УслугиО компанииРегламент работыПортфолиоЕще услуги для бизнесаВопрос-ответ
Главная / Регистрация в качестве оператора персональных данных

Регистрация в качестве оператора персональных данных

Оператор персональных данных – этот термин установлен Законом о защите персональных данных. Это юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Этот термин актуален в рекламных акциях и мотивационных программах (далее - Акции), в которых собираются персональных данные.

Персональные данные (ПДн) – информация о физических лиц, позволяющая идентифицировать это лицо: ФИО, номер телефона, адрес электронной почты, аккаунт в социальной сети, паспортные данные, фотографии и т.п. На практике существуют споры, является ли та или иная информация персональными данными. Например, существует мнение, что номера телефонов без ФИО не является базой с персональными данными. Тем не менее, в вопросе отнесения той или иной личной информации к персональным данным рекомендуем исходить из принципа, что любые сведения о Участниках-физических лицах, получаемые в рамках Акции, являются персональными данными.

Оператором персональных данных чаще всего выступает Организатор Акции, а в некоторых случаях по договору такую обязанность можно закрепить за заказчиком Акции либо за подрядчиком, обеспечивающим техническое исполнение Акции.

Стоимость услуг по регистрации компании в качестве оператора персональных данных (постановка на учёт в реестр операторов ПДн, представление в Роскомназдор уведомления об обработке персональных данных в рамках рекламной акции/мотивационной программы), включая предоставление консультаций. Срок оказания услуги – 15 р.д.

25 000 рублей

Когда и как компания приобретает статус оператора персональных данных?

В случае если в рамках проведения Акции Участники сообщают о себе какие-то персональные данные (ФИО, возраст, пол и прочее), что особенно важно при вручении призов стоимостью более 4000 рублей (когда собираются паспортные данные), Организатор обязан выполнять обязанности Оператора персональных данных. А также, при обработке персональных данных, использовать сертифицированные технические средства защиты информации.

Вообще, любая компания в России, как только нанимает сотрудников, автоматически становится Оператором персональных данных. Сотрудники передают работодателю свои персональные данные, работодатель должен сразу же создать систему защиты этих данных. Тот факт, что компания вдруг начинает собирать ещё и персональные данные победителей, по сути, ничего нового в статус компании не прибавляет. Компания всё тот же оператор персональных данных, только количество данных прибавилось. Раньше это были данные сотрудников, а теперь ещё и данные победителей. Такая компания обязана была и ранее разработать систему защиты персональных данных. Обычно для разработки такой системы приглашаются специализированные организации, стоимость услуг которых составляет порядка 100 – 500 тысяч рублей.

Если компания нарушает законодательство о защите персональных данных, то ей грозит ответственность, установленная КоАП РФ:

  • ст. 13.11 КоАп РФ (общая ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах): штраф на граждан – от 300 до 500 рублей; на руководителей – от 500 до 1 000 рублей; на юридических лиц – от 5 000 до 10 000 рублей;
  • ст. 13.12 КоАП РФ (использование несертифицированных средств защиты информации): штраф на граждан в размере от 1500 до 2500 рублей; на должностных лиц – от 2500 до 3000 рублей; на юридических лиц – от 20 000 до 25 000 рублей.

Учитывая, что суммы штрафов незначительны (в ближайшее время планируется повышение штрафов до 50 00 рублей), а также то, что случаи привлечения к ответственности Организаторов Акций мало известны, компаниям проще не придавать особого внимания построению системы защиты персональных данных.

Тем не менее, минимальную систему защиты персональных данных компания может создать самостоятельно, не прибегая к услугам специализированных компаний.

Порядок действий Организатора по построению системы защиты персональных данных:

1. Приобретать для Промосайтов хостинг, который использует сертифицированные средства защиты информации (СЗИ) и соблюдает Закон о защите персональных данных (эти положения должны быть предусмотрены договором).

2. Во всех случаях важно получить от Участников явное согласие на отработку передаваемых данных. Причём, Организатор должен затем суметь доказать, что он получил согласие на обработку персональных данных от того или иного лица. Идеальный вариант – заполненное собственноручно Участником согласие на обработку персональных данных, которое должно содержать (п. 4 ст. 9 Закона о защите персональных данных):

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных.

Получать письменные согласия от гражданина на обработку его данных необходимо в ограниченных случаях, когда обрабатываются 1) особенные данные, касающиеся его национальности, расовой принадлежности, состояние здоровья и т.п. специальные данные; 2) биометрические персональные данные, описывающие физиологические особенности человека (в Акциях это бывает копия паспорта, в которой содержится фотография и личная подпись гражданина, в связи с чем рекомендуем получать копии паспортов, в которых указанные данные любым способом скрыты).

Во всех остальных случаях достаточно согласия в любой, явно выраженной форме. При этом Оператор персональных данных должен иметь доказательство такого согласия.

Обычно в Правилах указывается, что, принимая участие в Акции, совершая установленные действия, гражданин выражает своё согласие на обработку его персональных данных в соответствии с Правилами (пример приведён в Приложении № 2 к Заключению). Этого достаточно, чтобы говорить о полученном согласии. Однако можно усилить это доказательство, если ввести процедуру подтверждения номера мобильного телефона или электронной почты, указанных при регистрации.

В Правилах также указываются: цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

3. Далее компания обязана установить для себя тип имеющейся угрозы. Стандартно для данных, собираемых на Промосайтах, тип угрозы третий.

Для указанного типа угроз компания обязана выполнить следующие действия:

  • Создать комиссию из сотрудников (оформить приказ) и классифицировать информационную систему (оформить акт, подписанный членами комиссии).
  • Утвердить приказом ответственное лицо, перечень обрабатываемых персональных данных, а также список лиц (сотрудников), имеющих право доступа к данным.
  • Не допускать в помещения и к компьютерам, где расположена информационная система, обрабатывающая персональные данные, посторонних лиц (разработать положение).
  • Обеспечивать сохранность носителей персональных данных (разработать положение).
  • Опубликовать на Промосайте или в Мобильном приложении политику обработки персональных данных.
  • На компьютерах, на которых осуществляется обработка персональных данных, установить пароли и использовать сертифицированные средства защиты, реестр которых находится на сайте ФСТЭК.
  • Соблюдать конфиденциальность и безопасность работы с данными (например, нельзя хранить на столе в офисе копии паспортов участников или пересылать их по электронной почте без архивации).
  • Уничтожить персональные данные после того как Акция завершена (в течение 30-ти дней, составить акт).
  • Предоставлять доступ к данным по запросам Участников (в правилах указать электронный адрес для получения таких запросов).

4. В договорах с подрядчиками, которые получают от Оператора персональные данные, необходимо указывать положения о конфиденциальности работы с персональными данными.

5. В случае если Организатор планирует использовать персональные данные участников для дальнейшей рассылки рекламных предложений (самостоятельно или передать своему клиенту), то необходимо специально оговорить это в правилах акции.

6. Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением некоторых случаев, предусмотренных ч. 2 ст. 22 Закона о защите персональных данных.

В уведомлении указывается:

  • 1) наименование (фамилия, имя, отчество), адрес оператора;
  • 2) цель обработки персональных данных;
  • 3) категории персональных данных;
  • 4) категории субъектов, персональные данные которых обрабатываются;
  • 5) правовое основание обработки персональных данных;
  • 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • 7) описание мер, предусмотренных статьями 18.1 и 19 Закона о защите персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  • 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • 8) дата начала обработки персональных данных;
  • 9) срок или условие прекращения обработки персональных данных;
  • 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
  • 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Фактически, это означает, что такое Уведомление должно быть направлено в Роскомнадзор до старта каждой Акции, в которой собираются персональные данные. На основании первого поступившего уведомления Роскомнадзор включает Организатора в Реестр операторов персональных данных.

Однако существует нюанс, который позволяет упростить ситуацию для Организатора. Часть 2 ст. 22 Закона о защите персональных данных указывает, что Оператор персональных данных вправе осуществлять без Уведомления обработку персональных данных полученных оператором в следующих случаях:

  • в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • персональных данных, сделанных субъектом персональных данных общедоступными (например, при авторизации через социальные сети);
  • включающих в себя только фамилии, имена и отчества субъектов персональных данных.

Таким образом, если отношения Участников Акции и Организатора основаны на договоре, если они берутся из социальных сетей или ограничиваются только ФИО, Организатор вправе осуществлять обработку данных без Уведомления Роскомнадзора.

Для того чтобы в полной мере использовать эти возможности, Организатор может включить в правила положения о том, что, принимая участие в Акции, Участник фактически заключает договор с Организатором, текстом которого выступают правила, а также Правила должны содержать положения, установленные в статье (ч. 2 п. 2 ст. 22 Закона о защите персональных данных: персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора). В таком случае обработка персональных данных возможна без направления соответствующего Уведомления в Роскомнадзор и без постановки и Организатора на учёт в Реестр операторов персональных данных.

Подводя итог, следует признать, что создать систему защиты персональных данных и следовать букве Закона о защите персональных данных – это сложное дело. Для Организатора открывается три варианта действий: 1) привлечь специализированную компанию и заплатить ей достаточно крупную сумму, и построить качественную систему защиты персональных данных; 2) своими силами сформировать пакет документов и сделать минимальный набор действий по защите персональных данных, здесь нужно будет составить ряд документов и закупить сертифицированный хостинг; 3) ничего этого не делать, отложить в резервный фонд 20 - 50 тысяч на случай штрафов. Здесь важно понимать, что проведение рекламной акции, по идее, никак не связано с построением системы защиты персональных данных. Система уже должна быть разработана в компании, как только компания наняла первого сотрудника.

Кто в Акции выступает Оператором персональных данных?

Обычно в Правилах указывается, что именно Организатор Акции является Оператором персональных данных. В то же время, может быть исключение. Если есть необходимость, обязанности Оператора персональных данных можно передать заказчику Акции, а также подрядчику, который в рамках Акции обрабатывает персональные данные (сведения о таких лицах указываются в Правилах). Также сторонам необходимо в договоре на оказание услуг закрепить, кто именно выступает Оператором персональных данных.

01.10.16
И снова правила творческого конкурса!

Глобальный конкурс NATURA SIBERICA призван объединить россиянок всего
мира с помощью понятия «истинная русская красота»

16.05.16
Написали правила конкурса «МЕГА ПЕРЕРАБОТКА»
Конкурс торговой марки «МЕГА БЕЛАЯ ДАЧА»
29.04.16
Реестр субъектов малого бизнеса
Установлена форма заявления
30.09.15
Написали правила акциии "Внедорожник за 3000 рублей"
Для торговой марки «КрепыЖ» (г. Тюмень)
20.03.15
Нулевая ставка УСН для новых ИП
Закон города Москвы


Москва, ул. Ильинка, дом 4 (Гостиный Двор), под. 1, 3-й этаж,
law@rusloterei.ru, ICQ 618538507, Viber, WhatsApp 8-925-518-59-43  

© 2007-2016 «Деловой город (юриспруденция)», рекламная поддержка: Rusloterei 

Rambler's Top100