Обработка персональных данных контрагентов

Содержание

Роскомнадзор о персональных данных в 2021 г. Часть 2

Обработка персональных данных контрагентов

Первую часть доклада Роскомнадзора можно прочитать тут.

Когда я дописал эту часть, то увидел, что получилось очень много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления  чиновников.

Терминатор — оператор обработки персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же #Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях.

Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется. Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.  

Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы.

Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие. Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников.

В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.  Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо  предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора. Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные.

Например, неправильно установить срок согласия на 15, 50 или 70 лет.  Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в  чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в  частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Передача персональных данных третьим лицам

Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.

Если для обработки персональных данных  необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора.

В случае изменения этих организаций, согласие придется переподписывать.

Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам. 

Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.

Является ли провайдер облачных услуг оператором?

Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.  

Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?

Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.

Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?

Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.  

Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?

Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам. Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.

Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?

Действующим законодательством такая обязанность не предусмотрена,  поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица. 

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.

Персональные данные представителей компаний в договоре

Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности. 

Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.

Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.

Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?

К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения.

И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.

Можно ли назначить нескольких лиц, ответственных за обработку ПД?

В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных.

Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.

Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?

Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.

Заключение

Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций.

Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте  вашей ситуации. 

Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными.

РКН хочет, чтобы такой портфель был хорошим подспорьем. Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе.

Кстати, в Телеграм есть чатик, в котором можно спрашивать меня по теме информационного и медиаправа,  оставлять обратную связь и давать дельные советы.

Чатик придумал, чтобы избежать реестра ОРИ, но быть с вами на связи.

Источник в моем блоге

МедиаПраво.ком

Источник: https://zen.yandex.ru/media/tmtpravo/roskomnadzor-o-personalnyh-dannyh-v-2021-g-chast-2-5fc8899deb95a537340dd0dd

Обработка персональных данных контрагентов

Обработка персональных данных контрагентов

Вопрос: Обязана ли организация принять от своих контрагентов, являющихся физическими лицами, письменное согласие на обработку персональных данных?

Ответ юриста:

Обработка персональных данных контрагентов – физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров (купли-продажи, подряда, оказания услуг и пр.).

Правовое обоснование:

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, признаются обработкой персональных данных (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).

Оператором персональных данных, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними.

При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке персональных данных.

Случаи, при которых допускается обработка персональных данных без согласия субъекта таких данных, исчерпывающим образом установлены ст. 6 Закона N 152-ФЗ.

Так, допускается обработка персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). По смыслу этой нормы лицо, которому предоставляется возможность обработки персональных данных, является стороной по указанному договору.

В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки персональных данных операторы обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных (далее – уполномоченный орган) о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ.

Так, уведомлять уполномоченный орган не нужно, если персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, при том, что персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ).

Таким образом, обработка персональных данных контрагентов – физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг и пр.

), может осуществляться без согласия на обработку персональных данных и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687).

Если же организация намерена осуществлять обработку персональных данных в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку персональных данных.

Несмотря на то, что в рассматриваемом случае оператор подпадает под исключение и не обязан получать согласие субъекта персональных данных на обработку и уведомлять Роскомнадзор о работе с персональными данными, это не освобождает его от необходимости применения мер по защите персональных данных. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ).

_______________________

Правовая информация приведена по состоянию на дату консультации – 02.12.2013

Источник: http://parma-legal.ru/nashi-konsultatcii/2014-05-20/obrabotka-personalnykh-dannykh-kontragentov

Положение о персональных данных контрагентов – физических лиц и работников контрагентов – юридических лиц

Обработка персональных данных контрагентов

1. Общие положения

a Настоящим Положением определяется порядок обращения с персональными данными контрагентов ООО «Милеком» (далее – Общество) – физических лиц (в т.ч. индивидуальных предпринимателей), а также работников контрагентов ООО «Милеком» юридических лиц.

Действие настоящего Положения распространяется в отношении всех персональных данных, полученных Обществом от субъектов персональных данных контрагентов (далее – «Контрагент»), вступивших в договорные отношения с Обществом, в рамках исполнения обязательств по договорам.

b Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Общества, его контрагентов, их работников в связи с возможностью получения, систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.

c Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) и содержащаяся в документах, получаемых и составляемых Обществом в процессе осуществления деятельности и взаимодействия с контрагентами (в т.ч. договоры, доверенности, первичные бухгалтерские документы, копии паспортов, свидетельств и др.), в том числе:

● фамилия, имя, отчество;

● пол, возраст, дата и место рождения;

● место жительства;

● семейное положение, наличие детей, родственные связи,

● социальное, имущественное положение;

● образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

● факты биографии и трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

● финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);

● деловые и иные личные качества, которые носят оценочный характер, другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.

d Сведения о персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну Компании). Режим конфиденциальности в отношении персональных данных снимается в случаях, предусмотренных федеральными законами.

1. Основные понятия. Состав персональных данных работников

a Для целей настоящего Положения используются следующие основные понятия:

● контрагент – юридическое лицо, индивидуальный предприниматель находящиеся с Обществом в обязательственных отношениях, возникших в связи с заключением договора либо по иным, предусмотренным законодательством основаниям;

● персональные данные – информация необходимая оператору для исполнения своих обязательств, включающая в себя фамилию, имя, отчество генерального директора, главного бухгалтера или иных уполномоченных сотрудников контрагента, содержащаяся в формах деловых бумаг (бумажные носитель) или передаваемая посредством сети Интернет;

● обработка персональных данных работника – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

● конфиденциальность персональных данных – обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным работников, требование не допускать их распространения без согласия субъекта или иного законного основания;

● распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или представление доступа к персональным данным каким-либо иным способом;

● использование персональных данных – действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих права и свободы других лиц;

● уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

● защита персональных данных – действия Общества при обработке персональных данных направленные на применение правовых, организационно-технических мер с целью ограничения неправомерного, случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения неопределенному кругу лиц

● обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному лицу;

● общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

● информация – сведения (сообщения, данные) независимо от формы их представления;

● документированная информация – зафиксированная на материальном носителе путем документирования, информация с реквизитами, позволяющими определить такую информацию или её материальный носитель.

b В Обществе не создаются и не хранятся группы документов, содержащие персональные данные контрагентов – физических лиц (в т.ч. индивидуальных предпринимателей), а также работников контрагентов – юридических лиц в единичном или сводном виде.

2.3 Общество в процессе своей деятельности получает информацию о контрагентах, их работниках. Если эта информация содержит персональные данные, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных.

1. Обработка персональных данных

a Общество специально не собирает, не запрашивает, не обрабатывает, не передаёт кому-либо персональные данные контрагентов – физических лиц и работников контрагентов – юридических лиц, за исключением запроса, обработки и передачи в уполномоченные органы (ФНС России, внебюджетные фонды) персональных данных контрагентов – физических лиц в целях исполнения обязанностей налогового агента по уплате НДФЛ, а также иных случаев прямо указанных в федеральных законах.

b Источником информации обо всех персональных данных контрагента – физического лица является непосредственно он сам. Все персональные данные контрагента – физического лица следует получать у него самого.

Если персональные данные возможно получить только у третьей стороны, то контрагент – физическое лицо должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Общество должно сообщить контрагенту – физическому лицу о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

c Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

d Письменное согласие на обработку и передачу персональных данных контрагента – физического лица может быть включено в заключаемый с ним договор.

e В целях обеспечения прав и свобод человека и гражданина руководитель Общества и его законные, полномочные представители при обработке персональных данных должны выполнять следующие общие требования:

i обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов.

ii При определении объема и содержания обрабатываемых персональных данных Общество должно руководствоваться Конституцией РФ, Гражданским Кодексом РФ, Налоговым Кодексом РФ, Трудовым Кодексом РФ и иными федеральными законами.

iii Защита персональных данных от неправомерного их использования, утраты обеспечивается Обществом за счет его средств в порядке, установленном федеральным законом.

Защита персональных данных контрагентов от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней со стороны третьих лиц осуществляется в порядке, установленном действующим законодательством РФ.

iv Работники Общества должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

v Во всех случаях отказ контрагента – физического лица от своих прав на сохранение и защиту тайны недействителен.

1 Передача, хранение персональных данных

a При передаче персональных данных контрагента – физического лица Общество должно соблюдать следующие требования:

i Не сообщать персональные данные контрагента – физического лица третьей стороне без его письменного согласия, за исключением случаев, установленных федеральным законом.

ii Не сообщать персональные данные контрагента – физического лица в коммерческих целях.

iii Предупредить лиц, получивших персональные данные контрагента – физического лица о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные контрагента – физического лица, обязаны соблюдать режим секретности (конфиденциальности).

iv Осуществлять передачу персональных данных в пределах Общества в соответствии с настоящим Положением.

v Разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

b Документы, содержащие персональные данные контрагентов – физических лиц и работников контрагентов – юридических лиц обрабатываются и хранятся в бумажном виде способом, обеспечивающие защиту от несанкционированного доступа, копирования, передачи третьим лицам.

Хранение информации на бумажных носителях осуществляется в специально оборудованных шкафах и помещениях. Хранение информации в электроном виде осуществляется в информационной системе персональных данных, подлежащей соответствующей защите.

Внутренний доступ (внутри организации) к персональным данным контрагентов, клиентов осуществляется в соответствии с должностными инструкциями работников Общества. Обязанности по хранению документов содержащих персональные данные контрагентов, клиентов возлагаются на конкретного работника и закрепляются приказом.

Доступ к персональным данным контрагентов, клиентов без специального разрешения имеют: генеральный директор, технический директор, коммерческий директор, главный бухгалтер.

1. Права контрагентов

5.1. Получать информацию о факте обработки и составе обрабатываемых персональных данных;

5.2. Получать информацию о способах обработки персональных данных, сроках обработки и хранения персональных данных;

5.3. Требовать от Общества уточнения, блокирования или уничтожения персональных данных, в случае если персональные данные являются неполными, устаревшими, неточными, обрабатываются в целях отличных от заявленных целей.

1. Обязанности Общества

6.1. Обеспечивать защиту персональных данных в соответствии с действующим законодательством РФ.

6.2. Предоставлять по запросам контрагентов информацию об обрабатываемых персональных данных и возможность ознакомления с персональными данными.

6.3. По запросам контрагентов, клиентов или уполномоченного органа по защите прав субъектов персональных данных обеспечить блокирование персональных данных соответствующего контрагента.

6.4. Прекращать обработку персональных данных в случае достижения цели обработки, по требованию контрагентов, клиентов или уполномоченного органа по защите прав субъектов персональных данных.

6.5. Вести учет по хранению и передачи персональных данных третьим лицам в целях выполнения обязательств и оказания соответствующих услуг.

6.6. В случае реорганизации, ликвидации Общества обеспечить соответствующую сохранность персональных данных, их передачу или уничтожение в соответствии с действующим законодательством РФ.

1 Ответственность за нарушение норм, регулирующих обработку персональных данных

a Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско- правовой, административной и уголовной ответственности в порядке, установленном федеральными законам.

Источник: https://www.sfo-ix.ru/politika.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.