Registar subjekata obrade ličnih podataka. Ili možda neće obavijestiti o obradi ličnih podataka

Kako organizovati obradu ličnih podataka zaposlenih. Registar operatera ličnih podataka Roskomnadzora. Kako dobiti saglasnost zaposlenog za obradu njegovih ličnih podataka.

Pitanje: Da li je opštinsko jedinstveno preduzeće u obavezi da se upiše u registar operatera ličnih podataka Roskomnadzora, kao i da izradi set dokumenata o zaštiti ličnih podataka?

odgovor: Da, MUP je dužan da se upiše u registar operatera ličnih podataka, kao i da izradi set dokumenata o zaštiti podataka o ličnosti, ako MUP zapošljava zaposlene i MUP obrađuje njihove lične podatke ili MUP obrađuje lične podatke raznih pojedinaca (klijenti, partneri).

Opravdanje

Kako organizovati obradu ličnih podataka zaposlenih

Koncept ličnih podataka

Koje lične podatke zaposlenika organizacija ima pravo dobiti?

Javni lični podaci

Pitanje iz prakse: koji se lični podaci smatraju javno dostupnim

Javno dostupne informacije su opšte poznate informacije i druge informacije kojima pristup nije ograničen. Takve informacije može koristiti bilo koja osoba po svom nahođenju, podložno zakonom utvrđenim ograničenjima njihove distribucije. To je navedeno u klauzulama člana 7 Zakona od 27. jula 2006. br. 149-FZ.

Javno dostupni lični podaci - podaci koje je subjekt ličnih podataka napravio kao takve. Javno dostupni lični podaci mogu uključivati ​​informacije dostupne neograničenom broju osoba (na primjer, podaci iz otvorenih imenika, adresara, itd.).

Pošto im bilo ko ima pristup, više im nije potrebna posebna zaštita.

Prilikom obrade takvih podataka, operater ne mora obavijestiti ovlašteni organ za zaštitu prava subjekata ličnih podataka (klauzula 4, dio 2, član 22 Zakona od 27. jula 2006. br. 152-FZ).

Saglasnost za obradu ličnih podataka

Kako dobiti saglasnost zaposlenog za obradu njegovih ličnih podataka

Poslodavac u poslovanju treba da obrađuje lične podatke zaposlenih. Obrada takvih podataka, osim u pojedinačnim slučajevima, odvija se samo uz pismenu saglasnost zaposlenih. U tom slučaju, pristanak mora sadržavati sljedeće informacije:

• prezime, ime, patronim, adresa zaposlenog, podaci o pasošu (drugi dokument kojim se dokazuje njegov identitet), uključujući podatke o datumu izdavanja dokumenta i organu koji ga je izdao;

• ime ili prezime, ime, patronim i adresa poslodavca (operatera) koji dobija saglasnost zaposlenog;
• svrhu obrade ličnih podataka;
• spisak ličnih podataka za čiju obradu se daje saglasnost;
• ime ili prezime, ime, patronim i adresa lica koje obrađuje lične podatke u ime poslodavca, ako je obrada poverena tom licu;
• spisak radnji sa ličnim podacima za čije se obavljanje daje saglasnost, opšti opis metoda obrade ličnih podataka koje koristi poslodavac;
• period u kome važi saglasnost zaposlenog, kao i način njenog povlačenja, osim ako saveznim zakonom nije drugačije određeno;
• potpis radnika.

Takvi zahtjevi su navedeni u dijelu 4

Ako je zaposleni nesposoban, pismenu saglasnost za obradu njegovih ličnih podataka daje njegov zakonski zastupnik: roditelj, staratelj (dio 6 člana 9 Zakona od 27. jula 2006. br. 152-FZ).

Zaposlenik može u svakom trenutku opozvati svoju saglasnost za obradu svojih ličnih podataka slanjem proizvoljnog odgovora poslodavcu. U takvoj situaciji, organizacija ima pravo da nastavi sa obradom ličnih podataka bez pristanka zaposlenog, podložno ograničenjima navedenim u stavovima 2-11 dela 1 člana 6, delu 2 člana 10 i delu 2 člana 11. Zakona od 27. jula 2006. br. 152-FZ, na primjer, za sprovođenje pravde ili zaštitu života (zdravlja) zaposlenog. Ovo je navedeno u dijelu 2 člana 9 Zakona od 27. jula 2006. br. 152-FZ.

Treba napomenuti da u slučaju spora, obaveza pružanja dokaza da je primljena saglasnost zaposlenog za obradu njegovih ličnih podataka leži na poslodavcu (član 9. dio 3. Zakona od 27. jula 2006. br. 152-FZ).

Uz pristanak zaposlenika, organizacija također ima pravo povjeriti obradu ličnih podataka drugoj osobi (dio 3 člana 6 Zakona od 27. jula 2006. br. 152-FZ). U tom slučaju poslodavac će i dalje snositi odgovornost prema zaposlenom za radnje navedenog lica, a lice koje obrađuje lične podatke u ime poslodavca biće odgovorno direktno poslodavcu (čl. 5. člana 6. Zakona). od 27. jula 2006. br. 152-FZ).

Treba napomenuti da poslodavac mora pribaviti saglasnost za obradu ličnih podataka ne samo od zaposlenih, odnosno osoba sa kojima je u radnom odnosu, već i od podnositelja zahtjeva, kao i od osoba sa kojima su sklopljeni građanskopravni ugovori. zaključeno u organizaciji. To je navedeno u stavu 5 pojašnjenja Roskomnadzora od 14. decembra 2012. br.

Univerzalni pristanak

Pitanje iz prakse: Da li je moguće pri zaključivanju ugovora o radu dobiti pismenu saglasnost zaposlenog da u svim potrebnim situacijama do momenta otkaza da svoje lične podatke trećim licima

br.

Za prenos podataka zaposlenih trećim licima, organizacija mora pribaviti pismenu saglasnost ovog zaposlenog. Bez pismene saglasnosti zaposlenog, njegovi lični podaci mogu se preneti trećim licima kada je to neophodno radi sprečavanja ugrožavanja života i zdravlja zaposlenog, kao iu drugim slučajevima predviđenim saveznim zakonima. Takva pravila utvrđena su dijelom 1. člana 88. Zakona o radu Ruske Federacije.

Zakon o radu Ruske Federacije ne sadrži zahtjeve za sadržaj pismene saglasnosti za prijenos podataka. Međutim, stav 1 člana 9 Zakona od 27. jula 2006. br. 152-FZ utvrđuje da pristanak za obradu ličnih podataka mora biti konkretan, informiran i savjestan. Iz ovoga proizilazi da organizacija mora zatražiti pismenu saglasnost od zaposlenog za svaki slučaj prenosa njegovih ličnih podataka trećoj strani. Samo pod takvim uslovima može se smatrati ispunjenim uslov konkretnosti i savjesnosti pristanka. Spisak informacija koje mora da sadrži pismena saglasnost za prenos ličnih podataka utvrđena je u stavu 4 člana 9 Zakona od 27. jula 2006. br. 152-FZ.

Obrada ličnih podataka izvođača prema državnoj registraciji

Pitanje iz prakse: da li je potrebno pribaviti pismenu saglasnost za obradu ličnih podataka građana sa kojima su zaključeni građanskopravni ugovori

Da, generalno je potrebno, na isti način kao i kod redovnih zaposlenih.

Obrada ličnih podataka je moguća samo uz pismeni pristanak subjekta ličnih podataka, osim u određenim slučajevima kada je takva obrada moguća bez njegovog pristanka (). U ovom slučaju subjekti ličnih podataka mogu biti i zaposleni koji rade po ugovoru o radu i građani sa kojima organizacija ima zaključene građanskopravne ugovore.

Dakle, organizacija, u opštem slučaju, mora dobiti saglasnost za obradu ličnih podataka, uključujući građane sa kojima su sklopljeni građanskopravni ugovori, kako bi se isključili svi sporovi u vezi sa neovlašćenim prenosom podataka van važenja uslova građanskog prava. zakonski ugovor.

Odbijanje izvođača da da takvu saglasnost nije prepreka za zaključenje građanskog ugovora.

Obrada podataka bez pristanka

U kojim slučajevima nije potrebna saglasnost zaposlenog za prenos ličnih podataka

U nekim slučajevima obrada ličnih podataka je moguća i bez pristanka zaposlenog. Na primjer, ako je obrada ličnih podataka neophodna da bi se ispunio ugovor zaključen sa zaposlenim ili da bi se postigli zakonom predviđeni ciljevi za implementaciju i ispunjavanje funkcija, ovlasti i dužnosti nametnutih zakonodavstvom Rusije o operatera, može se izvršiti bez pristanka zaposlenog - subjekta ličnih podataka. To je navedeno u Zakonu od 27. jula 2006. br. 152-FZ.

Takvi slučajevi uključuju prijenos informacija na:

• Penzioni fond Ruske Federacije ();
• poreske vlasti ();
• vojni komesarijati ();
• drugim organima, kada je obaveza da im prenesu informacije koje se odnose na lične podatke zaposlenog zakonom dodijeljena poslodavcu ili je neophodna za postizanje ciljeva utvrđenih zakonom (na primjer, sudovi, tužioci i sl.).

Osim toga, pristanak nije potreban u sljedećim slučajevima:

• obaveza obrade je predviđena zakonom, uključujući objavljivanje i postavljanje ličnih podataka zaposlenih na Internetu (na primjer, Zakon od 21. novembra 2011. br. 323-FZ, Zakon od 9. februara 2009. br. 8 -FZ i niz drugih akata);
• obrada ličnih podataka bliskih srodnika zaposlenog vrši se u iznosu predviđenom ličnom kartom (prema jedinstvenom obrascu br. T-2 ili samostalno izrađenom obrascu), kao iu slučajevima primanja alimentacije, registracije socijalnih davanja i čuvanja državne tajne;
• obrada podataka o zdravstvenom stanju zaposlenog odnosi se na pitanje mogućnosti obavljanja njegove radne funkcije;
• obrada podataka je povezana sa obavljanjem službenih dužnosti zaposlenog, uključujući i vrijeme njegovog upućivanja;
• obrada ličnih podataka vrši se prilikom sprovođenja kontrole pristupa na teritoriju poslovnih zgrada i prostorija poslodavca, pod uslovom da organizaciju kontrole pristupa poslodavac sprovodi samostalno.

Ako lokalni dokument pruža mogućnosti obračuna sa zaposlenicima, ili čak ovaj trenutak uopće nije naveden, tada zaposleni imaju pravo samostalno odlučiti hoće li primati plaću putem blagajne ili na bankovnu karticu. A ako poslodavac odluči da plate svim zaposlenima prebaci na bankovne kartice, onda od svakog zaposlenog treba tražiti saglasnost za obradu ličnih podataka i njihov prenos na treću stranu – banku. U takvoj situaciji zaposleni imaju pravo odbiti saglasnost, a poslodavac, u nedostatku takve saglasnosti, neće moći nastaviti obradu podataka i prenijeti banci podatke o zaposlenima koji su to odbili.

Više na temu: Da li moram ponovo da dobijem saglasnost zaposlenih za obradu ličnih podataka prilikom promene banke za prenos plata.

Pitanje iz prakse: da li je potrebno ponovo pribaviti saglasnost zaposlenih za obradu ličnih podataka prilikom promene banke za prenos plata

Ne, nije neophodno, pod uslovom da konkretna banka kojoj su podaci dostavljeni nije bila navedena u već postojećim saglasnostima. Ako je prethodna saglasnost sastavljena za određenu banku, onda će poslodavac morati pribaviti novu saglasnost prema općim pravilima ().

Osim toga, nije potrebno pribavljati saglasnost ako lokalni dokumenti organizacije predviđaju isplatu plata na bankovne kartice, a zaposlenik je bio upoznat sa ovim dokumentima tokom prijema ili u procesu rada (2. dio člana 9. Zakon od 27. jula 2006. br. 152-FZ). Pogledajte detalje.

Obaveštenje Roskomnadzora

Kako obavijestiti nadzorni organ o početku obrade ličnih podataka zaposlenih

Prije početka obrade ličnih podataka zaposlenih, poslodavac mora obavijestiti teritorijalni organ Roskomnadzora o svojoj namjeri da ih obradi. Izuzetak je napravljen za obradu ličnih podataka:

• obrađeni u skladu sa zakonima o radu;
• učinjeno javno dostupnim od strane zaposlenih;

• koju organizacija primi u vezi sa zaključenjem ugovora u kojem je zaposlenik (pod uslovom da se lični podaci ne distribuiraju, ne daju trećim licima bez pristanka zaposlenog i da ih poslodavac koristi isključivo za izvršenje navedenog ugovora i zaključivanje drugih ugovora sa zaposlenim);
• koji se odnose na članove (učesnike) javnog udruženja ili vjerske organizacije;
• uključujući samo prezimena, imena i patronime zaposlenih;
• neophodan za jednokratnu propusnicu zaposlenog na teritoriju poslodavca i za druge slične svrhe;
• uključeni u informacione sisteme ličnih podataka koji, u skladu sa saveznim zakonima, imaju status državnih automatizovanih informacionih sistema, kao i u državne informacione sisteme ličnih podataka koji su kreirani u cilju zaštite bezbednosti države i javnog poretka;
• obrađuje bez upotrebe alata za automatizaciju u skladu sa zakonskim aktima kojima se utvrđuju uslovi za osiguranje sigurnosti ličnih podataka tokom njihove obrade i za poštovanje prava subjekata ličnih podataka;
• obrađuje se u slučajevima predviđenim zakonodavstvom Rusije o sigurnosti transporta.

U slučaju prestanka obrade podataka o ličnosti, poslodavac je takođe dužan da o tome obavesti nadležni organ. To se mora učiniti u roku od deset radnih dana od dana prestanka obrade podataka. Standardni obrazac za obavještenje o prekidu obrade podataka nije odobren, stoga ga poslodavac može sastaviti u bilo kojem obliku ().

Pitanje iz prakse:šta treba shvatiti kao obradu ličnih podataka zaposlenog

Zaštita ličnih podataka

Kako organizovati zaštitu ličnih podataka zaposlenih u organizaciji

Da biste spriječili otkrivanje ličnih podataka, stvorite pouzdan sistem za njihovu zaštitu. Procedura za primanje, obradu, prenos i čuvanje takvih informacija utvrđena je lokalnim aktom organizacije, na primjer, u (čl., Zakon o radu Ruske Federacije,). Položaj odobrava šef organizacije. Predstavite ga zaposlenima organizacije pod potpisom, kako je navedeno u dijelu 1. člana 86. Zakona o radu Ruske Federacije.

Također, organizacija mora imenovati osobu odgovornu za rad s ličnim podacima (dio 5 člana 88 Zakona o radu Ruske Federacije). Takav zaposlenik je u pravilu zaposlenik kadrovske službe, jer upravo on u svom radu najčešće dolazi do ličnih podataka zaposlenih. Osoba odgovorna za rad sa ličnim podacima, odredi nalog u bilo kom obliku.

Konkretne mjere za osiguranje sigurnosti ličnih podataka zaposlenih tokom njihove obrade predviđene su Zakonom od 27. jula 2006. br. 152-FZ i odobrenim Zahtjevima. Na osnovu njih, organizacija može razviti sopstveni sistem zaštite ličnih podataka.

Dakle, prilikom obrade ličnih podataka u informacionom sistemu, potrebno je osigurati zaštitu i sigurnost ličnih podataka. Istovremeno, prijetnja sigurnosti ličnih podataka je skup uslova i faktora koji stvaraju opasnost od neovlaštenog (uključujući i slučajnog) pristupa ličnim podacima tokom njihove obrade u sistemu, što može rezultirati:

• uništenje;
• promjena;
• blokiranje;
• kopiranje;
• odredba;
• Širenje;
• druge nezakonite radnje sa ličnim podacima.

Treba napomenuti da izbor specifičnih sredstava zaštite informacija za informacioni sistem za obradu ličnih podataka vrši poslodavac u skladu sa propisima FSB Rusije i FSTEC Rusije. Utvrđivanje vrste prijetnji po sigurnost ličnih podataka relevantnih za sistem obrade i zaštite podataka o ličnosti vrši se uzimajući u obzir procjenu moguće štete iu skladu sa propisima navedenih organa (klauzula Uslovi odobreni Uredbom). Vlade Ruske Federacije od 1. novembra 2012. br. 1119).

Prilikom obrade ličnih podataka u sistemima mogu se uspostaviti četiri nivoa sigurnosti, u zavisnosti od kategorije podataka i broja zaposlenih, informacije o kojima sistem sadrži. U zavisnosti od nivoa sigurnosti, poslodavac treba da preduzme različite mere za zaštitu sistema obrade ličnih podataka predviđenih u tačkama 13-16 Zahteva odobrenih Uredbom Vlade RF od 1. novembra 2012. godine br. 1119. Na primjer, uspostavljanje režima za osiguranje sigurnosti prostorija u kojima se nalaze lični podaci, imenovanje odgovornih osoba za osiguranje sigurnosti ličnih podataka u informacionom sistemu i dr. i tehničke mjere odobrene naredbom FSTEC-a. Rusije od 18. februara 2013. br. 21.

Radi kontrole sigurnosti ličnih podataka prilikom njihove obrade, poslodavac ili njegovo ovlašteno lice, najmanje jednom u tri godine, vrši kontrolne provjere čije posebne uslove poslodavac utvrđuje samostalno. Ako je potrebno, moguće je uključiti organizacije ili pojedinačne preduzetnike licencirane za obavljanje djelatnosti tehničke zaštite povjerljivih informacija da izvrše reviziju na ugovornoj osnovi (klauzula 17. Zahtjeva odobrenih Uredbom Vlade Ruske Federacije iz studenog). 1, 2012. br. 1119).

Regulacija ličnih podataka

Pitanje iz prakse: je Pravilnik o radu sa ličnim podacima zaposlenih obavezan dokument

Da, jeste.

Postupak čuvanja, obrade i korištenja ličnih podataka zaposlenih utvrđuje poslodavac, uzimajući u obzir zahtjeve Zakona o radu Ruske Federacije i drugih saveznih zakona (). To znači da poslodavac mora samostalno odrediti proceduru za takvu obradu i urediti je lokalnim regulatornim aktom, posebno Uredbom o radu sa ličnim podacima zaposlenih. Prilikom zapošljavanja, svi zaposlenici organizacije moraju biti upoznati sa Pravilnikom pod njihovim potpisom (dio 3. člana 68. Zakona o radu Ruske Federacije).

Iz navedenog proizilazi da je Pravilnik o radu sa ličnim podacima obavezan dokument organizacije, a njegovo nepostojanje povlači administrativnu odgovornost (). Na to ukazuju i sudovi (vidi, na primjer, rezoluciju Federalne antimonopolske službe Moskovskog okruga od 26. oktobra 2006. br. KA-A40 / 10220-06).

Primjer izrade Pravilnika o radu sa ličnim podacima zaposlenih

Rukovodilac organizacije je usvojio Uredbu o radu sa ličnim podacima zaposlenih.

U organizaciji ne postoji kadrovska služba. Računovođa organizacije, V.N. Zaitsev.

Pitanje iz prakse: kako zaštititi lične podatke u kompjuterskoj bazi podataka

Kako bi se spriječio neovlašteni pristup ličnim podacima koji se nalaze u kompjuterskoj bazi podataka, Uredbom urediti postupak zaštite takvih informacija. Što je veći rizik od neovlaštenog pristupa ličnim podacima, potrebno je poduzeti više mjera za zaštitu takvih informacija. Na primjer, organizacija može uvesti sistem pojedinačnih lozinki koje će se mijenjati u redovnim intervalima, ograničiti pristup zaposlenima kompjuterima koji čuvaju lične podatke, pohraniti diskove i diskete sa takvim informacijama u ormariće.

Obrada ličnih podataka u informacionom sistemu mora se izvršiti u skladu sa odredbama klauzula 8-16 Zahteva odobrenih Uredbom Vlade Ruske Federacije od 1. novembra 2012. br. 1119.

Organizacija može osigurati zaštitu ličnih podataka kako samostalno, tako i uz uključivanje trećih organizacija licenciranih za obavljanje aktivnosti zaštite povjerljivih informacija. Takva pojašnjenja su data u klauzuli 17. Zahtjeva odobrenih Uredbom Vlade Ruske Federacije od 1. novembra 2012. br. 1119.

Pitanje iz prakse: Da li je moguće da zaposleni koji ne rade u kadrovskoj službi dobiju pravo pristupa ličnim podacima drugih zaposlenih

Da, možete, ako je pristup takvim informacijama potreban zaposlenima za obavljanje određenih radnih funkcija.

Pristup ličnim podacima zaposlenih mogu imati samo posebno ovlaštena lica kojima je takav pristup potreban za obavljanje određenih funkcija. To je navedeno u Zakonu o radu Ruske Federacije.

U pravilu, zbog specifičnosti djelatnosti, pristup ličnim podacima zaposlenih treba da imaju:

• osoblje kadrovske službe;
• računovodstveno osoblje;
• generalni direktor i, po potrebi, njegovi zamjenici;
• šefovi odjeljenja i neposredni rukovodioci.

Istovremeno, svakoj od navedenih kategorija zaposlenih dodjeljuje se vlastiti nivo pristupa. Tako se, na primjer, zaposlenima u računovodstvu može omogućiti pristup adresnim podacima zaposlenih i njihovom bračnom statusu, šefovima odjela – u smislu ličnih podataka isključivo za njihove podređene.

Nivoi pristupa određenih lica, kao i konkretan postupak prenosa ličnih podataka zaposlenih unutar organizacije, treba da budu navedeni u njenim lokalnim dokumentima, na primer, u Uredbi o zaštiti ličnih podataka zaposlenih (stav 5. član 88 Zakona o radu Ruske Federacije). Ovlašćena lica moraju biti upoznata sa odredbama dokumenta i upozorena na svoja prava i obaveze, kao i odgovornost za nenamensko korišćenje informacija ().

savjet: uslovi za postavljanje ličnih podataka zaposlenih na korporativnoj web stranici navedeni su u Pravilniku o radu sa ličnim podacima. Istovremeno, podnesite mu aplikaciju u kojoj navedite spisak zaposlenih koji se slažu (ili ne slažu) oko postavljanja ličnih podataka. Time će zahtjev biti ispunjen, a organizacija će moći postaviti lične podatke zaposlenih koji su saglasni sa takvim postavljanjem na korporativnu web stranicu.

Kako bi osigurali prava svojih zaposlenika, organizacija i njeni predstavnici, prilikom obrade ličnih podataka, moraju se pridržavati zahtjeva propisanih Zakonom o radu Ruske Federacije. Lica koja su kriva za kršenje pravila koja uređuju zaštitu ličnih podataka privode se administrativnoj i krivičnoj odgovornosti (). Ili se mogu otpustiti uz formulaciju „za otkrivanje ličnih podataka drugog zaposlenika na osnovu podstava „c“ stavka 6. dijela 1. člana 81. Zakona o radu Ruske Federacije.

Pitanje iz prakse: da li rukovodilac strukturne jedinice ima pravo zahtijevati od računovodstva da mu dostavlja mjesečne informacije o obračunatim platama zaposlenih koji su mu podređeni

Podaci o iznosima koji se obračunavaju zaposlenima odnose se na lične podatke (klauzula 1 člana 3 Zakona od 27. jula 2006. br. 152-FZ). Neposredni rukovodilac ih može zatražiti ako se u lokalnom regulatornom aktu utvrdi odgovarajući prijem i dobije saglasnost zaposlenog za obradu njegovih ličnih podataka.

Istovremeno, podaci o platama i naknadama zaposlenih sadrže kadrovsku tabelu. Tabela osoblja je lokalni dokument organizacije i ne odnosi se na lične podatke. Rukovodilac strukturne jedinice, ako je potrebno, može se pozvati na ovaj dokument, ako je to predviđeno opisom poslova rukovodioca ili lokalnim aktom organizacije. To će mu omogućiti da dobije potrebne informacije bez kontaktiranja računovodstvenog odjela.

Odbijanje obrade podataka

Pitanje iz prakse:šta učiniti ako osoba odbije da pristane na obradu njegovih ličnih podataka

Organizacija ima pravo da nastavi da obrađuje lične podatke osobe bez njegovog pristanka ako za to postoje određeni razlozi. Istovremeno, obim takve obrade je dovoljno velik i omogućava organizaciji da obavlja tekuće aktivnosti bez smetnji.

Konkretno, poslodavac ne može zahtijevati pristanak na obradu ličnih podataka od podnositelja zahtjeva za sklapanje ugovora o radu i građanskopravnom pravu, slanje personaliziranih izvještaja organima Penzionog fonda Ruske Federacije, poresko prijavljivanje Federalnoj poreskoj službi Rusije. , podatke o obveznicima vojnog roka vojnim komesarijatima, kao i čuvanje dokumenata sa ličnim podacima, uključujući ugovore o radu i građanskopravni rad, lične karte, lične dosijee i sl. odnosno kada poslodavac ispunjava obaveze koje mu nalaže zakon.

Takva pravila su utvrđena klauzulama 2-11 dijela 1 člana 6, dijela 2 člana 10 i dijela 2 člana 11 Zakona od 27. jula 2006. br. 152-FZ.

Za obavljanje svih drugih radnji organizacije potrebno je pribaviti pristanak osobe za obradu njegovih ličnih podataka (dio 4. člana 9. Zakona od 27. jula 2006. br. 152-FZ).

pažnja: važeće zakonodavstvo ne obavezuje osobu da pristane na obradu ličnih podataka, stoga se njegovo odbijanje ne može smatrati kršenjem i razlogom za odbijanje zaključivanja ugovora. Zaposleni sa punim radnim vremenom takođe ne može biti otpušten ili priveden na drugu disciplinsku odgovornost zbog odbijanja da da saglasnost za obradu ličnih podataka.

Pitanje iz prakse:šta učiniti ako zaposleni odbije da da lične podatke članova porodice radi popunjavanja kadrovskih dokumenata

Anonimizacija ličnih podataka podrazumijeva radnje zbog kojih postaje nemoguće utvrditi vlasništvo nad ličnim podacima određenoj osobi bez korištenja dodatnih informacija ().

Ako je potrebno depersonalizirati lične podatke, čelnici organizacija odobravaju:

• pravila za rad sa anonimiziranim podacima;
• spisak radnih mjesta zaposlenih odgovornih za provođenje mjera za depersonalizaciju obrađenih ličnih podataka.

Takva pravila su propisana u podstavu "b" stava 1. liste odobrene Uredbom Vlade Ruske Federacije od 21. marta 2012. br. 211.

Posebni zahtjevi i metode za depersonalizaciju ličnih podataka koji se obrađuju u informacionim sistemima utvrđeni su u Zahtjevima i metodama odobrenim naredbom Roskomnadzora od 5. septembra 2013. br. 996.

Glavni zahtjev za anonimizaciju ličnih podataka je osigurati ne samo zaštitu od neovlaštenog korištenja, već i mogućnost njihove obrade. Za to, anonimizirani podaci moraju imati svojstva koja čuvaju glavne karakteristike anonimiziranih ličnih podataka. Ova svojstva uključuju, posebno:

• potpunost, odnosno očuvanje svih podataka o određenim osobama ili grupama ljudi koji su bili dostupni prije depersonalizacije;
• strukturiranost, odnosno očuvanje strukturalnih veza između bezličnih podataka određene osobe ili grupe ljudi koji su postojali prije anonimizacije;
• primjenjivost, odnosno sposobnost rješavanja problema obrade ličnih podataka bez prethodnog obezličavanja cjelokupne evidencije o ljudima;
• anonimnost, odnosno nemogućnost nedvosmislene identifikacije subjekata podataka dobijenih kao rezultat anonimizacije, bez upotrebe dodatnih informacija.

Glavni zahtjevi za metode anonimizacije ličnih podataka su:

• osiguravanje potrebnih svojstava anonimiziranih podataka;
• usklađenost sa zahtjevima za karakteristike metoda;
• implementacija metoda u raznim programima;
• rješavanje postavljenih zadataka obrade ličnih podataka.

Najperspektivnije i najpogodnije za praktičnu primjenu uključuju sljedeće metode depersonalizacije:

• način uvođenja identifikatora, odnosno zamjene dijela informacija ličnih podataka identifikatorima uz izradu tabele korespondencije identifikatora sa izvornim podacima;
• metodu promjene sastava ili semantike, odnosno promjene sastava ili semantike ličnih podataka zamjenom rezultata statističke obrade, uopštavanjem ili brisanjem dijela informacija;
• metoda dekompozicije, odnosno podjela niza ličnih podataka na nekoliko dijelova s ​​naknadnim odvojenim pohranjivanjem;
• način mešanja, odnosno preuređenje pojedinačnih zapisa, kao i grupa zapisa u nizu ličnih podataka.

U cilju bezbednog rada sa ličnim podacima zaposlenih, komercijalne organizacije takođe imaju pravo, ali nisu obavezne da se angažuju u depersonalizaciji (član 3. člana 3. Zakona od 27. jula 2006. br. 152-FZ). Ako organizacija odluči depersonalizirati osobne podatke, onda poseban način depersonalizacije mora biti sadržan u lokalnom zakonu, na primjer, u Uredbi o radu s ličnim podacima zaposlenih (čl., Zakon o radu Ruske Federacije,).

Provjera usklađenosti sa zahtjevima za obradu ličnih podataka

Kako se provode provjere usklađenosti sa zahtjevima za obradu ličnih podataka?

Roskomnadzor vrši inspekcije poslodavca u vezi sa obradom ličnih podataka. Naredbom Ministarstva telekomunikacija i masovnih komunikacija Ruske Federacije broj 312 od 14. novembra 2011. godine usvojena je Administrativna regulativa za obavljanje funkcija državne kontrole (nadzora) ove službe.

Predmet kontrole nad aktivnostima poslodavca u obradi ličnih podataka su:

• dokumenti, priroda informacija u kojima se predlaže ili dozvoljava uključivanje ličnih podataka;
• Informacijski sustavi osobnih podataka;
• aktivnosti obrade.

Roskomnadzor vrši planirane i vanredne inspekcije u obliku dokumentarnih ili inspekcija na licu mjesta (Zakon od 26. decembra 2008. br. 294-FZ). Prava i obaveze službenika Roskomnadzora tokom inspekcija određuju se, odnosno, klauzulama i administrativnim propisima odobrenim naredbom Ministarstva telekomunikacija i masovnih komunikacija Rusije od 14. novembra 2011. br. 312.

Rokovi za provjeru aktivnosti poslodavca u obradi ličnih podataka tokom redovnih i vanrednih provjera ne mogu biti duži od 20 radnih dana. Istovremeno, za mala preduzeća, ukupan period zakazanih inspekcija na licu mesta ne može biti duži od godinu dana:

• 50 sati - za mali biznis;
• 15 sati - za mikro preduzeće.

U izuzetnim slučajevima, rok za obavljanje zakazanog uviđaja može se produžiti, ali za najviše 20 radnih dana, a za mala i mikro preduzeća - za najviše 15 sati. To je moguće ako je tokom inspekcije potrebno provesti:

• složena i dugotrajna istraživanja, testovi;
• posebne preglede i istrage.

Disciplinskoj odgovornosti mogu biti privedeni samo oni zaposleni koji su preuzeli obavezu da se pridržavaju pravila za rad sa ličnim podacima i koji su ih prekršili (). Odgovornost može nastati ako zbog kršenja pravila za rad s ličnim podacima organizacije nastane direktna stvarna šteta ().

Za kršenje procedure prikupljanja, čuvanja, korišćenja ili distribucije ličnih podataka, organizacija i njeni službenici biće kažnjeni. U okviru jedne inspekcije, Roskomnadzor može otkriti nekoliko različitih prekršaja. Tada će naplatiti nekoliko kazni odjednom.

Visina kazne zavisi od vrste počinjenog prekršaja. Tako službenici mogu biti kažnjeni novčanom kaznom u iznosu od 3.000 do 20.000 rubalja, individualni preduzetnici - u iznosu od 5.000 do 20.000 rubalja, organizacija - u iznosu od 15.000 do 75.000 rubalja. Za više informacija o kaznama za kršenje ličnih podataka pogledajte tabelu.

Takve mjere odgovornosti predviđene su članovima i Zakonom o upravnim prekršajima Ruske Federacije.

Krivična odgovornost za rukovodioca organizacije (drugo lice odgovorno za rad sa ličnim podacima) može nastupiti za nezakonito:

• prikupljanje ili širenje podataka o privatnom životu zaposlenog, koji predstavljaju njegovu ličnu ili porodičnu tajnu, bez njegovog pristanka;
• širenje ovih informacija u javnom govoru, javno izloženom radu ili masovnim medijima.

Za ove prekršaje predviđene su sljedeće mjere odgovornosti:

• novčana kazna do 200.000 rubalja. (ili u visini primanja osuđenog za period do 18 mjeseci);
• obavezan rad do 360 sati;
• popravni rad do jedne godine;
• prisilni rad do dvije godine sa ili bez oduzimanja prava na obavljanje određenih poslova ili obavljanje određenih djelatnosti do tri godine;
• hapšenje do četiri mjeseca;
• kazna zatvora do dvije godine sa lišenjem prava na obavljanje određenih funkcija ili obavljanje određenih djelatnosti do tri godine.

U ovom slučaju se kažnjavaju ista djela koja je počinilo lice koristeći svoj službeni položaj:

• novčana kazna u iznosu od 100.000 do 300.000 rubalja. (ili u visini primanja osuđenog za period od jedne do dvije godine);
• lišavanje prava na obavljanje određenih funkcija ili obavljanja određenih djelatnosti na period od dvije do pet godina;
• prisilni rad do četiri godine, sa ili bez oduzimanja prava na obavljanje određenih funkcija ili obavljanje određenih djelatnosti do pet godina;
• lišenje slobode u trajanju od četiri do šest mjeseci;
• kazna zatvora do četiri godine sa lišenjem prava da obavlja određene funkcije ili se bavi određenim aktivnostima do pet godina.

Pitanje iz prakse: Da li je u ugovorima o radu zaposlenih moguće predvidjeti uslov neotkrivanja povjerljivih informacija

Da, možeš.

Ali samo u odnosu na one zaposlenike koji direktno rade sa ličnim podacima: kadrovski službenici, kadrovski menadžeri, sekretarice (). U tom slučaju, prilikom konkurisanja za posao, upoznati zaposlenog sa Pravilnikom o radu sa ličnim podacima.

Pitanje iz prakse: da li je moguće telefonom prenijeti informacije o radu zaposlenika u organizaciji predstavnicima drugih kompanija, na primjer banaka

Da, možete, ali samo uz pismenu saglasnost samog zaposlenog.

Pod ličnim podacima se podrazumijeva svaka informacija koja se direktno ili indirektno odnosi na određenog pojedinca (subjekt ličnih podataka) (član 3. dio 1. Zakona od 27. jula 2006. br. 152-FZ). Istovremeno, lista ličnih podataka nije konačna, odnosno sve informacije koje se odnose na određenu osobu su njeni lični podaci. Dakle, mjesto rada i sama činjenica rada koju zahtijeva organizacija, na primjer, kreditna institucija radi potvrde činjenice rada ili potencijalni poslodavac o bivšem zaposleniku, predstavljaju lični podaci. Stoga je moguće prenijeti podatke o zaposlenom drugim organizacijama samo u skladu sa općim zahtjevima za obradu ličnih podataka, odnosno samo uz pristanak samog zaposlenog (tačka 3. dijela 1. člana 86. Zakon o radu Ruske Federacije).

Dakle, moguće je da se informacije o činjenici rada zaposlenih telefonom daju nepoznatim osobama, uključujući i one koji predstavljaju stručnjake banke, ali samo uz pismenu saglasnost samog zaposlenog, bez obzira da li nastavlja da radi u organizaciji. ili je već dao otkaz.

Pitanje iz prakse: Da li je poslodavac dužan, na zahtjev službe izvršitelja, prijaviti činjenicu rada u organizaciji službenika-dužnika

Činjenica rada u organizaciji odnosi se na lične podatke zaposlenog. Sudski izvršitelj koji vodi izvršni postupak ima pravo da od organizacije zatraži podatke o zaposlenima za koje su donesene sudske odluke o plaćanju alimentacije ili druge vrste dosuđenih plaćanja, uključujući podatke u vezi sa ličnim podacima. Poslodavac ne može zanemariti ovaj zahtjev. Takva pravila utvrđena su Zakonom od 2. oktobra 2007. br. 229-FZ.

U ovom slučaju poslodavac ima pravo prijaviti činjenicu rada u organizaciji radnika-dužnika bez njegove saglasnosti za prijenos ličnih podataka trećim licima, jer je u tom slučaju obrada ličnih podataka neophodna za sprovođenje pravde. , izvršenje sudskog akta koji podleže izvršenju u skladu sa zakonodavstvom Rusije o izvršnom postupku (klauzula 3, deo 1, član 6, tačka 6, deo 2, član 10, deo 2, član 11 Zakona od 27. jula , 2006. br. 152-FZ).

Dakle, poslodavac je dužan da odgovori na zahtjev službe izvršitelja o činjenici rada službenika dužnika. Dobiti saglasnost radnika na traci

Margarita Orlova odgovara,

Šef Odeljenja za administraciju premija osiguranja FSS Rusije

“Da biste potvrdili glavnu vrstu djelatnosti za poseban odjel koji samostalno plaća doprinose, dostavite iste dokumente kao i za organizaciju u cjelini. Jedina razlika je u tome što u njima odražavaju informacije samo za jedinicu i dostavljaju ih odjelu FSS-a na mjestu registracije takve jedinice. Kako uplatiti doprinose dok od FSS ne dobijete obaveštenje o tarifi za tekuću godinu – saznaćete u preporuci.”

Što se pokazalo najvažnijim kako u računovodstvu, tako i prilikom razmatranja zahtjeva za kredit itd.

Ali šta je to i ko još ima pravo da obrađuje takve informacije, a ko ne, rijetko se spominje, čak i nerado.

Kao rezultat toga, ponekad je teško razumjeti ko je kontrolor ličnih podataka.

- ovaj podatak o osobi, koji ga karakteriše kao konkretnu osobu, nije generalizovan, ne može se primijeniti na grupu osoba. U većini slučajeva govorimo o prezimenu, imenu, patronimu, datumu rođenja, adresi na kojoj je lice registrovano i živi, ​​bračnom statusu itd.

Koncept ličnih podataka uveden je u poslovanje nakon usvajanja „O ličnim podacima“ 2006. godine. Na istom mjestu uvedena je i diferencijacija informacija u niz kategorija, koje vam omogućavaju da odredite nivoe dozvole obrade za različite situacije.

1. Podaci o rasi i nacionalnosti, vjerskim uvjerenjima, zdravstvenom stanju i detaljima intimnog života građanina.
2. Podaci koji omogućavaju, pored identifikacije građanina, i dobijanje raznih informacija o njemu, na primjer, broj telefona, mjesto stanovanja itd.
3. Informacije koje jednu osobu izdvajaju od drugih - prezime, ime i pun datum rođenja.
4. Javno dostupne informacije su po pravilu bezlične, ali ponekad i one koje su po zakonu obavezne da budu javne, na primjer prihodi državnih službenika. U posebnu kategoriju spadaju oni podaci za čije je pružanje sam građanin pristao, na primjer, adresa i broj telefona u informativnoj službi 09.

Generalno, Zakon „O ličnim podacima“ ima za cilj da osigura pravo svakog građanina na privatnost i zaštitu u slučaju kršenja. Na osnovu gornje klasifikacije, postoje različiti zahtjevi za osiguranje sigurnosti informacija. Za prvu kategoriju zahtjevi su stroži nego za sve ostale.

Ko je operater ličnih podataka

Operater ličnih podataka je pravno lice koje se po svojoj djelatnosti bavi informacijama o trenutnim i potencijalnim kupcima i zaposlenima. U ovom slučaju veličina organizacije nije bitna, kao ni oblik njenog vlasništva.

U praksi, operater je svaka organizacija koja je angažovala radnu snagu. Uostalom, zapošljavanje je nemoguće bez popunjavanja upitnika s prilično detaljnim popisom podataka o sebi, kao i podnošenja ličnih dokumenata, a sve se izrađuju kopije, podaci se unose u računovodstvene programe itd.

Glavni zahtjev zakonodavstva Ruske Federacije za operatere je osiguranje sigurnosti podataka koje je organizacija primila u toku svojih aktivnosti.

Norme po kojima se obezbjeđuje zaštita utvrđene su navedenim zakonom, a mogu se precizirati i normativnim aktima, tzv.

Postoji određena procedura koja reguliše slučajeve kada organizacija dobije pravo da radi sa ličnim podacima bez obaveštenja u:

• ako preduzeće obrađuje samo one podatke koji su potrebni za radni odnos;
• kada se obrađuju podaci koji su javno dostupni;
• ako se obrađuju samo prezime, ime, patronim;
• kada se koriste jednom, na primjer, za izdavanje propusnice;
• ako se za obradu ne koristi kompjuterska tehnologija.

Sve ostale organizacije su obavezne da se registruju, usled čega dobijaju jedinstveni registarski broj, pod kojim se upisuju u poseban registar.

Uvijek može razjasniti da li određeno pravno lice ima pravo zahtijevati ili čuvati lične podatke.

Na primjer, takva pitanja se često postavljaju u vezi s kreditnim institucijama, mobilnim operaterima itd.

Stoga je uobičajeno da se „operaterom obrade ličnih podataka” nazivaju organizacije koje na osnovu svojih profesionalnih aktivnosti prikupljaju i obrađuju ne samo javno dostupne informacije, već i kao što su serija, broj pasoša, adresa prebivališta itd.

Sticanje prava na obradu ličnih podataka

Kako bi se osigurala sigurnost čuvanja i prenosa ličnih podataka, predviđena je procedura za atestiranje i dobijanje licence za organizacije koje se bave prikupljanjem i čuvanjem takvih informacija.

Za dobijanje licence preduzeće mora ne samo da obuči zaposlene, već i da nabavi tehnička sredstva zaštite.

Procedura se sastoji od nekoliko faza, od kojih se mogu identifikovati najvažnije.

• obavijestiti nadležne organe o namjeri obrade podataka putem sredstava (računara);
• proći preliminarno ispitivanje raspoloživih informacionih sistema;
• projektovanje sistema zaštite uzimajući u obzir infrastrukturu računarske tehnologije i druge opreme za automatizaciju;
• nabavka i implementacija zaštitnih sredstava;
• dovesti sve prostorije u skladu sa zahtjevima zaštite od požara, sigurnosti, napajanja i sl.
• obavljati stručno usavršavanje zaposlenih u oblasti zaštite ličnih podataka i njihovu sertifikaciju.

Kao rezultat, moguće je garantovati dostupnost efikasnog sistema za zaštitu informacija tokom njihovog prenosa i prenosa putem komunikacionih linija.

Treba napomenuti da se sve gore opisane radnje mogu primijeniti samo na obradu osobnih podataka u elektroničkom obliku, koji je potencijalno nesiguran za pohranjene ili prenošene informacije.

Provjera aktivnosti operatera ličnih podataka

Rad svih operatera ličnih podataka ne samo da je regulisan zakonskim aktima, već se podvrgava redovnim provjerama, planskim i selektivnim, na primjer, na zahtjev građana pogođenih njihovim aktivnostima.

Mnoge nadzorne i agencije za provođenje zakona trebale bi biti uključene u praćenje poštovanja zakona o zaštiti ličnih podataka, ali se zbog specifičnosti posla izdvajaju samo tri (zove se regulatori):

• Roskomnadzor - njegove funkcije uključuju provjeru usklađenosti sa svim regulatornim zahtjevima zakona, kao i provođenje inspekcija;
• FSTEC (Federalna služba za tehničku i izvoznu kontrolu) - njeni zadaci uključuju, prije svega, zaštitu podataka koji se nalaze u računarima same organizacije, kao i njihovih kanala prijenosa kada se pohranjuju i prenose bez šifriranja;
• FSB (Federal Security Service) - kontrolira korištenje alata za šifriranje za obradu i prijenos ličnih podataka, uključujući razvoj i distribuciju.

Možete sami provjeriti odnos određene organizacije prema operaterima ličnih podataka.

Internet stranica Roskomnadzora ima pristup registru operatera koji obrađuju lične podatke, dostupan je na ovom linku.

Za pregled informacija dovoljno je u odgovarajuće polje uneti naziv ili registarski broj preduzeća od interesa, odnosno njegov identifikacioni broj obveznika (PIB).

Na taj način možete saznati da li su podaci traženi legalno ili ne. Ako organizacija nije na listi, onda bi se možda Roskomnadzor trebao pobrinuti za to i ili je uvrstiti u registar, ili zabraniti nezakonito prikupljanje podataka o građanima.

Provjera operatera ličnih podataka vrši se ili na zahtjev građana, ili na inicijativu, na primjer, tužilaštva, koje se može obratiti Roskomnadzoru u sklopu revizije aktivnosti organizacije.

Predviđena je odgovornost za prekršaje u obradi podataka građana. U zavisnosti od težine počinjenih radnji, mogu biti administrativne, disciplinske ili krivične kazne.

Općenito, prije davanja dozvole za obradu ličnih podataka u kreditnoj ili drugoj organizaciji koja traži takvo pravo, bolje je prvo provjeriti je li registrirana kao operater, što znači da ima sve za sigurno pohranjivanje.

Ovo se posebno može odnositi na mala preduzeća, kao što su ona koja daju male kredite.

Naravno, bez takve saglasnosti takve organizacije najčešće odbijaju pružanje usluga, ali u tome nema ništa, jer u tome nema ništa loše. Konkurencija je velika i uvijek možete pronaći drugu odgovarajuću opciju.

Zakon o ličnim podacima br. 152-FZ od 27. jula 2006. obavezuje sve koji obrađuju lične podatke da se registruju u posebnom registru. Kakav je to registar, za koga je upis u njega obavezan i kako se odvija postupak registracije - o tome govori naš članak.

Ko je operater ličnih podataka

Zakon br. 152-FZ odnosi se na operatere kao državna tijela, organizacije i pojedince koji prikupljaju lične podatke, a također samostalno određuju svrhe prikupljanja, sastav informacija i radnje koje se s njima obavljaju (član 3. Zakona br. 152-FZ ).

Jednostavno rečeno, operater ličnih podataka je onaj koji koristi lične podatke građana za radne i druge odnose. Njihov glavni zadatak je očuvanje povjerljivosti primljenih ličnih podataka, tj. zabrana prenošenja podataka trećim licima i distribucije bez pristanka samog pojedinca, osim ako su ti podaci nelični.

Registar operatera ličnih podataka Roskomnadzora

Prije početka obrade ličnih podataka, operater je dužan obavijestiti državni organ ovlašten za vođenje registra operatera ličnih podataka - Roskomnadzor (1. dio člana 22. Zakona br. 152-FZ). Ova federalna služba nadgleda komunikacije, masovne komunikacije i informacione tehnologije. Državnu kontrolu nad obradom ličnih podataka od strane operatera, u skladu sa zakonom, vrši i Roskomnadzor. U ove svrhe vrši provjere operatera ličnih podataka, u skladu sa propisima odobrenim naredbom Ministarstva telekomunikacija i masovnih komunikacija Ruske Federacije od 14.11.2011. br. 312.

Možete se upoznati sa registrom operatera za obradu ličnih podataka na službenoj web stranici Roskomnadzora, njegove informacije su javno dostupne.

Obavijest je dovoljno dostaviti jednom za cijelo vrijeme rada operatera. Istovremeno, zakon sadrži spisak izuzetaka kada je moguće raditi sa ličnim podacima bez uvrštavanja u registar operatera ličnih podataka (2. deo člana 22. Zakona br. 152-FZ):

• kada operateri-poslodavci obrađuju samo podatke dobijene u skladu sa zakonima o radu;
• ako je operater primio podatke od druge ugovorne strane u vezi sa zaključenjem ugovora i ne koristi ih u druge svrhe osim izvršenja ugovora;
• kada je operater ličnih podataka vjerska ili javna organizacija koja obrađuje lične podatke svojih članova za svrhe predviđene statutom;
• ako je građanin sam svoje lične podatke učinio dostupnim javnosti;
• ako lični podaci ne uključuju ništa osim punog imena;
• kada se primaju podaci za registraciju jednokratne propusnice;
• prilikom obrade ličnih podataka državnim automatizovanim informacionim sistemima;
• ako se lični podaci obrađuju „na papiru“, tj. bez upotrebe automatizacije;
• kada se podaci koriste za osiguranje transportnih sistema.

Svi koji nisu navedeni na ovoj listi moraju dostaviti obavijest za upis u registar operatera ličnih podataka Roskomnadzora. Mnogi individualni poduzetnici i organizacije ignoriraju ovaj zahtjev ili saznaju za njega prekasno. Ali obavijest za upis u registar možete podnijeti naknadno, navodeći u njoj stvarni datum početka obrade ličnih podataka, dok za kašnjenje neće biti nikakvih kazni.

Kako obavijestiti Roskomnadzor

Za podnošenje obavijesti o obradi ličnih podataka, operater obrade ličnih podataka mora popuniti elektronski obrazac na web stranici Roskomnadzora. Obrazac obavijesti sadrži:

• podatke o samom operateru (naziv, INN, PSRN, adresa lokacije, telefon, brojevi dozvola itd.);
• pravni osnov i svrhe obrade podataka u skladu sa statutom;
• opis mjera i sredstava zaštite ličnih podataka;
• stvarni datum početka obrade ličnih podataka od strane operatera;
• uslove pod kojima će obrada biti prekinuta (na primjer, nakon opoziva dozvole za rad), ili određeni period prekida;
• kategorije ličnih podataka koji se obrađuju (ime, godina rođenja, bračno stanje, adresa stanovanja, profesija, prihod, zdravstveno stanje itd.), korištenje biometrijskih podataka;
• radnje sa ličnim podacima i metode njihove obrade (automatizovane ili ne, sa prenosom putem interneta ili ne itd.);
• podatke osobe odgovorne za obradu ličnih podataka.

Nakon popunjavanja elektronskog obaveštenja, operater ličnih podataka šalje Roskomnadzoru, a drugi primerak se štampa na papiru. Štampana verzija je potpisana od strane voditelja i ovjerena pečatom. Uz njega se mora priložiti paket potrebnih dokumenata (Uredba o ličnim podacima, obrazac saglasnosti za obradu, naredba o imenovanju odgovornih lica, itd.) i poslati teritorijalnoj kancelariji Roskomnadzora poštom.

Registracija u registar se daje 30 dana od dana prijema obaveštenja od strane Roskomnadzora. Status poslane obavijesti možete pratiti na istoj web stranici.

Ako Roskomnadzor smatra da su informacije navedene u obavijesti nepotpune ili netačne, može zatražiti pojašnjenje od operatera. U slučaju promjene bilo kojeg podatka, operater mora u roku od 10 dana obavijestiti nadzorni organ radi usklađivanja registra.

Ne znaju sve kompanije i individualni preduzetnici da li su oni operateri ličnih podataka i da li moraju da prenesu informacije o sebi Roskomnadzoru. Hajde da shvatimo koga servis pomnije prati i kako da obavesti građane o početku obrade ličnih podataka.

Ko su operateri ličnih podataka i čime se bave

Većina ljudi zna da lični podaci (u daljem tekstu PD) uključuju podatke o prezimenu, imenu i patronimu građanina, podatke iz njegovog pasoša, broj mobilnog telefona, adresu prebivališta, e-mail. Koje druge informacije možete uključiti u ovu listu? Ispostavilo se da bilo koji: iscrpna lista nigdje nije predstavljena i u principu ne može biti. To potvrđuje i tekst u Federalni zakon od 27.07.2006. br. 152-FZ:

Lični podaci - bilo koja informacija koja se direktno ili indirektno odnosi na određenog pojedinca ili pojedinca (predmet ličnih podataka).

Ispostavilo se da će u nekim slučajevima prezime, ime i broj automobila biti dovoljni za identifikaciju građanina, dok će u drugim biti potrebna i njegova vozačka dozvola i registraciona adresa.

Rukovalac ličnih podataka je državni ili opštinski organ, pravno ili fizičko lice, koji:

• samostalno ili zajedno sa drugim licima organizuje i/ili vrši obradu PD;
• određuje ciljeve rada sa ličnim podacima, njihov sastav, kao i radnje (operacije) sa njima.

Odnosno, svako ko zatraži i koristi PD je njihov operater. A svako ko ima pristup i obrađuje informacije po kojima se građanin može identifikovati zapravo radi sa UP i odgovoran je za nepoštivanje zakona o njihovoj zaštiti.

Zamislimo ko može biti PD operater. Banke? Da! Web lokacije koje prikupljaju pretplatnički materijal? Da! Pravne i računovodstvene kompanije koje pružaju razne usluge? Da! Trgovine i kozmetički saloni nude bonus karticu? Opet, da! Društva vlasnika kuća, univerziteti, vrtići, turističke agencije, medicinske ustanove, automatizovani sistemi, uključujući i državne? Da da da! PD operateri - svuda, u bilo kom polju!

Obaveze operatera prilikom obrade ličnih podataka

Svi koji se bave PD dužni su da se pridržavaju određenih pravila za prikupljanje, osiguranje sigurnosti, razjašnjavanje, blokiranje i uništavanje ove vrste informacija. Prema Zakonu br. 152-FZ, operateri moraju:

• obavljaju objašnjavajući rad sa subjektom PD, kao i pribavljaju njegovu prethodnu saglasnost za obradu ličnih podataka;
• javno predstaviti politiku obrade PD;
• obezbijediti mjere zaštite od neovlaštenog ili slučajnog pristupa PD-u, njihovog uništavanja, modifikacije, blokiranja, kopiranja, distribucije;
• uništi evidenciju ako subjekt PD dokaže da je informacija pribavljena nezakonito ili nije neophodna za postizanje navedene svrhe;
• blokira pristup informacijama na zahtjev ovlašćenog organa ili subjekta UP (njegovog predstavnika).

Registracija kod Roskomnadzora kao operatera ličnih podataka

Zakon predviđa da prije početka rada sa PD morate kontaktirati ovlašteni nadzorni organ i obavijestiti o početku rada ličnim podacima. To ne znači da svaka kompanija mora biti uključena u registar operatera ličnih podataka Roskomnadzora. Ova lista ne uključuje organizacije i pojedince koji se bave informacijama koje:

• prikupljaju i čuvaju u skladu sa zakonima o radu;
• prima isključivo za pružanje komunikacijskih usluga po zaključenom ugovoru, ne distribuira se i ne daje trećim licima bez saglasnosti subjekta PD;
• odnosi se na članove (učesnike) javnog udruženja ili vjerske organizacije radi ostvarivanja ciljeva utvrđenih njihovim osnivačkim aktima;
• javno dostupnim od strane subjekta PD;
• uključuje samo prezimena, imena i patronimike subjekata PD;
• dužan je izdati jednu propusnicu za teritoriju organizacije;
• uključeni u sisteme sa statusom državnih automatizovanih informacionih sistema, kao i u državne PD sisteme kreirane radi zaštite državne bezbednosti i javnog reda;
• obrađeni bez upotrebe alata za automatizaciju (računalo);
• obrađene kako bi se osigurao siguran rad transportnog kompleksa.

Uzimajući u obzir takve formulacije, mnoge od organizacija više nisu uključene u registar operatera koji se bave obradom ličnih podataka, koji vodi Roskomnadzor. Odnosno, poslodavci, kompanije koje pružaju komunikacijske usluge, vjerske organizacije, osobe koje primaju PD samo za izvršenje ugovora, i mnogi drugi ne bi trebali obavještavati o prikupljanju i obradi PD. Oni koji ne podležu izuzecima moraju biti na listi nadzornog organa.

Postupak registracije se sastoji u podnošenju obavještenja u određenom obliku. Može se pronaći preko registra ličnih podataka Roskomnadzora, portala državnih službi ili uz pomoć Naredba Ministarstva telekomunikacija i masovnih komunikacija Rusije od 21.12.2011. N 346... Takođe možete besplatno preuzeti traženi dokument na kraju ovog članka.

• puni i skraćeni naziv preduzeća sa naznakom organizaciono-pravnog oblika, kao i pravne i poštanske adrese, PIB;
• svrhe obrade, navedene u konstitutivnim dokumentima ili stvarno izvršene;
• PD kategorije koje treba obraditi;
• subjekti čiji se PD planira obraditi, uključujući odnose s njima, na primjer, putnik, zajmoprimac, pretplatnik, deponent, osiguranik;
• osnovu po kojoj postoji pravo na obradu (na primjer, artikli Vazdušnog kodeksa Ruske Federacije ili zakon o građanskom statusu o aktima građanskog statusa), uključujući i dostupnost licence za obavljanje vrste djelatnosti;
• opis metoda koje se koriste za obradu PD i njihova lista: neautomatizovana, automatizovana ili mešovita obrada;
• podaci o osobama odgovornim za organizovanje obrade PD, njihovi brojevi telefona, poštanske adrese, e-mail;
• informacije o enkripcijskim (kriptografskim) sredstvima;
• datum početka, kao i uslove za prestanak obrade PD;
• informacije o tome gdje se podaci pohranjuju u toku njihove obrade, uključujući i o zemlji u kojoj se nalaze baze podataka s podacima o ličnim podacima građana Ruske Federacije;
• informacije o obezbjeđivanju sigurnosti PD u skladu sa utvrđenim zahtjevima Uredba Vlade Ruske Federacije od 01.11.2012. N 1119.

Imajte na umu da se registracija operatera ličnih podataka na web stranici Roskomnadzora vrši u roku od 30 dana. Ukoliko se podnese elektronska prijava, kompanija će morati teritorijalnom organu poslati dodatnu papirnu kopiju obavještenja. Ukoliko informacije nisu dovoljne, službenici će poslati zahtjev za pojašnjenje dostavljenih dokumenata. Ne možete odbiti da prihvatite obavještenje i unesete podatke o organizaciji u registar.

Ako je iz različitih razloga organizacija promijenila svrhu obrade PD-a ili je potrebno izvršiti druge promjene, u roku od 10 dana šalje pismo Roskomnadzoru na propisanom obrascu. Dokument se nalazi u nastavku. Osim toga, čitaoci PPT.ru mogu preuzeti obrazac dokumenta potrebnog za isključenje kompanije iz registra.

Sve usluge koje pruža Roskomnadzor u ovom slučaju su besplatne.

Odgovornost za odbijanje upisa u registar

Važeće zakonodavstvo predviđa administrativnu odgovornost za kršenje uslova za zaštitu ličnih podataka. Prema Federalni zakon od 07.02.2017. br. 13-FZ godine, koji je stupio na snagu 01.07.2017 član 13.11 Zakona o upravnim prekršajima Ruske Federacije postoji nekoliko vrsta prekršaja za koje operateri ličnih podataka mogu biti kažnjeni. U zavisnosti od prekršaja, kazne za pravna lica prema ovom članu kreću se od 15 do 75 hiljada rubalja, a za individualne preduzetnike - od 5 do 20 hiljada rubalja.

Odbijanje upisa u registar može se smatrati nedostavljanjem podataka nadzornom organu. Kazna za to je predviđena u član 19.7 Zakona o upravnim prekršajima Ruske Federacije... Prema njemu, službenici se suočavaju sa kaznom u iznosu od 300 do 500 rubalja, a pravnim - od 3.000 do 5.000 rubalja.

Od donošenja 2006. godine Federalnog zakona "O ličnim podacima", neke njegove odredbe i koncepti su još uvijek nejasne za zaposlene u operaterima. Prividna dvosmislenost formulacije ponekad postaje predmet nagađanja pojedinih aktivnih građana, koji su sebi postavili za cilj da dokažu apsurdnost ili nekonzistentnost Zakona.

Manipulirajući nekim formulacijama Zakona (ponekad izvučenim iz konteksta), oslanjajući se na principe formalne logike (ne uvijek pravedne kada je u pitanju pravo kao nauka), modelirajući moguće kolizije, pojedini analitičari dolaze do neočekivanih i pogrešnih zaključaka.

Opasnost ovakvih zaključaka leži u dezorijentaciji učesnika u informaciono-pravnim odnosima, kao iu činjenici da donošenje sumnjivih izjava otežava rad operatera da svoje aktivnosti usklade sa Zakonom i stvara uslove za kršenje zakona. zahtjevima Zakona.

Broj takvih problematičnih pitanja uključuje i definiciju operatera ličnih podataka. Operater je državni, opštinski organ, pravno ili fizičko lice koje organizuje i (ili) sprovodi obradu ličnih podataka, kao i utvrđuje svrhu i sadržaj obrade ličnih podataka (član 3. Saveznog zakona 152) . Ova naizgled očigledna i neproizvoljna definicija ponekad dovodi u zabludu operatere u praksi. Suština ove zablude je da "osoba koja vrši obradu nije uvijek operater." Razlog za zabludu je u frazi „i takođe“. U ovom “kao i” neki vide samo zrnce istine koje će omogućiti pojedinim operaterima da izbjegnu obavezu da se pridržavaju zahtjeva Federalnog zakona 152. Paradoksalno, mnogi operateri su još uvijek uvjereni da oni nisu operateri. Za potkrepljenje ove tvrdnje daju se sljedeći argumenti: potreba za obradom PD-a određena je saveznim zakonom (ili „ustanovljena od strane organizacija višeg nivoa“), dakle, svrhe obrade nisu samostalno određene ili ih ne bi trebalo odrediti osoba koja vrši obradu (nema potrebe ili nema ovlaštenja za definiranje ciljeva).

Pokušajmo se pozabaviti ovim problemom, čija je suština u pitanju: određivanje svrhe obrade PD-a - znak ili dužnost operatera?

Dakle, postoji mišljenje da je operater samo i isključivo onaj koji istovremeno ispunjava sljedeća dva kriterija:
Ova osoba mora ili organizirati ili stvarno izvršiti obradu PD (ili oboje u isto vrijeme);
Ova osoba mora sama odrediti svrhu i sadržaj obrade PD-a.

Stoga se zahtjev za određivanje svrhe obrade PD-a smatra glavnom karakteristikom operatera.

U toku pripreme ovog članka, filolozi su izvršili lingvističku analizu dotične definicije. Rezultati analize su prikazani u nastavku.

Određivanje cilja ne može biti glavna funkcija, jer se ova funkcija imenuje među homogenim članovima rečenice i zatvara je. Štaviše, ovom homogenom članu rečenice pridružuje se i sindikat „također“, koji ima susedno značenje, na primer: mirno sam uživao u svom radu, uspehu, slavi, kao i u delima i uspesima mojih prijatelja“ (P. ). - vidi NS Valgina, Rosenthal D.E., Fomina M.N. Savremeni ruski jezik. Udžbenik .: M., Logos, 2006.

Ruska gramatika piše o istom značenju (M, 1980, tom II):

§ 2079. Odnosi spajanja zasnivaju se na spajanju: drugi član niza ima dodatni karakter; često se izdvaja kao posebna sintagma; redosled članova reda je strogo obavezan. Vezni odnosi (sa nijansama dodavanja ili jačanja) izraženi su složenim sindikatima i kombinacijama sjedinjenja s konkretizatorom: i također, i, štoviše, i još više (štaviše): U kočiji je sjedila starija gospođa, pa čak i mlada djevojka (Tyn.); Bilteni su isporučeni u savršenom redu i, osim toga, na vrijeme (gas).

Bilješka. Sindikati i isto tako, kao ... i imaju sposobnost izražavanja gradacijskih i povezujućih odnosa, ali se često koriste u širem značenju - povezujućim ili komparativnim: Ovaj loach je neobično pun poštovanja i privrženosti, podjednako ljubazno gleda i svoje i druge , ali ne koristi kredit (češki); Fabrika je ostvarila visoke pokazatelje kako u kvantitetu tako iu kvalitetu proizvoda (gas); Učenici muzičke škole često koncertiraju u školama, domovima kulture, kao iu radionicama preduzeća (gas).

Ali veznici "i (ili)" naznačeni zajedno znače da članovi homogenog niza koji su njima povezani mogu i koegzistirati zajedno ("organiziranje i obavljanje obrade") i biti izabrani (jedan od nizova: "organiziranje ili izvođenje obrada").

Navedena lingvistička analiza pokazuje neutemeljenost tvrdnje da je određivanje svrhe obrade PD neizostavna karakteristika operatera. Istovremeno, ova analiza nije jedini dokaz pogrešnosti ove izjave.

Iz sadržaja različitih publikacija i, na osnovu nastale prakse sprovođenja zakona, može se zaključiti o odnosu organa nadležnog za zaštitu prava subjekata PD (u daljem tekstu - Roskomnadzor) prema problemu koji se razmatra. Roskomnadzor smatra da je operater taj koji, prije svega, obavlja bilo kakve operacije s ličnim podacima. Istovremeno, na osnovu same činjenice obrade, „obrađivač“ je dužan da odredi svrhe takve obrade. One. zapravo, određivanje svrhe obrade je prije posljedica obrade, odnosno potrebe za takvom, sastavni dio obrade, primarna obaveza koja proizlazi iz obrade ličnih podataka, a ne „glavno obilježje operater."

Valjanost iznetog mišljenja potvrđuje i sistematska analiza normi Saveznog zakona br. 152. Treba poći od člana 1. Zakona, koji definiše delokrug njegovog delovanja. Navedenim članom se navodi da se zakonom uređuju odnosi u vezi sa obradom ličnih podataka koju vrše različiti organi, pravna i fizička lica. Koncept obrade je dat u tački 3 člana 3 Saveznog zakona 152. To su radnje (operacije) sa ličnim podacima, uključujući prikupljanje, sistematizaciju, akumulaciju, skladištenje, pojašnjenje (ažuriranje, promjenu), korištenje, distribuciju (uključujući prijenos) , depersonalizacija , blokiranje, uništavanje ličnih podataka. Iz navedenog proizilazi da ako određeno lice izvrši bilo koju od navedenih radnji, onda ono a priori postaje učesnik u odnosima s javnošću koji su predmet regulisanja Saveznog zakona br. 152 (osim ako ne potpada pod izuzetke predviđene u čl. dio 2 člana 1 Zakona). Kako se ova osoba treba zvati u smislu Federalnog zakona "O ličnim podacima"? Izbor je ograničen. Ovu osobu treba nazvati operaterom.

Dakle, određena osoba vrši (ili namjerava izvršiti) obradu ličnih podataka. Prema članu 5 Saveznog zakona 152, obrada ličnih podataka mora se vršiti u skladu sa principima utvrđenim Zakonom. Analiza sadržaja principa dovodi do zaključka da je temeljna osnova za obradu PD definicija ciljeva obrade. Čak i bez upuštanja u suštinu svakog principa, već samo površnim čitanjem člana 5. u svakom pasusu članka, vidimo pojam „cilj“ („legitimnost ciljeva“, „usklađenost sa ciljevima“, „dovoljnost za postizanje ciljeva“). “, itd.). Ovu koncentraciju pažnje zakonodavac nije primenio slučajno. Od lica koje vrši obradu PD, Zakon zahteva obaveštenje o svrhama obrade PD subjekata od organa nadležnog za zaštitu prava subjekata PD. Zakonom nastoji da aktivnosti u vezi sa obradom podataka o ličnosti budu transparentne i razumljive kako za lice - nosioca ustavnih prava i sloboda zaštićenih Zakonom, tako i za državne organe koji obezbeđuju sprovođenje mehanizama zaštite ljudskih prava kao subjekta. ličnih podataka. Zajednička nit u Zakonu je ideja o nedopustivosti „besciljne“ obrade ličnih podataka (obrade ličnih podataka „samo tako“, „za svoje neizvesne potrebe“, za „opšti razvoj“, „za sebe“). itd.).

Prema drugom principu, navedenom u članu 5. Zakona, ako lice namjerava da obrađuje lične podatke, svrhe takve obrade moraju biti unaprijed određene i deklarirane (prije početka obrade). Obrnuti logički lanac rasuđivanja dovodi do zaključka da je provođenje bilo koje radnje sa ličnim podacima u nedostatku određene svrhe obrade kršenje principa obrade, a samim tim i kršenje zakona, preduslov za povreda ustavnih prava i sloboda ličnosti i građanina.

Tumačenje norme navedene u tački 2. Član 3. Saveznog zakona 152 u kontekstu da definicija cilja nije odgovornost operatera, već sastavna karakteristika koja ga identifikuje u ovom svojstvu, neminovno povlači sledeći paradoksalan zaključak. Takva tijela kao što su Penzioni fond Ruske Federacije, Fond za obavezno zdravstveno osiguranje, Federalna porezna služba, Federalna služba za migracije i mnoge druge vladine agencije, čije su odgovornosti direktno definirane i detaljno opisane saveznim zakonodavstvom, uključujući u kontekstu transakcija sa ličnim podacima, ne spadaju u delokrug zakona... Razmatrana premisa takođe navodi na zaključak da telekom operateri nisu PD operateri, budući da je svrha prikupljanja PD pretplatnika predviđena Zakonom „O komunikacijama“ i podzakonskim aktima – tj. određuje država, a ne određena osoba koja pruža komunikacijske usluge. Isto važi i za kreditne institucije, osiguravajuće i druge organizacije koje prikupljaju i druge radnje sa ličnim podacima u cilju suzbijanja legalizacije (pranja) imovinske koristi stečene kriminalom, tj. za svrhe direktno predviđene Zakonom „O suzbijanju legalizacije (pranja) prihoda stečenih kriminalnim radnjama“, a ne same ove organizacije. Lista se može nastaviti u nedogled, apsolutizujući samo jednu normu zakona i dostižući tačku apsurda u pokušajima da se njeno doslovno tumačenje isproba za stvarne društvene odnose.

Član 18. Federalnog zakona br. 152 utvrđuje obaveze operatera prilikom prikupljanja ličnih podataka. To uključuje, prije svega, obavezu operatera da subjektu PD-a na njegov zahtjev pruži informacije (član 14. Saveznog zakona 152), uključujući i o svrhama obrade njegovog PD-a. Prilikom utvrđivanja ove obaveze, Zakon ne pravi izuzetak za operatere koji obrađuju lične podatke na osnovu bilo kojeg saveznog zakona.

Dakle, imajući u vidu navedeno, postaje jasno da je u kontekstu Zakona određivanje svrhe obrade PD-a zapravo pre obaveza lica koje vrši obradu PD-a, a ne jedno od svojstava posjedovanja. što ovu osobu čini operaterom.

Šta je „definicija“ cilja? Pojašnjenje značenja riječi "definicije" važno je za razumijevanje sadržaja pravne države, bez koje je provođenje ovog pravila nemoguće. Budući da u samom Zakonu zakonodavac nije smatrao potrebnim da razotkrije pojam „definicije cilja“, obratimo se jednom od metoda tumačenja priznatih u teoriji prava – leksičkom (jezičkom) tumačenju.

Prema objašnjavajućem rečniku ruskog jezika, koji je uredio prof. D.N. Ushakova, za definiranje sredstava
Saznaj sa tačnošću, informiraj;
Dati naučni, logički opis, formulaciju pojma, otkriti njegov sadržaj;
Odlučiti, donijeti odluku o nečemu;
Služi kao razlog za razvoj, za formiranje nečega, za predodređivanje, za uslovljavanje;
Dodijeliti, specificirati.

Dakle, definicija svrhe obrade PD može se shvatiti kao njeno pojašnjenje, odabir, izolacija od skupa mogućih ciljeva, njegovo postavljanje ili dodjela kao takva, naznaka ovog(ih) specifičnog(ih) cilja(a) kao razloga za obradu PD.

Kontekstualna analiza sadržaja Federalnog zakona 152, identifikacija njegovih semantičkih veza sa drugim izvorima prava omogućava nam da zaključimo da za pojedinačne operatere PD-a i (ili) u odnosu na određene kategorije subjekata PD-a, svrhe obrade PD-a zapravo mogu biti unaprijed ili čak direktno naznačeno u zakonima ili podzakonskim aktima (Zakon o radu, na primjer, poslodavcima posebno ukazuje na svrhu obrade ličnih podataka zaposlenih). Svrha obrade određenih PD od strane drugih operatera proizilazi iz njihovih obaveza koje proizilaze iz ugovornih obaveza. U nekim slučajevima, svrhe obrade PD-a mogu se istovremeno odrediti kako sadržajem komercijalnih aktivnosti operatera tako i zahtjevima zakona (telekom operateri, u cilju obavljanja vlastite statutarne aktivnosti u cilju ostvarivanja dobiti, obrađuju PD kako bi za pružanje komunikacionih usluga iu skladu sa Zakonom "o komunikacijama") ...

Dakle, primarni zadatak osobe koja vrši obradu PD je upravo verbalizacija svrha obrade PD, da za sebe shvati šta je tačno razlog obrade ličnih podataka pojedinaca posebno za njega. Formulacija odgovora na ovo pitanje zapravo će biti definicija svrhe obrade PD-a.

U kontekstu problema koji se razmatra u ovom članku, zanimljivim se čini mišljenje Vlade Ruske Federacije izraženo o izmjenama i dopunama Federalnog zakona 152. Dana 5. maja 2010. godine usvojen je nacrt zakona u prvom čitanju, dostavljen na razmatranje Državnoj dumi od strane njenog zamenika VM Reznika. Između ostalog, ovim nacrtom zakona predložena je nova formulacija pojma „operater“, i to:

„Operator je državni organ, opštinski organ, pravno ili fizičko lice koje obrađuje podatke o ličnosti, kao i utvrđuje ciljeve, sadržaj i postupak obrade podataka o ličnosti.“ Kao što vidite, riječ “organiziranje” je isključena iz trenutne formulacije. Vlada Ruske Federacije u svom zvaničnom odgovoru na ovaj nacrt zakona ukazuje da „ovakva promjena ne može biti podržana, jer se lica koja obrađuju lične podatke, a ne određuju svrhe i sadržaj obrade, ne mogu smatrati operaterima“. Iz navedenih primjedbi Vlade Ruske Federacije proizilazi da je danas (kada verzija zakona još uvijek nije promijenjena), po mišljenju Vlade Ruske Federacije, operater svako lice koje obrađuje PD, bez obzira na prisustvo ili odsustvo činjenice da je odredio svrhe takve obrade.

Dakle, analiza provedena u ovom članku nam omogućava da izvučemo nekoliko zaključaka.
Utvrđivanje svrhe obrade PD-a je odgovornost operatera, a ne obavezna identifikacijska karakteristika operatera.
Utvrđivanje svrhe obrade PD-a je proces razumijevanja, pojašnjenja, konkretizacije i verbalizacije svrhe obrade PD-a od strane operatera, uključujući i slučajeve kada su takvi ciljevi unaprijed određeni i (ili) proizlaze iz odredbi zakona ili ovlaštenja koja su mu data. operatera.