Обработка персональных данных контрагента

Содержание

Положение о персональных данных контрагентов – физических лиц и работников контрагентов – юридических лиц

Обработка персональных данных контрагента

1. Общие положения

a Настоящим Положением определяется порядок обращения с персональными данными контрагентов ООО «Милеком» (далее – Общество) – физических лиц (в т.ч. индивидуальных предпринимателей), а также работников контрагентов ООО «Милеком» юридических лиц.

Действие настоящего Положения распространяется в отношении всех персональных данных, полученных Обществом от субъектов персональных данных контрагентов (далее – «Контрагент»), вступивших в договорные отношения с Обществом, в рамках исполнения обязательств по договорам.

b Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Общества, его контрагентов, их работников в связи с возможностью получения, систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.

c Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) и содержащаяся в документах, получаемых и составляемых Обществом в процессе осуществления деятельности и взаимодействия с контрагентами (в т.ч. договоры, доверенности, первичные бухгалтерские документы, копии паспортов, свидетельств и др.), в том числе:

● фамилия, имя, отчество;

● пол, возраст, дата и место рождения;

● место жительства;

● семейное положение, наличие детей, родственные связи,

● социальное, имущественное положение;

● образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

● факты биографии и трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

● финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);

● деловые и иные личные качества, которые носят оценочный характер, другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.

d Сведения о персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну Компании). Режим конфиденциальности в отношении персональных данных снимается в случаях, предусмотренных федеральными законами.

1. Основные понятия. Состав персональных данных работников

a Для целей настоящего Положения используются следующие основные понятия:

● контрагент – юридическое лицо, индивидуальный предприниматель находящиеся с Обществом в обязательственных отношениях, возникших в связи с заключением договора либо по иным, предусмотренным законодательством основаниям;

● персональные данные – информация необходимая оператору для исполнения своих обязательств, включающая в себя фамилию, имя, отчество генерального директора, главного бухгалтера или иных уполномоченных сотрудников контрагента, содержащаяся в формах деловых бумаг (бумажные носитель) или передаваемая посредством сети Интернет;

● обработка персональных данных работника – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

● конфиденциальность персональных данных – обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным работников, требование не допускать их распространения без согласия субъекта или иного законного основания;

● распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или представление доступа к персональным данным каким-либо иным способом;

● использование персональных данных – действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих права и свободы других лиц;

● уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

● защита персональных данных – действия Общества при обработке персональных данных направленные на применение правовых, организационно-технических мер с целью ограничения неправомерного, случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения неопределенному кругу лиц

● обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному лицу;

● общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

● информация – сведения (сообщения, данные) независимо от формы их представления;

● документированная информация – зафиксированная на материальном носителе путем документирования, информация с реквизитами, позволяющими определить такую информацию или её материальный носитель.

b В Обществе не создаются и не хранятся группы документов, содержащие персональные данные контрагентов – физических лиц (в т.ч. индивидуальных предпринимателей), а также работников контрагентов – юридических лиц в единичном или сводном виде.

2.3 Общество в процессе своей деятельности получает информацию о контрагентах, их работниках. Если эта информация содержит персональные данные, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных.

1. Обработка персональных данных

a Общество специально не собирает, не запрашивает, не обрабатывает, не передаёт кому-либо персональные данные контрагентов – физических лиц и работников контрагентов – юридических лиц, за исключением запроса, обработки и передачи в уполномоченные органы (ФНС России, внебюджетные фонды) персональных данных контрагентов – физических лиц в целях исполнения обязанностей налогового агента по уплате НДФЛ, а также иных случаев прямо указанных в федеральных законах.

b Источником информации обо всех персональных данных контрагента – физического лица является непосредственно он сам. Все персональные данные контрагента – физического лица следует получать у него самого.

Если персональные данные возможно получить только у третьей стороны, то контрагент – физическое лицо должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Общество должно сообщить контрагенту – физическому лицу о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

c Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

d Письменное согласие на обработку и передачу персональных данных контрагента – физического лица может быть включено в заключаемый с ним договор.

e В целях обеспечения прав и свобод человека и гражданина руководитель Общества и его законные, полномочные представители при обработке персональных данных должны выполнять следующие общие требования:

i обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов.

ii При определении объема и содержания обрабатываемых персональных данных Общество должно руководствоваться Конституцией РФ, Гражданским Кодексом РФ, Налоговым Кодексом РФ, Трудовым Кодексом РФ и иными федеральными законами.

iii Защита персональных данных от неправомерного их использования, утраты обеспечивается Обществом за счет его средств в порядке, установленном федеральным законом.

Защита персональных данных контрагентов от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней со стороны третьих лиц осуществляется в порядке, установленном действующим законодательством РФ.

iv Работники Общества должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

v Во всех случаях отказ контрагента – физического лица от своих прав на сохранение и защиту тайны недействителен.

1 Передача, хранение персональных данных

a При передаче персональных данных контрагента – физического лица Общество должно соблюдать следующие требования:

i Не сообщать персональные данные контрагента – физического лица третьей стороне без его письменного согласия, за исключением случаев, установленных федеральным законом.

ii Не сообщать персональные данные контрагента – физического лица в коммерческих целях.

iii Предупредить лиц, получивших персональные данные контрагента – физического лица о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные контрагента – физического лица, обязаны соблюдать режим секретности (конфиденциальности).

iv Осуществлять передачу персональных данных в пределах Общества в соответствии с настоящим Положением.

v Разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

b Документы, содержащие персональные данные контрагентов – физических лиц и работников контрагентов – юридических лиц обрабатываются и хранятся в бумажном виде способом, обеспечивающие защиту от несанкционированного доступа, копирования, передачи третьим лицам.

Хранение информации на бумажных носителях осуществляется в специально оборудованных шкафах и помещениях. Хранение информации в электроном виде осуществляется в информационной системе персональных данных, подлежащей соответствующей защите.

Внутренний доступ (внутри организации) к персональным данным контрагентов, клиентов осуществляется в соответствии с должностными инструкциями работников Общества. Обязанности по хранению документов содержащих персональные данные контрагентов, клиентов возлагаются на конкретного работника и закрепляются приказом.

Доступ к персональным данным контрагентов, клиентов без специального разрешения имеют: генеральный директор, технический директор, коммерческий директор, главный бухгалтер.

1. Права контрагентов

5.1. Получать информацию о факте обработки и составе обрабатываемых персональных данных;

5.2. Получать информацию о способах обработки персональных данных, сроках обработки и хранения персональных данных;

5.3. Требовать от Общества уточнения, блокирования или уничтожения персональных данных, в случае если персональные данные являются неполными, устаревшими, неточными, обрабатываются в целях отличных от заявленных целей.

1. Обязанности Общества

6.1. Обеспечивать защиту персональных данных в соответствии с действующим законодательством РФ.

6.2. Предоставлять по запросам контрагентов информацию об обрабатываемых персональных данных и возможность ознакомления с персональными данными.

6.3. По запросам контрагентов, клиентов или уполномоченного органа по защите прав субъектов персональных данных обеспечить блокирование персональных данных соответствующего контрагента.

6.4. Прекращать обработку персональных данных в случае достижения цели обработки, по требованию контрагентов, клиентов или уполномоченного органа по защите прав субъектов персональных данных.

6.5. Вести учет по хранению и передачи персональных данных третьим лицам в целях выполнения обязательств и оказания соответствующих услуг.

6.6. В случае реорганизации, ликвидации Общества обеспечить соответствующую сохранность персональных данных, их передачу или уничтожение в соответствии с действующим законодательством РФ.

1 Ответственность за нарушение норм, регулирующих обработку персональных данных

a Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско- правовой, административной и уголовной ответственности в порядке, установленном федеральными законам.

Источник: https://www.sfo-ix.ru/politika.html

Обработка персональных данных контрагентов

Обработка персональных данных контрагента

Вопрос: Обязана ли организация принять от своих контрагентов, являющихся физическими лицами, письменное согласие на обработку персональных данных?

Ответ юриста:

Обработка персональных данных контрагентов – физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров (купли-продажи, подряда, оказания услуг и пр.).

Правовое обоснование:

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, признаются обработкой персональных данных (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).

Оператором персональных данных, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними.

При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке персональных данных.

Случаи, при которых допускается обработка персональных данных без согласия субъекта таких данных, исчерпывающим образом установлены ст. 6 Закона N 152-ФЗ.

Так, допускается обработка персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). По смыслу этой нормы лицо, которому предоставляется возможность обработки персональных данных, является стороной по указанному договору.

В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки персональных данных операторы обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных (далее – уполномоченный орган) о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ.

Так, уведомлять уполномоченный орган не нужно, если персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, при том, что персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ).

Таким образом, обработка персональных данных контрагентов – физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг и пр.

), может осуществляться без согласия на обработку персональных данных и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687).

Если же организация намерена осуществлять обработку персональных данных в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку персональных данных.

Несмотря на то, что в рассматриваемом случае оператор подпадает под исключение и не обязан получать согласие субъекта персональных данных на обработку и уведомлять Роскомнадзор о работе с персональными данными, это не освобождает его от необходимости применения мер по защите персональных данных. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ).

_______________________

Правовая информация приведена по состоянию на дату консультации – 02.12.2013

Источник: http://parma-legal.ru/nashi-konsultatcii/2014-05-20/obrabotka-personalnykh-dannykh-kontragentov

Обработка персональных данных юридического лица | Субъект персональных данных

Обработка персональных данных контрагента

Иногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров.

Имеет ли юридическое лицо персональные данные

Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать. Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты.

Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.

Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам. Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях.

Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.

Передача персональных данных юридическим лицом на обработку другим лицам

Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:

  • право на получение нужных ему данных, например, от государственных органов;
  • право на защиту сведений своей частной жизни от других лиц.

Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.

Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает.

В ряде случаев такие данные передаются для обработки иным юридическим лицам.

Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо. 

Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора.

Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота.

Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.

Третьим случаем будет хранение сведений на облачных ресурсах.

Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги.

Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством.

Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан. В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.

Персональные данные юридического лица в договорах на их обработку

Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:

  • гражданско-правовой, в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
  • административной, в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
  • уголовной, наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.

Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных. Следовательно, система защиты должна выглядеть следующим образом:

1.изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты;

2.включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика;

3.внедрение в компании режима защиты коммерческой тайны. Отнесение к ней персональных данных, имеющихся в распоряжении фирмы, как сотрудников, так и клиентов;

4.включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование.

Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами. Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/yuridicheskogo-litsa/

Роскомнадзор о персональных данных в 2021 г. Часть 2

Обработка персональных данных контрагента

Первую часть доклада Роскомнадзора можно прочитать тут.

Когда я дописал эту часть, то увидел, что получилось очень много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления  чиновников.

Терминатор — оператор обработки персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же #Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях.

Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется. Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.  

Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы.

Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие. Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников.

В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.  Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо  предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора. Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные.

Например, неправильно установить срок согласия на 15, 50 или 70 лет.  Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в  чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в  частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Передача персональных данных третьим лицам

Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.

Если для обработки персональных данных  необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора.

В случае изменения этих организаций, согласие придется переподписывать.

Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам. 

Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.

Является ли провайдер облачных услуг оператором?

Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.  

Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?

Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.

Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?

Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.  

Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?

Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам. Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.

Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?

Действующим законодательством такая обязанность не предусмотрена,  поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица. 

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.

Персональные данные представителей компаний в договоре

Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности. 

Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.

Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.

Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?

К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения.

И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.

Можно ли назначить нескольких лиц, ответственных за обработку ПД?

В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных.

Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.

Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?

Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.

Заключение

Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций.

Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте  вашей ситуации. 

Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными.

РКН хочет, чтобы такой портфель был хорошим подспорьем. Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе.

Кстати, в Телеграм есть чатик, в котором можно спрашивать меня по теме информационного и медиаправа,  оставлять обратную связь и давать дельные советы.

Чатик придумал, чтобы избежать реестра ОРИ, но быть с вами на связи.

Источник в моем блоге

МедиаПраво.ком

Источник: https://zen.yandex.ru/media/tmtpravo/roskomnadzor-o-personalnyh-dannyh-v-2021-g-chast-2-5fc8899deb95a537340dd0dd

Политика в области обработки персональных данных и список контрагентов

Обработка персональных данных контрагента

Версия 3.1.

1. Общие положения

1.1 Настоящая Политика определяет порядок, условия обработки и меры по обеспечению безопасности персональных данных в ООО «Лента» (далее – Компания, Лента) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных (далее – ПДн), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2 Настоящая Политика разработана и применяется в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

1.3 Действие Политики распространяется на все обрабатываемые в Компании с применением средств автоматизации и без применения таких средств ПДн.

1.4 Целью создания Политики является ознакомление граждан с принципами, на которых строится обработка ПДн в Компании.

1.5 Должностные лица Компании, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

1.6 К настоящей Политике должен иметь доступ любой субъект ПДн

2. Принципы и условия обработки персональных данных

2.1 Безопасность ПДн, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» в области защиты ПДн.

2.2 В Компании обрабатываются ПДн следующих субъектов ПДн:

  • Работников, состоящих с Компанией в трудовых отношениях;

  • близких родственников Работников Компании;

  • кандидатов и соискателей на вакантные должности Компании;

  • субъектов, состоящих в договорных отношениях с Компанией;

  • стажеров и субъектов, проходящих производственную практику в Компании;

  • работников контрагентов Ленты, с которыми заключены договоры гражданско-правового характера;

  • посетителей Компании, не являющихся клиентами или контрагентами Компании – физических лиц, осуществляющих проход на территорию офисных помещений Компании в порядке, предусмотренном правилами пропускного режима;

  • клиентов (покупателей) Компании, которым Лента реализует товары или оказывает услуги;

  • клиентов, являющихся владельцами карт постоянного покупателя и участниками программы лояльности.

2.3 Обработка ПДн в Компании осуществляется на законной и справедливой основе согласно следующим принципам:

  • обработке подлежат данные, содержание и объем которых отвечают целям их обработки;

  • не допускается обработка данных, не совместимая с целями их сбора;

  • не допускается объединение баз данных, содержащих данные, обработка которых осуществляется в целях, не совместимых между собой;

  • должна быть обеспечена точность данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки;

  • данные должны быть уничтожены либо обезличены по достижении целей их обработки или при утрате необходимости в достижении этих целей, при невозможности устранения допущенных Компанией нарушений при обработке и/или хранении ПДн.

2.4 Компания обрабатывает ПДн только при наличии хотя бы одного из следующих условий:

2.4.1 обработка осуществляется с согласия субъекта ПДн;

2.4.2 ПДн сделаны общедоступными субъектом ПДн;

2.4.3 обработка ПДн необходима для достижения целей, предусмотренных законом, для выполнения функций и обязанностей и осуществления полномочий, возложенных законодательством РФ на Компанию (оператора ПДн);

2.4.4 обработка ПДн необходима для:

2.4.4.1 исполнения договора, стороной которого либо выгодоприобретателем/поручителем по которому является субъект ПДН, а также;

2.4.4.2 заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

2.4.5 обработка ПДн необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

2.4.6 осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

2.5 Сотрудники Компания и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять данные без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

2.6 В целях информационного обеспечения в Компании могут создаваться общедоступные источники ПДн Сотрудников, в том числе справочники и адресные книги.

2.6.

1 В общедоступные источники ПДн с согласия Сотрудника могут включаться его фамилия, имя, отчество, занимаемая должность, наименование подразделения, день и месяц рождения, контактная информация (рабочий и мобильный телефоны, адрес электронной почты), личная фотография, сведения о трудовой деятельности, история кадровых перемещений, информация о предыдущих местах работы (либо информация о местах работы в / вне Ленты), информация об образовании, знании иностранных языков.

2.6.

2 Сведения о Сотруднике должны быть в любое время исключены из общедоступных источников ПДн по требованию этого Сотрудника, либо по решению суда или иных уполномоченных государственных органов.

2.7 Компания вправе поручить обработку ПДн другому лицу (на основании договора с этим лицом) с согласия субъекта ПДн, если иное не предусмотрено Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

2.7.1 Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

2.8 Обработка Компанией специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, указанных в п.п. 2.4.1, 2.4.2, а также если:

  • обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

  • обработка данных необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;

  • обработка осуществляется в соответствии с законодательством РФ о противодействии терроризму, коррупции, об исполнительном производстве, уголовно-исполнительным законодательством РФ;

  • обработка осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

2.8.1 Обработка специальных категорий ПДн должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

2.9 Обработка ПДн о судимости может осуществляться Компанией исключительно в случаях и в порядке, которые определяются Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

2.10 Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) могут обрабатываться Компанией только при наличии согласия в письменной форме.

2.11 Трансграничная передача ПДн на территорию иностранных государств может осуществляться Компанией только при наличии согласия субъекта ПДн на передачу.

2.11.1 До начала осуществления трансграничной передачи ПДн Компания обязана убедиться в том, что иностранным государством, на территорию которого осуществляется передача, обеспечивается адекватная защита прав субъектов ПДн.

2.12 Компания обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

2.13 Иные права и обязанности Компании, как оператора ПДн, определяются законодательством РФ в области защиты ПДн.

3. Права субъекта персональных данных

3.1 Субъект ПДн принимает решение о предоставлении своих ПДн и даёт согласие на их обработку свободно, своей волей и в своем интересе.

3.2 Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт получения ПДн форме, если иное не установлено Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных».

3.2.1 Компания должна иметь возможность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований для обработки в соответствии с Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных».

3.3 Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн.

3.4 По требованию субъекта ПДн Компания обязана немедленно прекратить обработку его ПДн.

3.5 Субъект ПДн имеет право на получение касающейся обработки его ПДн информации (если такое право не ограничено в соответствии с Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных»), в том числе содержащей:

  • подтверждение факта обработки ПДн;

  • правовые основания и цели обработки ПДн;

  • применяемые способы обработки ПДн;

  • наименование и место нахождения Компании, сведения о лицах (за исключением штатных Сотрудников Компании), которые имеют доступ к ПДн субъектов ПДн или которым могут быть раскрыты ПДн;

  • конкретные виды обрабатываемых ПДн, источник их получения;

  • сроки обработки, в том числе срок хранения ПДн;

  • информацию об осуществленной или предполагаемой трансграничной передаче данных;

  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу.

3.6 Субъект ПДн вправе требовать от Компании уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принятия предусмотренных законом мер по защите своих прав.

3.7 Субъект ПДн вправе отозвать данное ранее согласие на обработку ПДн путём направления заявления в адрес Компании.

3.7.1 В случаях, указанных в п.п. 2.4.2-2.4.6, у Компании есть все законные основания продолжить обработку, не нарушая при этом законных прав граждан.

3.8 Запрещено принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», или при наличии письменного согласия субъекта ПДн.

3.9 Субъект имеет право заявить возражение против принятия решений, порождающих юридические последствия, на основании исключительно автоматизированной обработки персональных данных.

3.10 Если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Компании в Уполномоченном органе по защите прав субъектов ПДн или в судебном порядке.

3.11 Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда, причиненного вследствие нарушения режима обработки ПДн, в судебном порядке.

4. Термины и сокращения

Субъект ПДн – физическое лицо, к которому относится информация, содержащая персональные данные.

5. Информация о документе

Субъекты, чьи ПДн обрабатываются в Компании, могут обратиться по интересующим вопросам, а также для реализации их прав к ответственному лицу по адресу электронной почты: pdn@lenta.com

Источник: https://lenta.com/pokupatelyam/politika-v-oblasti-obrabotki-personalnykh-dannykh-i-spisok-kontragentov/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.