажки там, где нужно было, и разрешил пользоваться своими фотографиями, своими данными.

    Чем отличается политика от положения?

    Договор, контракт, не столь важно, в любом случае, если возникает спор, суды будут смотреть на правовую природу договора, на его внутреннее содержание. Если мы написали «договор оказания услуг», а у нас фактически поставка – суды будут рассматривать как поставку, и неважно, что в наименовании. В данном случае аналогично: политика, положение – не столь важно, как вам удобнее. Если вам нравится красивое название «политика» – используйте его, а если вы сочтете необходимым, что у вас должно быть именно положение, без проблем.

    Конечно, самое главное, чтобы документы были, и чтобы их содержание действительно помогало вам застраховать себя.

    Надо ли получать лицензию ФСТЭК, если мы обрабатываем персональные данные третьих лиц?

    Нет. Для обработки персональных данных лицензия ФСТЭК не нужна.

    Добрый день. Для подписания согласия на распространение используется только УКЭП, другие виды электронной подписи (УНЭП, ПЭП) неприменимы?

    Пока это только проект и как будут собираться согласия и какой подписью подписываться – я не могу сейчас однозначно сказать. Я уверен, что все может поменяться вплоть до последнего дня. Но сейчас, на данном этапе, квалифицированная электронная подпись, в принципе, приравнивается к неквалифицированной электронной подписи. В декабре прошлого года у нас вышли требования к форме и содержанию УКЭП и УНЭП, и они практически тождественны сейчас.

    Здравствуйте! Надо ли собирать согласия на распространение с членов органов управления и авторов статей, книг и т.п.?

    Да, нужно.

    Я правильно понимаю, что если интернет-магазин использует сторонних подрядчиков: по доставке, техподдержке, или третьи лица (все счетчики, Facebook, метрики), то надо регистрироваться, как оператор передачи данных?

    Да, обязательно надо, правильно поняли. Была масса спорных вопросов, неоднократно мы лично и по инициативе наших заказчиков консультировались с органами Роскомнадзора в разных регионах, писали официальные письма-запросы, различные объяснения в силу закона и мотивировки, почему мы считаем, что наш заказчик не должен регистрироваться. В результате, мы получали из Роскомнадзора, как под копирку одно и то же письмо или устный ответ (например, случай, в кейсе на слайде), что вы передаете персданные все равно третьим лицам. Роскомнадзор, безусловно, трудятся, и по кодам ОКВЭД описывают, что каждый из заказчиков конкретно делает: служба это курьерской доставки, техподдержка или какие-то страховые и так далее.

    В каком виде и как необходимо размещать данные об условиях распространения персональных данных из полученного согласия? Можно ли на отдельном ресурсе сайта или только в местах размещения персональных данных, указанных в согласии?

    Согласие на распространение персональных данных это императивный документ. То есть то, что там указано, мы должны соблюдать в точном соответствии. А в согласии на распространение персональных данных не может быть альтернативных формулировок, не может быть «по усмотрению», там может быть конкретный объект – кому предоставляют это согласие, конкретные места, где персональные данные будут использоваться, конкретный объем, конкретные способы, каким образом будет использоваться. В принципе, все максимально конкретно.

    Если заявление на распространение написано и подписано, но не стоит галочки “да” к распространению, то считается ли согласие действительным?

    Да, оно считается действительным, если подписано электронной подписью или на бумажном носителе собственноручной подписью. Но если клиент не поставил галочку ни «да», ни «нет», оно трактуется в пользу субъекта, значит, он не согласен. Это не трактуется как «немое» молчание.

    Если сбор ПДн на сайте не осуществляется, то надо ли публиковать политику и на какой странице?

    Если сбор ПДн на сайте не осуществляется, то политика не нужна.

    Поменяется ли форма уведомления Роскомнадзора об обработке персональных данных после 1 сентября?

    После 1 сентября форма не поменяется, но сейчас внесён законопроект об утверждении новой формы. Возможно, к концу сентября нужно будет уже уведомлять по ней. В форме имеются незначительные изменения. Её можно заполнить онлайн на сайте РКН.

    Как понять, какие именно меры необходимо прописывать в уведомлении в Роскомнадзор?

    Все меры перечислены в ст.18, 18.1, 19 ФЗ-152. Нужно посмотреть, выполняете вы эти меры или нет, причём как технически, так и организационно.

    Будут ли санкции с 1 сентября, если не уведомить о трансграничной передаче?

    До 1 марта санкции не предусмотрены. На настоящий момент ответственность так же не установлена. Однако до момента вступления изменений в силу законодатель предусмотрит штраф.

    В каком виде уведомлять о трансграничной передаче?

    В свободной форме. Стандартизованная форма отсутствует. Лучше это делать на бумаге, так как пока про онлайн-уведомления информации нет.

    Рассматривали ли проект требований к оценке вреда, который может быть причинен субъекту ПДн в случае нарушения закона о ПДн? Не совсем понятно, что они хотели сказать вторым приложением, сразу обозначили величину вреда или что?

    Проект на настоящий момент достаточно-таки сырой, на наш взгляд и требует доработки, т.е. сказать наверняка, что именно хотел сказать законодатель сложно. Данный законопроект должен быть доработан до середины сентября текущего года, возможно правки внесут ясность в формулировки.

    Если подрядчик получает доступ к персональным данным исключительно в целях ИТ поддержки приложения и базы данных, и не планирует совершать никаких действий с этими ПД, считается ли это обработкой ПД? и нужно ли поручение на обработку ПД?

    Да, это будет считаться обработкой ПДн. Потребуется заключать договор-поручение на обработку ПДн.

    Добрый день, подскажите, пожалуйста, организация (из России) по поручению иностранного юридического лица обрабатывает персональные данные сотрудников данного иностранного юридического лица, считается ли это трансграничной передачей?

    Нет. В законодательстве точно указано определение трансграничной передачи – когда ПДн передаются из РФ в иностранное государство.

    Нужно ли отдельное согласие на сайте для рассылки?

    Рассылка (причём любая) – это отдельная цель обработки ПДн, поэтому данную цель можно включить в общее согласие на обработку ПДн, т.е.делать отдельное согласие нет необходимости.