Registrul subiecților prelucrării datelor cu caracter personal. Sau este posibil să nu notifice despre prelucrarea datelor cu caracter personal

Cum se organizează prelucrarea datelor cu caracter personal ale angajaților. Registrul operatorilor de date cu caracter personal al Roskomnadzor. Cum să obțineți consimțământul angajatului pentru prelucrarea datelor sale personale.

Întrebare: Este întreprinderea unitară municipală obligată să se înregistreze în registrul operatorilor de date cu caracter personal al Roskomnadzor și, de asemenea, să elaboreze un set de documente privind protecția datelor cu caracter personal?

Răspuns: Da, MUP este obligat să se înregistreze în registrul operatorilor de date cu caracter personal, precum și să elaboreze un set de documente privind protecția datelor cu caracter personal, dacă MUP angajează angajați și MUP prelucrează datele lor personale sau MUP prelucrează datele cu caracter personal. a diverșilor indivizi (clienți, parteneri).

Justificare

Cum se organizează prelucrarea datelor cu caracter personal ale angajaților

Conceptul de date personale

Ce date personale ale unui angajat are dreptul să primească organizația?

Date publice cu caracter personal

O intrebare din practica: ce date cu caracter personal sunt considerate disponibile publicului

Informațiile disponibile publicului sunt, în general, informații cunoscute și alte informații, la care accesul nu este limitat. Astfel de informații pot fi folosite de orice persoană la discreția sa, sub rezerva restricțiilor stabilite legal privind distribuirea lor. Acest lucru este precizat în clauze, articolul 7 din Legea din 27 iulie 2006 nr. 149-FZ.

Date personale disponibile public - date pe care subiectul datelor cu caracter personal le-a făcut ca atare. Datele personale disponibile publicului pot include informații disponibile unui număr nelimitat de persoane (de exemplu, date din directoare deschise, agende de adrese etc.).

Din moment ce oricine are acces la ele, nu mai necesită protecție specială.

La prelucrarea unor astfel de date, operatorul nu are nevoie să notifice organismul autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal (clauza 4 partea 2 a articolului 22 din Legea din 27 iulie 2006 nr. 152-FZ).

Consimțământ pentru prelucrarea datelor cu caracter personal

Cum să obțineți consimțământul angajatului pentru prelucrarea datelor sale personale

În cursul activității, angajatorul trebuie să prelucreze datele personale ale angajaților. Prelucrarea acestor date, cu excepția cazurilor individuale, are loc numai cu acordul scris al angajaților. În acest caz, consimțământul trebuie să includă următoarele informații:

• prenume, prenume, patronim, adresa angajatului, detaliile pașaportului (alt document care dovedește identitatea acestuia), inclusiv informații despre data eliberării documentului și autoritatea emitentă;

• numele sau prenumele, prenumele, patronimul și adresa angajatorului (operatorului) care primește acordul salariatului;
• scopul prelucrării datelor cu caracter personal;
• o listă de date cu caracter personal pentru prelucrarea cărora este dat consimțământul;
• numele sau prenumele, prenumele, patronimul și adresa persoanei care prelucrează date cu caracter personal în numele angajatorului, dacă prelucrarea este încredințată unei astfel de persoane;
• o listă a acțiunilor cu date personale pentru efectuarea cărora este dat consimțământul, o descriere generală a metodelor de prelucrare a datelor cu caracter personal utilizate de angajator;
• perioada în care consimțământul angajatului este valabil, precum și modalitatea de retragere a acestuia, dacă legea federală nu prevede altfel;
• semnătura angajatului.

Astfel de cerințe sunt stabilite în partea 4

În cazul în care angajatul este incapabil, consimțământul scris pentru prelucrarea datelor sale personale este dat de reprezentantul său legal: părinte, tutore (partea 6 a articolului 9 din Legea din 27 iulie 2006 nr. 152-FZ).

Angajatul își poate revoca oricând consimțământul pentru prelucrarea datelor sale personale, trimițând un răspuns arbitrar angajatorului. Într-o astfel de situație, organizația are dreptul de a continua prelucrarea datelor cu caracter personal fără acordul angajatului, sub rezerva restricțiilor specificate la paragrafele 2-11 din partea 1 a articolului 6, partea 2 a articolului 10 și partea 2 a articolului 11. din Legea din 27 iulie 2006 nr. 152-FZ, de exemplu, pentru a face justiție sau a proteja viața (sănătatea) salariatului. Acest lucru este menționat în partea 2 a articolului 9 din Legea din 27 iulie 2006 nr. 152-FZ.

De precizat că, în cazul unui litigiu, obligația de a face dovada că a fost primit consimțământul salariatului pentru prelucrarea datelor sale cu caracter personal revine angajatorului (partea 3 a articolului 9 din Legea din 27 iulie 2006 nr. 152-FZ).

Cu acordul angajatului, organizația are și dreptul de a încredința prelucrarea datelor cu caracter personal unei alte persoane (partea 3 a articolului 6 din Legea din 27 iulie 2006 nr. 152-FZ). În acest caz, angajatorul va continua să poarte responsabilitatea față de angajat pentru acțiunile persoanei specificate, iar persoana care prelucrează datele cu caracter personal în numele angajatorului va fi responsabilă direct față de angajator (partea 5 a articolului 6 din Lege). din 27 iulie 2006 Nr. 152- FZ).

De menționat că angajatorul trebuie să obțină consimțământul pentru prelucrarea datelor cu caracter personal nu numai de la salariați, adică de la persoane cu care se află în relații de muncă, ci și de la solicitanți, precum și de la persoane cu care s-au încheiat contracte de drept civil. încheiat în organizaţie. Acest lucru este menționat în paragraful 5 din clarificările lui Roskomnadzor din 14 decembrie 2012 nr.

Consimțământ universal

O intrebare din practica: Este posibil, la încheierea unui contract de muncă, să se obțină acordul scris al unui angajat pentru a furniza datele sale personale către terți în toate situațiile necesare până în momentul concedierii

Nu.

Pentru transferul datelor angajaților către terți, organizația trebuie să obțină acordul scris al acestui angajat. Fără acordul scris al angajatului, datele sale personale pot fi transferate către terți atunci când este necesar pentru a preveni amenințările la adresa vieții și sănătății angajatului și în alte cazuri prevăzute de legile federale. Astfel de reguli sunt stabilite de partea 1 a articolului 88 din Codul Muncii al Federației Ruse.

Codul Muncii al Federației Ruse nu conține cerințe pentru conținutul consimțământului scris pentru transferul de date. Totuși, paragraful 1 al articolului 9 din Legea din 27 iulie 2006 nr. 152-FZ stabilește că consimțământul pentru prelucrarea datelor cu caracter personal trebuie să fie specific, informat și conștiincios. De aici rezultă că organizația trebuie să solicite acordul scris de la angajat pentru fiecare caz de transfer al datelor sale personale către un terț. Doar în astfel de condiții se poate considera îndeplinită cerința de concretețe și conștiinciozitate a consimțământului. Lista informațiilor care trebuie să fie conținute într-un consimțământ scris pentru transferul datelor cu caracter personal este stabilită în paragraful 4 al articolului 9 din Legea din 27 iulie 2006 nr. 152-FZ.

Prelucrarea datelor cu caracter personal ale artiștilor interpreți conform înregistrării de stat

O intrebare din practica: dacă este necesară obținerea consimțământului scris pentru prelucrarea datelor cu caracter personal ale cetățenilor cu care s-au încheiat contracte de drept civil

Da, în general este necesar, în același mod ca și în cazul angajaților obișnuiți.

Prelucrarea datelor cu caracter personal este posibilă numai cu acordul scris al subiectului datelor cu caracter personal, cu excepția anumitor cazuri în care o astfel de prelucrare este posibilă fără acordul acestuia (). În acest caz, subiecții datelor cu caracter personal pot fi atât angajații care lucrează în baza unui contract de muncă, cât și cetățenii cu care organizația a încheiat contracte de drept civil.

Astfel, organizația în cazul general trebuie să obțină consimțământul pentru prelucrarea datelor cu caracter personal, inclusiv cetățenii cu care s-au încheiat contracte de drept civil, pentru a exclude orice dispute privind transferul neautorizat de date în afara valabilității termenilor contractului de drept civil. .

Refuzul contractantului de a da un astfel de acord nu constituie un obstacol în calea încheierii unui contract civil.

Prelucrarea datelor fără consimțământ

În ce cazuri nu este necesar acordul angajatului pentru transferul datelor cu caracter personal

În unele cazuri, prelucrarea datelor cu caracter personal este posibilă fără acordul angajatului. De exemplu, dacă prelucrarea datelor cu caracter personal este necesară pentru îndeplinirea unui contract încheiat cu un angajat sau pentru atingerea scopurilor prevăzute de lege pentru implementarea și îndeplinirea funcțiilor, atribuțiilor și atribuțiilor impuse de legislația Rusiei privind operator, poate fi efectuată fără acordul angajatului - subiect al datelor cu caracter personal. Acest lucru este prevăzut în Legea din 27 iulie 2006 nr. 152-FZ.

Astfel de cazuri includ transferul de informații către:

• Fondul de pensii al Federației Ruse ();
• autoritățile fiscale ();
• comisariate militare ();
• alte autorități, atunci când obligația de a le transmite informații referitoare la datele personale ale unui angajat este atribuită angajatorului prin lege sau este necesară pentru atingerea scopurilor stabilite de lege (de exemplu, instanțe, procurori etc.).

În plus, consimțământul nu este necesar în următoarele cazuri:

• obligația de prelucrare este prevăzută de lege, inclusiv publicarea și plasarea datelor personale ale angajaților pe internet (de exemplu, Legea din 21 noiembrie 2011 nr. 323-FZ, Legea din 9 februarie 2009 nr. 8). -FZ și o serie de alte acte);
• prelucrarea datelor cu caracter personal ale rudelor apropiate ale salariatului se realizează în suma prevăzută de cardul personal (conform formularului unificat nr. T-2 sau unui formular elaborat independent), precum și în cazurile de primire a pensiei alimentare, înregistrare a prestațiilor sociale și admiterea în secrete de stat;
• prelucrarea informațiilor despre starea de sănătate a unui angajat se referă la problema posibilității de a-și îndeplini funcția de serviciu;
• prelucrarea datelor este asociată cu îndeplinirea atribuțiilor oficiale ale salariatului, inclusiv pe perioada detașării acestuia;
• prelucrarea datelor cu caracter personal se realizează la implementarea controlului accesului pe teritoriul clădirilor de birouri și sediilor angajatorului, cu condiția ca organizarea controlului accesului să fie efectuată de către angajator în mod independent.

Dacă documentul local oferă opțiuni pentru decontări cu angajații sau chiar și acest moment nu este deloc precizat, atunci angajații au dreptul de a decide în mod independent dacă își primesc salariile prin casierie sau pe un card bancar. Și dacă angajatorul decide să transfere salariile tuturor angajaților pe carduri bancare, atunci fiecărui angajat i se va cere consimțământul pentru prelucrarea datelor cu caracter personal și transferul acestora către o terță parte - o bancă. Într-o astfel de situație, angajații au dreptul de a refuza consimțământul, iar angajatorul, în lipsa unui astfel de consimțământ, nu va putea continua prelucrarea datelor și transfera băncii informații despre acei angajați care au refuzat.

Mai multe despre subiect: Trebuie să obțin din nou consimțământul angajaților pentru prelucrarea datelor cu caracter personal atunci când schimb o bancă pentru a transfera salariile.

O intrebare din practica: dacă este necesară reobținerea consimțământului angajaților pentru prelucrarea datelor cu caracter personal la schimbarea băncii pentru a transfera salariile

Nu, nu este necesar, cu condiția ca banca specifică căreia i-au fost furnizate datele nu a fost indicată în acordurile deja existente. Dacă acordul anterior a fost întocmit pentru o anumită bancă, atunci angajatorul va trebui să obțină un nou consimțământ conform regulilor generale ().

În plus, nu este necesar să obțineți consimțământul dacă documentele locale ale organizației prevăd plata salariilor pe carduri bancare, iar angajatul a fost familiarizat cu aceste documente în timpul admiterii sau în timpul procesului de muncă (partea 2 a articolului 9 din Legea din 27 iulie 2006 Nr. 152- FZ). Vezi detalii.

Notificare Roskomnadzor

Cum se anunță autoritatea de supraveghere despre începerea prelucrării datelor cu caracter personal ale angajaților

Înainte de a începe prelucrarea datelor cu caracter personal ale angajaților, angajatorul trebuie să notifice autorității teritoriale Roskomnadzor intenția sa de a le prelucra. Se face o excepție pentru prelucrarea datelor cu caracter personal:

• prelucrate in conformitate cu legislatia muncii;
• pus la dispoziția publicului de către angajați;

• primite de organizație în legătură cu încheierea unui acord la care angajatul este parte (cu condiția ca datele cu caracter personal să nu fie diseminate și să nu fie furnizate unor terți fără acordul angajatului și să fie utilizate de angajator numai pentru executarea contractului specificat și încheierea altor acorduri cu angajatul);
• referitoare la membrii (participanții) unei asociații publice sau organizații religioase;
• incluzând numai numele de familie, numele și patronimele angajaților;
• necesar în scopul trecerii unice a unui angajat pe teritoriul angajatorului și în alte scopuri similare;
• incluse în sistemele informaționale de date cu caracter personal, care, în conformitate cu legile federale, au statut de sisteme informatice automatizate de stat, precum și în sistemele informaționale de stat de date cu caracter personal create pentru a proteja securitatea statului și ordinea publică;
• prelucrate fără utilizarea instrumentelor de automatizare în conformitate cu actele legislative care stabilesc cerințe pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora și pentru respectarea drepturilor subiecților datelor cu caracter personal;
• prelucrate în cazurile prevăzute de legislația Rusiei privind siguranța transporturilor.

În cazul încetării prelucrării datelor cu caracter personal, angajatorul este, de asemenea, obligat să notifice acest lucru organului abilitat. Acest lucru trebuie făcut în termen de zece zile lucrătoare de la data încetării prelucrării datelor. Formularul tip de notificare a încetării prelucrării datelor nu a fost aprobat, prin urmare angajatorul îl poate întocmi sub orice formă ().

O intrebare din practica: ceea ce ar trebui înțeles ca fiind prelucrarea datelor cu caracter personal ale unui angajat

Protecția informațiilor personale

Cum se organizează protecția datelor cu caracter personal ale angajaților dintr-o organizație

Pentru a preveni dezvăluirea datelor cu caracter personal, creați un sistem de încredere pentru protecția acestora. Procedura de primire, prelucrare, transfer și stocare a acestor informații este stabilită în actul local al organizației, de exemplu, în (Art., Codul Muncii al Federației Ruse,). Poziția este aprobată de șeful organizației. Introduceți-l angajaților organizației sub semnătură, așa cum se precizează în partea 1 a articolului 86 din Codul Muncii al Federației Ruse.

De asemenea, organizația trebuie să numească o persoană responsabilă pentru lucrul cu datele personale (partea 5 a articolului 88 din Codul Muncii al Federației Ruse). De regulă, un astfel de angajat este un angajat al serviciului de personal, deoarece acesta este cel care, în timpul activității sale, întâlnește cel mai adesea datele personale ale angajaților. Persoana responsabilă cu lucrul cu datele personale, numește o comandă sub orice formă.

Măsuri specifice pentru asigurarea securității datelor cu caracter personal ale angajaților în timpul prelucrării acestora sunt prevăzute în Legea din 27 iulie 2006 nr. 152-FZ și Cerințele aprobate. Pe baza acestora, organizația își poate dezvolta propriul sistem de protecție a datelor cu caracter personal.

Deci, la prelucrarea datelor cu caracter personal într-un sistem informatic, este necesar să se asigure protecția și securitatea datelor cu caracter personal. În același timp, o amenințare la adresa securității datelor cu caracter personal este un set de condiții și factori care creează pericolul accesului neautorizat (inclusiv accidental) la datele cu caracter personal în timpul prelucrării acestora în sistem, ceea ce poate duce la:

• distrugere;
• schimbarea;
• blocare;
• copierea;
• dispoziţie;
• Răspândire;
• alte acțiuni ilegale cu date personale.

Trebuie remarcat faptul că alegerea mijloacelor specifice de protecție a informațiilor pentru sistemul informatic pentru prelucrarea datelor cu caracter personal este efectuată de angajator în conformitate cu reglementările FSB din Rusia și FSTEC din Rusia. Determinarea tipului de amenințări la adresa securității datelor cu caracter personal care sunt relevante pentru sistemul de prelucrare și protecție a datelor cu caracter personal se face ținând cont de evaluarea posibilelor prejudicii și în conformitate cu reglementările organelor de mai sus (clauza, Cerințe aprobate de Guvernul Federației Ruse din 1 noiembrie 2012 Nr. 1119).

La prelucrarea datelor cu caracter personal in sisteme se pot stabili patru niveluri de securitate, in functie de categoria de date si numarul de angajati, informatii despre care sistemul le contine. În funcție de nivelul de securitate, angajatorul ar trebui să ia diferite măsuri pentru protejarea sistemelor de prelucrare a datelor cu caracter personal prevăzute la clauzele 13-16 din Cerințe aprobate prin Hotărârea Guvernului RF din 1 noiembrie 2012 nr. 1119. De exemplu, instituirea unui regim de asigurare a securității sediului în care se află datele cu caracter personal, desemnarea persoanelor responsabile cu asigurarea securității datelor cu caracter personal în sistemul informațional etc și măsuri tehnice aprobate prin ordin al FSTEC. al Rusiei din 18 februarie 2013 Nr. 21.

Pentru controlul securității datelor cu caracter personal în timpul prelucrării acestora, angajatorul sau persoana împuternicită a acestuia, cel puțin o dată la trei ani, efectuează verificări de control, ale căror termeni specifici îi determină de către angajator în mod independent. Dacă este necesar, este posibil să se implice organizații sau întreprinzători individuali autorizați să desfășoare activități pentru protecția tehnică a informațiilor confidențiale pentru a efectua un audit pe bază contractuală (clauza 17 din cerințele aprobate prin Decretul Guvernului Federației Ruse din noiembrie 1, 2012 Nr. 1119).

Reglementarea datelor cu caracter personal

O intrebare din practica: este Regulamentul privind lucrul cu datele personale ale angajaților un document obligatoriu

Da, este.

Procedura de stocare, prelucrare și utilizare a datelor cu caracter personal ale angajaților este stabilită de angajator, ținând cont de cerințele Codului Muncii al Federației Ruse și ale altor legi federale (). Aceasta înseamnă că angajatorul trebuie să stabilească în mod independent procedura pentru o astfel de prelucrare și să o stabilească într-un act de reglementare local, în special, Regulamentul privind lucrul cu datele personale ale angajaților. La angajare, toți angajații organizației trebuie să fie familiarizați cu regulamentele sub semnătura lor (partea 3 a articolului 68 din Codul Muncii al Federației Ruse).

Pe baza celor de mai sus, rezultă că Regulamentul privind munca cu date personale este un document obligatoriu al organizației, iar absența acestuia atrage răspundere administrativă (). Acest lucru este indicat și de către instanțe (a se vedea, de exemplu, rezoluția Serviciului Federal Antimonopol al Districtului Moscova din 26 octombrie 2006 Nr. KA-A40 / 10220-06).

Un exemplu de întocmire a Regulamentului privind lucrul cu datele personale ale angajaților

Șeful organizației a aprobat Regulamentul privind lucrul cu datele personale ale angajaților.

Nu există servicii de personal în organizație. Contabilul organizației, V.N. Zaitsev.

O intrebare din practica: cum să protejați informațiile personale într-o bază de date computerizată

Pentru a preveni accesul neautorizat la informațiile personale aflate într-o bază de date computerizată, în Regulament, se stabilește procedura de protecție a acestor informații. Cu cât riscul accesului neautorizat la datele personale este mai mare, cu atât trebuie luate mai multe măsuri pentru a proteja astfel de informații. De exemplu, o organizație poate introduce un sistem de parole individuale care se vor schimba la intervale regulate, restricționează accesul angajaților la computerele care stochează date personale, stochează discuri și dischete cu astfel de informații în dulapuri.

Prelucrarea datelor cu caracter personal în sistemul informațional trebuie să fie efectuată în conformitate cu prevederile clauzelor 8-16 din Cerințe aprobate prin Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119.

Organizația poate asigura protecția datelor cu caracter personal atât în ​​mod independent, cât și cu implicarea unor organizații terțe autorizate să desfășoare activități de protejare a informațiilor confidențiale. Astfel de clarificări sunt date în clauza 17 din Cerințe aprobate prin Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119.

O intrebare din practica: Este posibil ca angajaților care nu lucrează în serviciul de personal să li se acorde dreptul de acces la datele personale ale altor angajați?

Da, puteți, dacă accesul la astfel de informații este necesar pentru ca angajații să îndeplinească anumite funcții de muncă.

Doar persoanele special autorizate care au nevoie de un astfel de acces pentru a îndeplini anumite funcții pot avea acces la datele personale ale angajaților. Acest lucru este menționat în Codul Muncii al Federației Ruse.

De regulă, din cauza specificului activității, accesul la datele personale ale angajaților ar trebui să aibă:

• personal de serviciu;
• personal contabil;
• directorul general și, după caz, adjuncții săi;
• şefii de departamente şi supraveghetorii imediati.

În același timp, fiecărei categorii de angajați specificate i se atribuie propriul nivel de acces. Deci, de exemplu, angajaților contabili li se poate da acces la datele de adresă ale angajaților și starea lor civilă, șefii de departamente - în ceea ce privește informațiile personale exclusiv pentru subordonații lor.

Nivelurile de acces ale anumitor persoane, precum și procedura specifică pentru transferul datelor cu caracter personal ale angajaților din cadrul organizației, ar trebui precizate în documentele locale ale acesteia, de exemplu, în Regulamentul privind protecția datelor cu caracter personal ale angajaților (paragraful 5 din articolul 88 din Codul Muncii al Federației Ruse). Persoanele autorizate trebuie să fie familiarizate cu prevederile documentului și avertizate cu privire la drepturile și obligațiile lor, precum și responsabilitatea pentru utilizarea necorespunzătoare a informațiilor ().

Sfat: condițiile de plasare a datelor cu caracter personal ale angajaților pe site-ul corporativ sunt cuprinse în Regulamentul privind munca cu date cu caracter personal. În același timp, faceți o cerere la acesta, în care să indicați o listă a angajaților care sunt de acord (sau nu sunt de acord) cu plasarea datelor cu caracter personal. Astfel, cerința va fi îndeplinită, iar organizația va putea plasa pe site-ul corporativ datele personale ale angajaților care sunt de acord cu o astfel de plasare.

Pentru a asigura drepturile angajaților săi, organizația și reprezentanții săi, atunci când prelucrează datele cu caracter personal, trebuie să respecte cerințele reglementate de Codul Muncii al Federației Ruse. Persoanele vinovate de încălcarea normelor care reglementează protecția datelor cu caracter personal sunt trase la răspundere administrativă și penală (). Sau pot fi concediați cu mențiunea „pentru dezvăluirea datelor cu caracter personal ale altui angajat în baza paragrafului „c” al paragrafului 6 din partea 1 a articolului 81 din Codul Muncii al Federației Ruse”.

O intrebare din practica: dacă șeful unității structurale are dreptul să ceară de la departamentul de contabilitate să furnizeze informații lunare cu privire la salariile acumulate ale angajaților din subordinea acestuia

Informațiile despre sumele acumulate angajaților se referă la date personale (clauza 1 al articolului 3 din Legea din 27 iulie 2006 nr. 152-FZ). Managerul imediat le poate solicita dacă în actul de reglementare local este stabilită admiterea corespunzătoare și se obține acordul salariatului pentru prelucrarea datelor sale personale.

Totodată, informațiile privind salariile și indemnizațiile angajaților conțin tabelul de personal. Tabelul de personal este un document local al organizației și nu se aplică datelor cu caracter personal. Șeful unității structurale, dacă este cazul, se poate referi la acest document, dacă este prevăzut de fișa postului șefului sau de un act local al organizației. Acest lucru îi va permite să obțină informațiile necesare fără a contacta departamentul de contabilitate.

Refuzul de a prelucra datele

O intrebare din practica: ce trebuie făcut dacă o persoană refuză să-și dea consimțământul pentru prelucrarea datelor sale cu caracter personal

Organizația are dreptul de a continua să prelucreze datele personale ale unei persoane fără consimțământul acesteia, dacă există anumite motive. În același timp, volumul unei astfel de procesări este suficient de mare și permite organizației să desfășoare activități curente fără întreruperi.

În special, angajatorul nu poate solicita consimțământul pentru prelucrarea datelor cu caracter personal de la solicitanți pentru a încheia un contract de muncă și drept civil, pentru a trimite rapoarte personalizate organelor Fondului de pensii al Federației Ruse, rapoarte fiscale la Serviciul Fiscal Federal al Rusiei. , informații despre persoanele care răspund de serviciul militar la comisariatele militare, precum și pentru stocarea documentelor cu date personale, inclusiv contracte de muncă și civile, carduri personale, dosare personale etc. Adică atunci când angajatorul își îndeplinește obligațiile care îi revin de către lege.

Astfel de reguli sunt stabilite în clauzele 2-11 din partea 1 a articolului 6, partea 2 a articolului 10 și partea 2 a articolului 11 din Legea din 27 iulie 2006 nr. 152-FZ.

Pentru a desfășura toate celelalte acțiuni ale organizației, este necesar să obțineți consimțământul persoanei pentru prelucrarea datelor sale personale (partea 4 a articolului 9 din Legea din 27 iulie 2006 nr. 152-FZ).

Atenţie: legislația actuală nu obligă o persoană să își dea consimțământul pentru prelucrarea datelor cu caracter personal, prin urmare, refuzul acestuia nu poate fi considerat o încălcare și un motiv pentru refuzul de a încheia un acord. De asemenea, un angajat cu normă întreagă nu poate fi concediat sau tras la altă răspundere disciplinară pentru refuzul de a furniza consimțământul pentru prelucrarea datelor cu caracter personal.

O intrebare din practica: ce trebuie făcut dacă un angajat refuză să furnizeze datele personale ale membrilor familiei pentru a completa documentele de personal

Anonimizarea datelor cu caracter personal este înțeleasă ca acțiuni în urma cărora devine imposibilă determinarea dreptului de proprietate asupra datelor cu caracter personal unei anumite persoane fără a utiliza informații suplimentare ().

Dacă este necesară depersonalizarea datelor cu caracter personal, șefii organizațiilor aprobă:

• reguli de lucru cu date anonimizate;
• o listă a posturilor de angajați responsabili cu realizarea măsurilor de depersonalizare a datelor cu caracter personal prelucrate.

Astfel de reguli sunt stipulate în paragraful „b” al paragrafului 1 din lista aprobată prin decretul Guvernului Federației Ruse din 21 martie 2012 nr. 211.

Cerințele și metodele specifice de depersonalizare a datelor cu caracter personal prelucrate în sistemele informaționale sunt stabilite în Cerințele și metodele aprobate prin ordinul Roskomnadzor din 5 septembrie 2013 nr. 996.

Principala cerință pentru anonimizarea datelor cu caracter personal este asigurarea nu numai a protecției împotriva utilizării neautorizate, ci și a posibilității prelucrării acestora. Pentru aceasta, datele anonimizate trebuie să aibă proprietăți care păstrează principalele caracteristici ale datelor personale anonimizate. Aceste proprietăți includ, în special:

• completitudine, adică păstrarea tuturor informațiilor despre anumite persoane sau grupuri de oameni care erau disponibile înainte de depersonalizare;
• structurarea, adică păstrarea legăturilor structurale între datele impersonale ale unei anumite persoane sau ale unui grup de persoane care existau înainte de anonimizare;
• aplicabilitate, adică capacitatea de a rezolva problemele de prelucrare a datelor cu caracter personal fără a depersonaliza mai întâi întregul volum de înregistrări despre persoane;
• anonimatul, adică imposibilitatea identificării fără ambiguitate a persoanelor vizate obținute ca urmare a anonimizării, fără utilizarea unor informații suplimentare.

Principalele cerințe pentru metodele de anonimizare a datelor cu caracter personal sunt:

• asigurarea proprietăților necesare datelor anonimizate;
• respectarea cerințelor pentru caracteristicile metodelor;
• implementarea metodelor în diverse programe;
• rezolvarea sarcinilor atribuite de prelucrare a datelor cu caracter personal.

Cele mai promițătoare și mai convenabile pentru aplicare practică includ următoarele metode de depersonalizare:

• metoda de introducere a identificatorilor, adică înlocuirea unei părți din informațiile datelor cu caracter personal cu identificatori cu crearea unui tabel de corespondență a identificatorilor cu datele originale;
• o metodă de modificare a compoziției sau semanticii, adică modificarea compoziției sau semanticii datelor cu caracter personal prin înlocuirea rezultatelor prelucrării statistice, generalizarea sau ștergerea unei părți a informațiilor;
• metoda de descompunere, adică împărțirea unei serii de date personale în mai multe părți cu stocare separată ulterioară;
• metoda de amestecare, adică rearanjarea înregistrărilor individuale, precum și a grupurilor de înregistrări din gama de date personale.

Pentru a lucra în siguranță cu datele personale ale angajaților, organizațiile comerciale au și dreptul, dar nu sunt obligate să se angajeze în depersonalizare (clauza 3 a articolului 3 din Legea din 27 iulie 2006 nr. 152-FZ). Dacă o organizație decide să depersonalizeze datele personale, atunci o metodă specifică de depersonalizare trebuie să fie consacrată într-un act local, de exemplu, în Regulamentul privind lucrul cu datele personale ale angajaților (art., Codul Muncii al Federației Ruse).

Verificarea conformității cu cerințele pentru prelucrarea datelor cu caracter personal

Cum se efectuează verificările conformității cu cerințele de prelucrare a datelor cu caracter personal?

Roskomnadzor efectuează inspecții ale angajatorului cu privire la prelucrarea datelor cu caracter personal. Prin ordinul Ministerului Telecomunicațiilor și Comunicațiilor de Masă al Federației Ruse nr. 312 din 14 noiembrie 2011, au fost aprobate Reglementările administrative pentru executarea funcțiilor de control (supraveghere) de stat de către acest serviciu.

Subiectul controlului asupra activităților angajatorului în prelucrarea datelor cu caracter personal sunt:

• documente, natura informațiilor în care sugerează sau permite includerea datelor cu caracter personal;
• sisteme de informare a datelor cu caracter personal;
• activitati de prelucrare.

Roskomnadzor efectuează atât inspecții programate, cât și neprogramate sub formă de inspecții documentare sau la fața locului (Legea din 26 decembrie 2008 nr. 294-FZ). Drepturile și obligațiile funcționarilor Roskomnadzor în timpul inspecțiilor sunt determinate, respectiv, de clauze și Reglementări administrative aprobate prin ordin al Ministerului Telecomunicațiilor și Comunicațiilor de Masă al Rusiei din 14 noiembrie 2011 Nr. 312.

Termenele de verificare a activităților angajatorului în prelucrarea datelor cu caracter personal atât în ​​timpul controalelor programate, cât și a celor neprogramate nu pot depăși 20 de zile lucrătoare. În același timp, pentru întreprinderile mici, perioada totală a inspecțiilor programate la fața locului nu poate depăși pe an:

• 50 de ore - pentru o afacere mică;
• 15 ore - pentru o micro-întreprindere.

În cazuri excepționale, perioada pentru efectuarea unei inspecții programate la fața locului poate fi prelungită, dar cu cel mult 20 de zile lucrătoare, iar pentru întreprinderile mici și microîntreprinderi - cu cel mult 15 ore. Acest lucru este posibil dacă, în timpul inspecției, devine necesar să se efectueze:

• cercetări complexe și îndelungate, teste;
• examinări și investigații speciale.

Doar acei angajați care și-au asumat obligații de a respecta regulile de lucru cu datele cu caracter personal și le-au încălcat pot fi aduși la răspundere disciplinară (). Răspunderea poate apărea dacă, din cauza încălcării regulilor de lucru cu datele cu caracter personal ale organizației, se produce un prejudiciu real direct ().

Pentru încălcarea procedurii de colectare, stocare, utilizare sau distribuire a datelor cu caracter personal, organizația și oficialii acesteia vor fi amendați. În cadrul unei inspecții, Roskomnadzor poate detecta mai multe încălcări diferite. Apoi va percepe mai multe amenzi deodată.

Valoarea amenzilor depinde de tipul infracțiunii comise. Astfel, funcționarii pot fi amendați în valoare de 3.000 până la 20.000 de ruble, întreprinzătorii individuali - în valoare de 5.000 până la 20.000 de ruble, o organizație - în valoare de 15.000 până la 75.000 de ruble. Pentru mai multe informații despre sancțiunile pentru încălcarea datelor cu caracter personal, consultați tabelul.

Astfel de măsuri de responsabilitate sunt prevăzute de articole și de Codul Federației Ruse privind contravențiile administrative.

Răspunderea penală a conducătorului organizației (o altă persoană responsabilă pentru lucrul cu datele personale) poate apărea pentru ilegale:

• colectarea sau difuzarea de informații despre viața privată a unui angajat, care constituie secretul său personal sau de familie, fără acordul acestuia;
• diseminarea acestor informații într-un discurs public, lucrări afișate public sau mass-media.

Pentru aceste încălcări sunt avute în vedere următoarele măsuri de răspundere:

• o amendă de până la 200.000 de ruble. (sau în cuantumul veniturilor persoanei condamnate pe o perioadă de până la 18 luni);
• muncă obligatorie de până la 360 de ore;
• munca corecțională de până la un an;
• munca forțată de până la doi ani cu sau fără privarea de dreptul de a ocupa anumite funcții sau de a se angaja în anumite activități timp de până la trei ani;
• arestare până la patru luni;
• închisoare de până la doi ani cu privarea de dreptul de a ocupa anumite funcții sau de a exercita anumite activități până la trei ani.

În acest caz, aceleași fapte săvârșite de o persoană care își folosește funcția oficială se pedepsesc:

• o amendă în valoare de la 100.000 la 300.000 de ruble. (sau în cuantumul veniturilor persoanei condamnate pe o perioadă de la unu la doi ani);
• privarea de dreptul de a ocupa anumite funcții sau de a se angaja în anumite activități pe o perioadă de doi până la cinci ani;
• munca forțată de până la patru ani, cu sau fără privarea de dreptul de a ocupa anumite funcții sau de a exercita anumite activități până la cinci ani;
• arestare pe un termen de la patru până la șase luni;
• închisoare de până la patru ani cu privarea de dreptul de a ocupa anumite funcții sau de a exercita anumite activități până la cinci ani.

O intrebare din practica: Este posibil să se prevadă o condiție privind nedivulgarea informațiilor confidențiale în contractele de muncă ale angajaților

Da, poti.

Dar numai în raport cu acei angajați care lucrează direct cu date personale: ofițeri de personal, directori de personal, secretari (). În acest caz, atunci când aplicați pentru un loc de muncă, familiarizați angajatul cu Regulamentul privind lucrul cu datele personale.

O intrebare din practica: este posibil să se comunice prin telefon informații despre munca angajatului în organizație către reprezentanții altor companii, de exemplu bănci

Da, puteți, dar numai cu acordul scris al angajatului însuși.

Prin date cu caracter personal se înțelege orice informație directă sau indirectă legată de o anumită persoană (subiectul datelor cu caracter personal) (partea 1 a articolului 3 din Legea din 27 iulie 2006 nr. 152-FZ). În același timp, lista datelor cu caracter personal nu este exhaustivă, adică orice informație referitoare la o anumită persoană este datele sale personale. Astfel, locul de muncă și însuși fapta muncii solicitate unei organizații, de exemplu, de către o instituție de credit pentru a confirma faptul muncii sau de un potențial angajator despre un fost angajat, sunt date personale. Prin urmare, este posibil să transferați date despre un angajat către alte organizații numai în conformitate cu cerințele generale pentru prelucrarea datelor cu caracter personal, adică numai cu acordul angajatului însuși (clauza 3 a părții 1 a articolului 86 din Codul Muncii al Federației Ruse).

Astfel, este posibilă furnizarea telefonică a unor persoane neidentificate, inclusiv a celor care reprezintă specialiștii băncii, cu privire la faptul muncii angajaților, dar numai cu acordul scris al angajatului însuși, indiferent dacă acesta continuă să lucreze în organizație. sau a renunțat deja.

O intrebare din practica: Este obligat angajatorul, la cererea serviciului executorului judecatoresc, sa raporteze faptul de lucru in organizatia salariatului-debitor?

Faptul de muncă în organizație se referă la datele personale ale angajatului. Executorul judecătoresc care conduce procedura de executare are dreptul de a solicita organizației informații despre angajații în privința cărora s-au pronunțat hotărâri judecătorești de plată a pensiei de întreținere sau alte tipuri de plăți acordate, inclusiv informații referitoare la datele cu caracter personal. Angajatorul nu poate ignora această solicitare. Astfel de reguli sunt stabilite prin Legea din 2 octombrie 2007 nr. 229-FZ.

În acest caz, angajatorul are dreptul de a raporta faptul de a lucra în organizația salariatului-debitor fără acordul acestuia de a transfera date cu caracter personal către terți, întrucât în ​​acest caz prelucrarea datelor cu caracter personal este necesară pentru administrarea justiției. , executarea unui act judiciar supus executării în conformitate cu legislația Rusiei privind procedurile de executare (Clauza 3, Partea 1, Articolul 6, Clauza 6., Partea 2, Articolul 10, Partea 2, Articolul 11 ​​din Legea din iulie 27, 2006 Nr. 152-FZ).

Astfel, angajatorul este obligat să răspundă solicitării serviciului executorului judecătoresc despre faptul muncii salariatului debitor. Obțineți acordul angajatului de pe bandă

Margarita Orlova răspunde:

Șeful Departamentului pentru Administrarea Primelor de Asigurare al FSS din Rusia

„Pentru a confirma tipul principal de activitate pentru o subdiviziune separată, care plătește contribuții pe cont propriu, depuneți aceleași documente ca și pentru organizație în ansamblu. Singura diferență este că în ele se reflectă informațiile doar pentru unitate și o depun la departamentul FSS de la locul de înregistrare a unei astfel de unități. Cum să plătiți contribuțiile până când primiți o notificare de la FSS despre tariful pentru anul în curs - veți afla în recomandare."

Care s-a dovedit a fi cel mai important atât în ​​contabilitate, cât și atunci când se iau în considerare cererile de împrumut etc.

Dar ce este și cine mai are dreptul de a prelucra astfel de informații, și cine nu, este rar menționat, chiar și cu reticență.

Ca urmare, uneori este dificil de înțeles cine este operatorul datelor cu caracter personal.

- această informație despre o persoană, care o caracterizează ca persoană anume, nu este generalizată, nu poate fi aplicată unui grup de persoane. În cele mai multe cazuri, vorbim despre nume, prenume, patronim, data nașterii, adresa unde este înregistrată și locuiește o persoană, starea civilă etc.

Conceptul de date cu caracter personal a fost introdus în afaceri după adoptarea în 2006 a „On Personal Data”. În același loc, a fost introdusă diferențierea informațiilor într-un număr de categorii, care vă permit să determinați nivelurile permisiunii de prelucrare pentru diverse situații.

1. Informații despre rasă și naționalitate, credințe religioase, starea de sănătate și detalii despre viața intimă a unui cetățean.
2. Informații care permit, pe lângă identificarea unui cetățean, și obținerea diverselor informații despre acesta, de exemplu, un număr de telefon, locul de reședință etc.
3. Informații care fac o persoană să iasă în evidență față de ceilalți - nume de familie, prenume și data completă a nașterii.
4. Informațiile disponibile publicului, de regulă, sunt impersonale, dar uneori cele care sunt obligate să fie publice prin lege, de exemplu, veniturile funcționarilor guvernamentali. O categorie separată include acele date pentru care cetățeanul însuși a fost de acord, de exemplu, adresa și numărul de telefon în serviciul de informare 09.

În general, Legea „Cu privire la Datele cu Caracter Personal” are scopul de a asigura dreptul fiecărui cetățean la confidențialitate și protecție în cazul unor încălcări. Pe baza clasificării de mai sus, există diverse cerințe pentru a asigura siguranța informațiilor. Pentru prima categorie, cerințele sunt mai stricte decât pentru toți ceilalți.

Cine este operatorul datelor cu caracter personal

Operatorul de date cu caracter personal este o entitate juridică care, în virtutea activităților sale, este angajată în informații despre clienții și angajații actuali și potențiali. În acest caz, dimensiunea organizației nu contează, precum și forma proprietății acesteia.

În practică, un operator este orice organizație care a angajat forță de muncă. La urma urmei, angajarea este imposibilă fără a completa un chestionar cu o listă destul de detaliată de informații despre tine, precum și a depune documente personale și se fac copii ale tuturor, informațiile sunt introduse în programele de contabilitate etc.

Principala cerință a legislației Federației Ruse pentru operatori este asigurarea siguranței datelor pe care organizația le-a primit în cursul activităților sale.

Normele conform cărora se asigură protecția sunt stabilite în legea menționată anterior, putând fi precizate și prin acte normative, așa-numitele autorități de reglementare.

Există o anumită procedură care reglementează cazurile în care o organizație obține dreptul de a lucra cu date personale fără notificare în:

• dacă societatea prelucrează numai informațiile necesare pentru raportul de muncă;
• când sunt prelucrate date cu caracter public;
• dacă se prelucrează numai numele, numele, patronimul;
• când sunt folosite o singură dată, de exemplu, pentru a emite un permis;
• dacă tehnologia informatică nu este utilizată pentru prelucrare.

Toate celelalte organizații sunt obligate să se înregistreze, drept urmare primesc un număr unic de înregistrare, sub care sunt înscrise într-un registru special.

Acesta poate oricând să clarifice dacă o anumită entitate juridică are dreptul de a solicita sau de a stoca date cu caracter personal.

De exemplu, astfel de întrebări apar adesea în legătură cu instituțiile de credit, operatorii de telefonie mobilă etc.

Prin urmare, se obișnuiește să se numească „operatorul de prelucrare a datelor cu caracter personal” organizații care, în virtutea activităților lor profesionale, colectează și prelucrează nu numai informații disponibile publicului, ci și cum ar fi seria, numărul pașaportului, adresa de reședință etc.

Obținerea dreptului de prelucrare a datelor cu caracter personal

Pentru a asigura siguranța stocării și transferului datelor cu caracter personal, este prevăzută o procedură de atestare și obținere a unei licențe pentru organizațiile implicate în colectarea și stocarea acestor informații.

Pentru a obține o licență, o întreprindere trebuie nu numai să pregătească angajații, ci și să dobândească mijloace tehnice de protecție.

Procedura constă din mai multe etape, dintre care cele mai importante pot fi identificate.

• notifică autorităților relevante intenția de a prelucra datele prin mijloace (calculatoare);
• se supune unei examinări preliminare a sistemelor informaționale disponibile;
• proiectarea unui sistem de protecție ținând cont de infrastructura tehnologiei informatice și a altor echipamente de automatizare;
• achiziționarea și implementarea mijloacelor de protecție;
• aduce toate incintele în conformitate cu cerințele de securitate la incendiu, securitate, alimentare etc.
• să desfășoare dezvoltarea profesională a angajaților în domeniul protecției datelor cu caracter personal și certificării acestora.

Ca urmare, este posibilă garantarea disponibilității unui sistem eficient de protecție a informațiilor în timpul transmiterii și transmiterii acestora prin liniile de comunicație.

Trebuie menționat că toate acțiunile descrise mai sus pot fi aplicate doar prelucrării datelor cu caracter personal în formă electronică, care este potențial nesigură pentru informațiile stocate sau transmise.

Verificarea activităților operatorilor de date cu caracter personal

Activitatea tuturor operatorilor de date cu caracter personal nu este reglementată doar prin acte legislative, ci este supusă și verificărilor periodice, atât planificate, cât și selective, de exemplu, la cererea cetățenilor afectați de activitățile lor.

Multe agenții de supraveghere și de aplicare a legii ar trebui să fie implicate în monitorizarea respectării legii privind protecția datelor cu caracter personal, dar datorită specificului muncii, doar trei dintre ele ies în evidență (se numesc autorități de reglementare):

• Roskomnadzor - funcțiile sale includ verificarea respectării oricăror cerințe de reglementare ale legislației, precum și efectuarea de inspecții;
• FSTEC (Serviciul Federal de Control Tehnic și Export) - sarcinile sale includ, în primul rând, protecția datelor aflate în computerele organizației în sine și a canalelor de transmitere a acestora atunci când sunt stocate și transmise fără criptare;
• FSB (Serviciul Federal de Securitate) - controlează utilizarea instrumentelor de criptare pentru procesarea și transferul informațiilor personale, inclusiv dezvoltarea și distribuirea.

Puteți verifica pe cont propriu atitudinea unei anumite organizații față de operatorii de informații personale.

Site-ul Roskomnadzor are acces la registrul operatorilor care prelucrează date cu caracter personal, acesta este disponibil la acest link.

Pentru vizualizarea informatiilor este suficient sa introduceti in campul corespunzator numele sau numarul de inregistrare al societatii de interes, sau numarul de identificare a contribuabilului (TIN).

Astfel puteți afla dacă datele au fost solicitate legal sau nu. Dacă organizația nu este pe listă, atunci poate că Roskomnadzor ar trebui să aibă grijă de acest lucru și fie să o includă în registru, fie să interzică colectarea ilegală de informații despre cetățeni.

Verificarea operatorilor de date cu caracter personal se realizează fie la cererea cetățenilor, fie la inițiativa, de exemplu, a parchetului, care se poate aplica la Roskomnadzor ca parte a unui audit al activităților organizației.

Responsabilitatea este asigurată pentru încălcările în prelucrarea informațiilor cetățenilor. În funcție de gravitatea faptelor săvârșite, pot exista pedepse administrative, disciplinare sau penale.

În general, înainte de a acorda permisiunea de prelucrare a datelor cu caracter personal într-un credit sau altă organizație care solicită un astfel de drept, este mai bine să vă asigurați mai întâi că este înregistrat ca operator, ceea ce înseamnă că are totul pentru stocarea lui în siguranță.

Acest lucru se poate aplica în special întreprinderilor mici, cum ar fi cele care oferă împrumuturi mici.

Desigur, fără un astfel de consimțământ, astfel de organizații refuză de obicei să furnizeze servicii, dar nu este nimic în neregulă cu asta, deoarece nu este nimic rău în asta. concurența este acerbă și poți găsi întotdeauna o altă opțiune potrivită.

Legea cu privire la datele cu caracter personal nr.152-FZ din 27 iulie 2006 obligă toți cei care prelucrează date cu caracter personal să se înregistreze într-un registru special. Ce fel de registru este acesta, pentru cine este obligatorie includerea în acesta și cum are loc procedura de înregistrare - despre asta este vorba în articolul nostru.

Cine este operatorul datelor cu caracter personal

Legea nr. 152-FZ se referă la operatori ca organe de stat, organizații și persoane fizice care colectează date cu caracter personal și, de asemenea, determină în mod independent scopurile colectării, componența informațiilor și acțiunile efectuate cu acestea (articolul 3 din Legea nr. 152-FZ). ).

Mai simplu spus, operatorul de date cu caracter personal este cel care folosește datele personale ale cetățenilor pentru relații de muncă și alte relații. Sarcina lor principală este de a păstra confidențialitatea datelor cu caracter personal primite, de ex. interdicția de a transfera date către terți și de a le distribui fără acordul persoanei în sine, cu excepția cazului în care aceste date sunt impersonale.

Registrul operatorilor de date cu caracter personal al Roskomnadzor

Înainte de a începe prelucrarea datelor cu caracter personal, operatorul este obligat să notifice organul de stat abilitat să țină registrul operatorilor de date cu caracter personal - Roskomnadzor (partea 1 a articolului 22 din Legea nr. 152-FZ). Acest serviciu federal supraveghează comunicațiile, comunicațiile de masă și tehnologia informației. Controlul de stat asupra prelucrării datelor cu caracter personal de către operatori, în conformitate cu legea, este efectuat și de Roskomnadzor. În aceste scopuri, efectuează verificări ale operatorilor de date cu caracter personal, în conformitate cu reglementările aprobate prin ordinul Ministerului Telecomunicațiilor și Comunicațiilor de Masă al Federației Ruse din 14.11.2011 Nr. 312.

Vă puteți familiariza cu registrul operatorilor de prelucrare a datelor cu caracter personal pe site-ul oficial al Roskomnadzor, informațiile sale sunt disponibile publicului.

Este suficient să depuneți notificarea o dată pe toată perioada de lucru a operatorului. Totodată, legea conține o listă de excepții atunci când se poate lucra cu date cu caracter personal fără a fi incluse în registrul operatorilor de date cu caracter personal (partea a 2-a a articolului 22 din Legea nr. 152-FZ):

• atunci când operatorii-angajatorii prelucrează numai datele obținute în conformitate cu legislația muncii;
• dacă operatorul a primit date de la contraparte în legătură cu încheierea contractului și nu le folosește în alte scopuri decât executarea contractului;
• atunci când operatorul de date cu caracter personal este o organizație religioasă sau publică care prelucrează datele cu caracter personal ale membrilor săi în scopurile prevăzute de statutul său;
• dacă cetățeanul însuși și-a pus la dispoziție public datele personale;
• dacă datele personale nu includ nimic în afară de numele complet;
• când datele sunt primite pentru înregistrarea unui permis unic;
• la prelucrarea datelor cu caracter personal de către sistemele informatice automatizate de stat;
• dacă datele cu caracter personal sunt prelucrate „pe hârtie”, adică fără utilizarea automatizării;
• atunci când datele sunt folosite pentru a securiza sistemele de transport.

Toți cei care nu sunt enumerați în această listă trebuie să depună o notificare pentru a fi incluse în registrul operatorilor de date cu caracter personal al Roskomnadzor. Mulți antreprenori și organizații individuali ignoră această cerință sau învață despre ea prea târziu. Însă puteți depune o notificare pentru includerea în registru ulterior, indicând în aceasta data reală a începerii prelucrării datelor cu caracter personal, în timp ce nu vor exista penalități pentru întârziere.

Cum se anunță Roskomnadzor

Pentru a trimite o notificare despre prelucrarea datelor cu caracter personal, operatorul de prelucrare a datelor cu caracter personal trebuie să completeze un formular electronic de pe site-ul web Roskomnadzor. Formularul de notificare contine:

• informații despre operatorul însuși (nume, INN, PSRN, adresa locației, telefon, numere de licență etc.);
• temeiul legal și scopurile prelucrării datelor în conformitate cu statutul;
• descrierea măsurilor și mijloacelor de protecție a datelor cu caracter personal;
• data efectivă a începerii prelucrării datelor cu caracter personal de către operator;
• condițiile în care prelucrarea va fi încheiată (de exemplu, la revocarea licenței de funcționare) sau perioada specifică de încetare;
• categoriile de date cu caracter personal care urmează a fi prelucrate (nume, anul nașterii, starea civilă, adresa de domiciliu, profesia, venitul, starea de sănătate etc.), utilizarea datelor biometrice;
• acțiuni cu date personale și modalități de prelucrare a acestora (automatizat sau nu, cu transmitere prin internet sau nu etc.);
• datele persoanei responsabile cu prelucrarea datelor cu caracter personal.

După completarea notificării electronice, operatorul de date cu caracter personal trimite către Roskomnadzor, iar o altă copie este tipărită pe hârtie. Varianta tipărită este semnată de cap și certificată de sigiliu. La acesta trebuie atașat un pachet de documente necesare (Regulamentul privind datele cu caracter personal, un formular de consimțământ pentru prelucrare, un ordin de numire a persoanelor responsabile etc.) și trimis la oficiul teritorial Roskomnadzor prin poștă.

Înregistrarea în registru se face în 30 de zile de la data primirii notificării de către Roskomnadzor. Puteți urmări starea notificării trimise pe același site web.

Dacă Roskomnadzor consideră că informațiile specificate în notificare sunt incomplete sau inexacte, poate solicita clarificări de la operator. În cazul modificării oricăror date, operatorul trebuie să anunțe autoritatea de supraveghere în termen de 10 zile pentru a face ajustări la registru.

Nu toate companiile și antreprenorii individuali știu dacă sunt operatori de date cu caracter personal și dacă trebuie să transfere informații despre ei înșiși către Roskomnadzor. Să ne dăm seama pe cine urmărește serviciul mai îndeaproape și cum să anunțăm cetățenii despre începerea procesării informațiilor personale.

Cine sunt operatorii de date cu caracter personal și ce fac aceștia

Majoritatea oamenilor știu că datele personale (denumite în continuare PD) includ informații despre numele de familie, prenumele și patronimul unui cetățean, informații din pașaportul acestuia, numărul de telefon mobil, adresa de reședință, e-mailul. Ce alte informații puteți include în această listă? Rezultă că orice: o listă exhaustivă nu este prezentată nicăieri și, în principiu, nu poate fi. Acest lucru este confirmat de formularea în Legea federală din 27.07.2006 nr. 152-FZ:

Date personale - orice informație care se referă direct sau indirect la o anumită persoană fizică sau identificabilă (subiectul datelor cu caracter personal).

Se dovedește că în unele cazuri numele de familie, numele și numărul mașinii vor fi suficiente pentru a identifica un cetățean, în timp ce în altele vei avea nevoie și de numărul permisului de conducere și de adresa de înmatriculare a acestuia.

Un operator de date cu caracter personal este un organism de stat sau municipal, persoană juridică sau persoană fizică, care:

• în mod independent sau în comun cu alte persoane organizează și/sau efectuează prelucrarea PD;
• determină scopurile lucrului cu informațiile personale, compoziția acestora, precum și acțiunile (operațiunile) cu acestea.

Adică oricine solicită și folosește PD este operatorul lor. Și toți cei care au acces și prelucrează informații prin care un cetățean poate fi identificat lucrează efectiv cu PD și este responsabil pentru nerespectarea legii privind protecția acestora.

Să ne imaginăm cine poate fi operator PD. Bănci? Da! Site-uri care colectează materiale pentru abonați? Da! Firme juridice și contabile care oferă diverse servicii? Da! Magazine și saloane de înfrumusețare care oferă un card bonus? Din nou, da! Asociații de proprietari, universități, grădinițe, agenții de turism, instituții medicale, sisteme automatizate, inclusiv de stat? Da da da! Operatori de PD - peste tot, în orice domeniu!

Obligațiile operatorului la prelucrarea datelor cu caracter personal

Toți cei care se ocupă de PD sunt obligați să respecte anumite reguli pentru colectarea, asigurarea securității, clarificarea, blocarea și distrugerea acestui tip de informații. Conform Legii nr. 152-FZ, operatorii trebuie:

• efectuează lucrări explicative cu subiectul PD, precum și obține acordul prealabil al acestuia pentru prelucrarea informațiilor personale;
• să prezinte public politica privind prelucrarea PD;
• asigura masuri de protectie impotriva accesului neautorizat sau accidental la PD, distrugerea, modificarea, blocarea, copierea, distribuirea acestora;
• distruge înregistrările dacă subiectul PD dovedește că informația a fost obținută ilegal sau nu este necesară pentru obținerea scopului declarat;
• blocați accesul la informații la solicitarea unui organism autorizat sau a unui subiect PD (reprezentantul acestuia).

Înregistrarea la Roskomnadzor ca operator de date cu caracter personal

Legea prevede că înainte de a începe lucrul cu PD, trebuie să contactați organul de supraveghere autorizat și să anunțați despre începerea activității cu informații personale. Acest lucru nu înseamnă că fiecare companie trebuie să fie inclusă în registrul operatorilor de date cu caracter personal al Roskomnadzor. Această listă nu include organizațiile și persoanele care se ocupă de informații care:

• colectate și depozitate în conformitate cu legislația muncii;
• primit exclusiv pentru furnizarea de servicii de comunicații în temeiul acordului încheiat, nu este distribuit și nu este furnizat terților fără acordul subiectului PD;
• se referă la membrii (participanții) unei asociații obștești sau organizații religioase în vederea realizării scopurilor prevăzute de actele lor constitutive;
• pus la dispoziția publicului de către subiectul PD;
• include doar prenumele, numele și patronimele subiecților PD;
• este obligat să emită o singură trecere pe teritoriul organizației;
• incluse în sistemele cu statut de sisteme informatice automatizate de stat, precum și în sistemele PD de stat create pentru a proteja securitatea și ordinea publică a statului;
• prelucrate fără utilizarea instrumentelor de automatizare (calculator);
• prelucrate pentru a asigura funcționarea în siguranță a complexului de transport.

Ținând cont de astfel de formulări, multe dintre organizații nu mai sunt incluse în registrul operatorilor implicați în prelucrarea datelor cu caracter personal, care este ținut de Roskomnadzor. Adică angajatorii, firmele care prestează servicii de comunicare, organizațiile religioase, persoanele care primesc PD doar pentru executarea contractelor și multe altele nu ar trebui să sesizeze despre colectarea și prelucrarea PD. Cei care nu fac obiectul excepțiilor trebuie să fie pe lista autorității de supraveghere.

Procedura de înregistrare constă în depunerea unei notificări într-o anumită formă. Acesta poate fi găsit prin registrul de date cu caracter personal al Roskomnadzor, portalul serviciilor de stat, sau cu ajutorul Ordinul Ministerului Telecomunicațiilor și Comunicațiilor de Masă al Rusiei din 21.12.2011 N 346... De asemenea, puteți descărca gratuit documentul necesar la sfârșitul acestui articol.

• denumirea completă și prescurtată a companiei cu indicarea formei organizatorice și juridice, precum și a adreselor legale și poștale, TIN;
• scopurile prelucrarii, declarate in actele constitutive sau realizate efectiv;
• categorii de PD care urmează să fie procesate;
• subiecții al căror PD este planificat să fie procesat, inclusiv relațiile cu aceștia, de exemplu, un pasager, împrumutat, abonat, deponent, asigurat;
• baza pe care există dreptul la prelucrare (de exemplu, articolele Din Codul aerian al Federației Ruse sau legea starii civile privind actele de stare civilă), inclusiv disponibilitatea unei licențe pentru tipul de activitate desfășurată;
• o descriere a metodelor utilizate pentru prelucrarea PD și lista acestora: prelucrare neautomatizată, automată sau mixtă;
• informații despre persoanele responsabile cu organizarea prelucrării PD, numerele de telefon ale acestora, adresele poștale, e-mailul;
• informații despre mijloacele de criptare (criptografice);
• data de începere, precum și termenii și condițiile de încetare a procesării PD;
• informații despre locul în care sunt stocate datele în cursul prelucrării lor, inclusiv despre țara în care se află bazele de date cu informații despre datele personale ale cetățenilor Federației Ruse;
• informații privind asigurarea siguranței PD în conformitate cu cerințele stabilite Decretul Guvernului Federației Ruse din 01.11.2012 N 1119.

Rețineți că înregistrarea unui operator de date cu caracter personal pe site-ul web Roskomnadzor se efectuează în termen de 30 de zile. În cazul în care se depune o cerere electronică, societatea va trebui să trimită autorităţii teritoriale o copie suplimentară pe hârtie a notificării. Dacă informațiile nu sunt suficiente, oficialii vor trimite o cerere de clarificare a documentelor depuse. Nu puteți refuza să acceptați notificarea și să introduceți informații despre organizație în registru.

Dacă, din diverse motive, organizația și-a schimbat scopurile procesării PD sau trebuie făcute alte modificări, în termen de 10 zile trimite o scrisoare către Roskomnadzor în forma prescrisă. Documentul poate fi găsit mai jos. În plus, cititorii PPT.ru pot descărca formularul documentului necesar pentru excluderea unei companii din registru.

Toate serviciile prestate de Roskomnadzor în acest caz sunt gratuite.

Răspunderea pentru refuzul înscrierii în registru

Legislația actuală prevede răspunderea administrativă pentru încălcarea cerințelor de protecție a datelor cu caracter personal. Conform Legea federală din 07.02.2017 Nr. 13-FZ, care a intrat în vigoare la 1 iulie 2017, în articolul 13.11 din Codul de infracțiuni administrative al Federației Ruse există mai multe tipuri de infracțiuni pentru care operatorii de date cu caracter personal pot fi amendați. În funcție de infracțiune, amenzile pentru persoanele juridice în temeiul acestui articol variază de la 15 la 75 de mii de ruble, iar pentru antreprenorii individuali - de la 5 la 20 de mii de ruble.

Refuzul de a se înregistra în registru poate fi considerat ca o lipsă de a furniza informații autorității de supraveghere. Pedeapsa pentru aceasta este prevăzută în articolul 19.7 din Codul de infracțiuni administrative al Federației Ruse... Potrivit acestuia, oficialii se confruntă cu o amendă în valoare de 300 până la 500 de ruble, iar cele legale - de la 3.000 la 5.000 de ruble.

De la adoptarea în 2006 a Legii federale „Cu privire la datele cu caracter personal”, unele dintre prevederile și conceptele acesteia sunt încă neclare pentru angajații operatorilor. Ambiguitatea aparentă a formulării devine uneori subiect de speculație pentru cetățenii activi individuali, care și-au stabilit scopul de a dovedi absurditatea sau inconsecvența Legii.

Prin manipularea unor formulări ale Legii (uneori scoase din context), bazându-se pe principiile logicii formale (nu întotdeauna corecte când vine vorba de drept ca știință), modelând posibile coliziuni, unii analiști ajung la concluzii neașteptate și incorecte.

Pericolul acestor concluzii constă în dezorientarea participanților la relațiile juridice informaționale, precum și în faptul că adoptarea unor declarații dubioase împiedică munca operatorilor de a-și aduce activitățile în conformitate cu Legea și creează condiții pentru ca aceștia să încalce. cerinţele Legii.

Numărul de astfel de probleme problematice include definiția operatorului de date cu caracter personal. Un operator este un stat, un organism municipal, o entitate juridică sau o persoană fizică care organizează și (sau) efectuează prelucrarea datelor cu caracter personal, precum și determină scopurile și conținutul prelucrării datelor cu caracter personal (Articolul 3 din Legea federală 152). . Această definiție aparent evidentă și nearbitrară induce uneori în eroare operatorii în practică. Esența acestei concepții greșite este că „persoana care face prelucrarea nu este întotdeauna operatorul”. Motivul amăgirii este în expresia „și, de asemenea”. În acest „precum și” unii văd chiar sâmburele de adevăr care va permite operatorilor individuali să evite obligația de a respecta cerințele Legii federale 152. În mod paradoxal, mulți operatori sunt încă convinși că nu sunt operatori. Pentru a susține această afirmație, sunt date următoarele argumente: necesitatea prelucrării PD este determinată de legea federală (sau „stabilită de organizații de nivel superior”), prin urmare, scopurile prelucrării nu sunt determinate în mod independent sau nu ar trebui să fie determinate de către persoana care efectuează prelucrarea (nu este nevoie sau nu este nicio autoritate pentru a defini scopurile).

Să încercăm să rezolvăm această problemă, a cărei esență constă în întrebarea: determinarea scopului procesării PD - un semn sau o datorie a unui operator?

Deci, există o opinie că operatorul este numai și exclusiv cel care îndeplinește simultan următoarele două criterii:
Această persoană trebuie fie să organizeze, fie să efectueze efectiv prelucrarea PD (sau ambele în același timp);
Această persoană trebuie să stabilească ea însăși scopurile și conținutul prelucrării PD.

Astfel, cerința de a determina scopul prelucrării PD este considerată principala caracteristică a operatorului.

În cursul pregătirii acestui articol, filologii au efectuat o analiză lingvistică a definiției în cauză. Rezultatele analizei sunt prezentate mai jos.

Determinarea scopului nu poate fi funcția principală, deoarece această funcție este numită printre membrii omogene ai propoziției și o închide. Mai mult, acestui membru omogen al pedepsei i se alătură uniunea „de asemenea”, care are un sens alăturat, de exemplu: M-am bucurat liniştit de munca mea, succesul, faima, de asemenea operele şi succesele prietenilor „(P). vezi Valgina NS, Rosenthal D.E., Fomina M.N. Limba rusă modernă.Manual .: M., Logos, 2006.

Gramatica rusă scrie despre același sens (M, 1980, vol. II):

§ 2079. Relaţiile de alăturare se bazează pe alăturare: al doilea membru al seriei are un caracter suplimentar; este adesea semnalată ca o sintagma separată; ordinea membrilor rândului este strict cerută. Relațiile de legătură (cu nuanțe de adăugare sau întărire) sunt exprimate prin uniuni compuse și combinații de unire cu un concretizator: precum și, și, în plus, și mai mult (mai mult): O doamnă în vârstă stătea într-o trăsură și chiar și o tânără fată (Tyn.); Buletinele au fost livrate în perfectă ordine și, în plus, la timp (gaz).

Notă. Sindicații și, de asemenea, ca... și au capacitatea de a exprima relații gradaționale și de conectare, dar sunt adesea folosite într-un sens mai larg - de legătură sau comparativ: Acest loach este neobișnuit de respectuos și afectuos, se uită la fel de afectuos atât la el, cât și la alții. , dar nu folosește credit (cehă); Uzina a atins indicatori înalți atât în ​​ceea ce privește cantitatea, cât și calitatea produselor (gaz); Elevii școlii de muzică susțin adesea concerte în școli, palate ale culturii, precum și în atelierele întreprinderilor (gaz).

Dar conjuncțiile „și (sau)” indicate împreună înseamnă că membrii unei serii omogene legați de ei pot coexista atât împreună („organizarea și efectuarea prelucrării”), cât și să fie aleși (una dintre serii: „organizarea sau efectuarea prelucrare” ).

Analiza lingvistică de mai sus arată lipsa de temei a afirmației că determinarea scopului prelucrării PD este o caracteristică indispensabilă a operatorului. În același timp, această analiză nu este singura dovadă a viciatului acestei afirmații.

Din conținutul diferitelor publicații și, pe baza practicii de aplicare a legii în curs de dezvoltare, se poate trage o concluzie despre atitudinea organismului abilitat să protejeze drepturile subiecților PD (în continuare - Roskomnadzor) față de problema luată în considerare. Roskomnadzor consideră că operatorul este cel care, în primul rând, efectuează orice operațiuni cu date personale. Totodată, în virtutea faptului însuși al prelucrării, „procesatorul” este obligat să determine scopurile unei astfel de prelucrări. Acestea. de fapt, determinarea scopului prelucrării este mai degrabă o consecință a prelucrării, sau necesitatea acesteia, o parte integrantă a prelucrării, obligația principală care decurge din prelucrarea datelor cu caracter personal, și nu „trăsătura principală a operator."

Valabilitatea opiniei exprimate este confirmată și de o analiză sistematică a normelor Legii federale nr. 152. Ar trebui să începem cu articolul 1 al Legii, care definește sfera de acțiune a acesteia. În articolul numit se precizează că legea reglementează relațiile legate de prelucrarea datelor cu caracter personal efectuate de diverse organisme, persoane juridice și persoane fizice. Conceptul de prelucrare este dat în clauza 3 a articolului 3 din Legea federală 152. Acestea sunt acțiuni (operațiuni) cu date personale, inclusiv colectarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), utilizarea, distribuirea (inclusiv transferul) , depersonalizare , blocare, distrugere a datelor personale. Din cele de mai sus, rezultă că, dacă o anumită persoană realizează oricare dintre acțiunile enumerate, atunci ea devine a priori un participant la relațiile publice care fac obiectul reglementării Legii federale nr. 152 (cu excepția cazului în care se încadrează în excepțiile prevăzute la Partea 2 a articolului 1 din lege). Cum ar trebui să fie numită această persoană în conformitate cu Legea federală „Cu privire la datele cu caracter personal”? Alegerea este limitată. Această persoană ar trebui să fie denumită operator.

Deci, o anumită persoană realizează (sau intenționează să efectueze) prelucrarea datelor cu caracter personal. Potrivit articolului 5 din Legea federală 152, prelucrarea datelor cu caracter personal trebuie efectuată în conformitate cu principiile stabilite de lege. Analiza conținutului principiilor conduce la concluzia că baza fundamentală pentru prelucrarea DP este definirea scopurilor de prelucrare. Chiar și fără a aprofunda în esența fiecărui principiu, ci pur și simplu la o lectură superficială a articolului 5 din fiecare paragraf al articolului, vedem termenul „scop” („legitimitatea obiectivelor”, „respectarea obiectivelor”, „suficiență pentru obiective”. ", etc.). Această concentrare a atenției nu a fost aplicată de legiuitor din întâmplare. Din partea persoanei care efectuează prelucrarea PD, Legea impune o notificare cu privire la scopurile prelucrării subiecților PD al organismului abilitat să protejeze drepturile subiecților PD. Legea urmărește să facă activitățile legate de prelucrarea datelor cu caracter personal transparente și de înțeles atât pentru o persoană – purtătoarea drepturilor și libertăților constituționale protejate de Lege, cât și pentru organele de stat care asigură implementarea mecanismelor de protecție a drepturilor omului ca subiect. a datelor personale. Filul comun în Lege este ideea inadmisibilității prelucrării „fără scop” a datelor cu caracter personal (prelucrarea datelor cu caracter personal „așa”, „pentru propriile nevoi incerte”, pentru „dezvoltare generală”, „pentru sine” , etc.).

Potrivit celui de-al doilea principiu, declarat la articolul 5 din Lege, dacă o persoană intenționează să prelucreze date cu caracter personal, scopurile unei astfel de prelucrări trebuie să fie determinate și declarate în prealabil (înainte de începerea prelucrării). Lanțul logic invers de raționament duce la concluzia că implementarea oricăror acțiuni cu date personale în absența unui scop specific de prelucrare este o încălcare a principiilor de prelucrare și, prin urmare, o încălcare a Legii, o condiție prealabilă pentru o încălcare a drepturilor și libertăților constituționale ale unei persoane și ale unui cetățean.

Interpretarea normei prevăzute în clauza 2. Articolul 3 din Legea federală 152 în contextul că definirea scopului nu este responsabilitatea operatorului, ci o trăsătură integrală care îl identifică în această calitate, atrage în mod inevitabil următoarea concluzie paradoxală. Asemenea organisme precum Fondul de pensii al Federației Ruse, Fondul de asigurări medicale obligatorii, Serviciul Fiscal Federal, Serviciul Federal de Migrație și multe alte agenții guvernamentale, ale căror responsabilități sunt direct definite și detaliate de legislația federală, inclusiv în contextul tranzacțiilor cu datele personale... Premisa avută în vedere duce și la concluzia că operatorii telecom nu sunt operatori PD, întrucât scopul colectării PD a abonaților este prevăzut în Legea „Cu privire la comunicații” și statut – i.e. determinat de stat, și nu de o anumită persoană care furnizează servicii de comunicații. Același lucru este valabil și pentru instituțiile de credit, asigurări și alte organizații care colectează și alte acțiuni cu date cu caracter personal pentru a contracara legalizarea (spălarea) veniturilor din infracțiuni, i.e. în scopurile direct prevăzute de Legea „Cu privire la combaterea legalizării (spălării) veniturilor obținute în mod penal”, și nu de către aceste organizații în sine. Lista poate fi continuată la nesfârșit, absolutizând o singură normă a legii și atingând punctul de absurditate în încercările de a încerca interpretarea ei literală pentru relații sociale reale.

Articolul 18 din Legea federală nr. 152 stabilește obligațiile operatorului la colectarea datelor cu caracter personal. Acestea includ, în primul rând, obligația operatorului de a furniza subiectului PD la cererea acestuia informații (articolul 14 din Legea federală 152), inclusiv cu privire la scopurile prelucrării PD-ului său. La stabilirea acestei obligații, Legea nu face o excepție pentru operatorii care prelucrează date cu caracter personal în baza oricăror legi federale.

Astfel, ținând cont de cele de mai sus, devine clar că, în contextul Legii, determinarea scopului prelucrării PD este de fapt mai degrabă obligația persoanei care efectuează prelucrarea PD, mai degrabă decât una dintre caracteristicile deținerii. din care face din această persoană un operator.

Ce este „definiția” unui obiectiv? Clarificarea sensului cuvântului „definiție” este importantă pentru înțelegerea conținutului unei norme de drept, fără de care aplicarea acestei reguli este imposibilă. Întrucât în ​​Legea însăși legiuitorul nu a considerat necesară dezvăluirea conceptului de „definire a scopului”, să ne întoarcem la una dintre metodele de interpretare recunoscute în teoria dreptului - interpretarea lexicală (lingvistică).

Conform dicționarului explicativ al limbii ruse, editat de prof. D.N. Ushakova, pentru a defini mijloace
Aflați cu acuratețe, informați;
Oferiți o descriere științifică, logică, formularea unui concept, dezvăluiți conținutul acestuia;
Decide, ia o decizie cu privire la ceva;
Servește drept motiv de dezvoltare, de formare a ceva, de a predetermina, de a condiționa;
Atribuiți, specificați.

Prin urmare, definiția scopului prelucrării PD poate fi înțeleasă ca clarificarea, selecția, izolarea acestuia de un set de obiective posibile, stabilirea sau atribuirea acestuia ca atare, o indicație a acestui(lor) scop(e) specific ca motiv pentru prelucrarea DP.

Analiza contextuală a conținutului Legii federale 152, identificarea legăturilor sale semantice cu alte surse de drept ne permite să concluzionam că pentru operatorii individuali PD și (sau) în ceea ce privește anumite categorii de subiecți PD, scopurile prelucrării PD pot fi de fapt predeterminate sau chiar indicate direct în legi sau statut (Codul Muncii, de exemplu, indică în mod expres angajatorilor scopurile prelucrării datelor cu caracter personal ale angajaților). Scopul prelucrării anumitor PD de către alți operatori rezultă din obligațiile acestora care decurg din obligațiile contractuale. În unele cazuri, scopurile prelucrării PD pot fi determinate simultan atât de conținutul activităților comerciale ale operatorului, cât și de cerințele legii (operatorii de telecomunicații, în vederea desfășurării propriilor activități statutare care vizează generarea de profit, procesează PD în scopul pentru a presta servicii de comunicații și în conformitate cu Legea „Cu privire la comunicații”)...

Astfel, sarcina primordială a persoanei care efectuează prelucrarea PD este tocmai verbalizarea scopurilor prelucrării PD, înțelegerea pentru sine care este exact motivul prelucrării datelor cu caracter personal ale persoanelor fizice special pentru el. Formularea răspunsului la această întrebare va fi de fapt definiția scopului prelucrării PD.

În contextul problemei avute în vedere în acest articol, pare interesantă opinia Guvernului Federației Ruse, exprimată cu privire la modificările aduse Legii federale 152. La 5 mai 2010 a fost adoptat în primă lectură un proiect de lege, depus în vederea examinării Dumei de Stat de către adjunctul său VM Reznik. Printre altele, acest proiect de lege propunea o nouă formulare a conceptului de „operator”, și anume:

„Operatorul este un organism de stat, un organism municipal, o persoană juridică sau o persoană fizică care prelucrează date cu caracter personal, precum și determină scopurile, conținutul și procedura de prelucrare a datelor cu caracter personal.” După cum puteți vedea, cuvântul „organizare” a fost exclus din formularea actuală. În răspunsul său oficial la acest proiect de lege, Guvernul Federației Ruse indică că „o astfel de schimbare nu poate fi susținută, întrucât persoanele care prelucrează date cu caracter personal, dar nu determină scopurile și conținutul prelucrării, nu pot fi considerate operatori”. Din observațiile de mai sus ale Guvernului Federației Ruse, rezultă că astăzi (când versiunea legii nu a fost încă schimbată), în opinia Guvernului Federației Ruse, un operator este orice persoană care prelucrează PD, indiferent de prezența sau absența faptului că a determinat scopurile unei astfel de prelucrări.

Deci, analiza efectuată în acest articol ne permite să tragem mai multe concluzii.
Determinarea scopului procesării PD este responsabilitatea operatorului și nu este o caracteristică de identificare obligatorie a operatorului.
Determinarea scopului prelucrării PD este un proces de înțelegere, clarificare, concretizare și verbalizare a scopului prelucrării PD de către un operator, inclusiv în cazurile în care astfel de scopuri sunt predeterminate și (sau) decurg din prevederile legii sau din atribuțiile conferite operatorul.