Programy

Proč potřebujete portál s osobními údaji od Roskomnadzor? Provozovatel osobních údajů – kdo to je?

20.09.2019
Proč potřebujete portál s osobními údaji od Roskomnadzor? Provozovatel osobních údajů – kdo to je?

Tento portál byl vytvořen, aby občanům poskytoval informace o činnosti Roskomnadzoru v různých oblastech. Kromě toho je prostřednictvím této webové stránky snadný přístup k jakémukoli jinému zpracovateli dat.

co to je

Portál osobních údajů Roskomnadzor je nástrojem, který umožňuje důkladnou kontrolu jak běžným občanům, tak jednotlivým podnikatelům a komerčním organizacím. Každá společnost zpracovávající osobní údaje se musí nejprve zaregistrovat u Roskomnadzor a teprve poté zahájit příslušné činnosti.

K čemu je to potřeba


Jakékoli informace, které lze použít k identifikaci konkrétní osoby, jsou považovány za osobní údaje.. Portál je potřebný, aby uživatelům usnadnil interakci s operátory, kteří zpracovávají jakákoli data a provádějí k tomu různé akce.

Pokud jsou zjištěna nějaká porušení, můžete také nahlásit samotné monitorovací organizaci. V tomto případě jsou uplatněny příslušné sankce.

Kdo může používat

Specializovaný portál funguje ve veřejné doméně. Takže každý občan může využít jeho schopností a zveřejněných informací. Stačí zadat jméno operátora, který vás zajímá, nebo použít jeho DIČ. Výsledkem vyhledávání budou informace týkající se konkrétního účastníka trhu.

Registr operátora

Osobní údaje mohou zahrnovat velké množství jevů, včetně:

  1. Emailová adresa.
  2. Přesný popis vašeho současného bydliště.
  3. Čísla mobilních telefonů.
  4. Informace z certifikátů.
  5. Celé jméno občana.

Jakékoli informace týkající se konkrétní osoby lze považovat za osobní. V některých případech k identifikaci stačí vaše celé jméno a číslo vozu. Za jiných okolností je vyžadována registrační adresa a údaje o řidičském průkazu.

  1. Osobní údaje zpracovávají samostatně nebo se za tímto účelem spojují s jinými osobami.
  2. Sami si určují operace s daty, jejich skladbu a cíle práce.

Za provozovatele bude považován každý, kdo používá osobní údaje a zasílá příslušné žádosti. Takové společnosti působí ve všech oblastech. Právě údaje o nich se zapisují do registru. Klienti si mohou sami prostudovat DIČ a dokumentaci k povolení a tak dále.

Video ukazující, jak se zaregistrovat do registru provozovatelů zpracování osobních údajů Roskomnadzor.

registrace na webu

Registrace na portálu není nutná, všechny informace jsou veřejně dostupné, nejsou vyžadovány žádné další akce. Totéž platí pro různé dokumenty věnované ochraně informací návštěvníků.

Rozhraní, použití

Není zde nic složitého. Tlačítko pro vyhledávání v registru se nachází úplně nahoře na hlavní stránce portálu. Do tohoto řádku zadáváte jakékoli údaje známé pro konkrétní společnost. Níže je odkaz s pokročilým vyhledáváním. To znamená, že můžete zadat nejen jméno, ale také DIČ a registrační číslo, pokud je k dispozici.

Regulační regulace

Upravuje činnost Roskomnadzoru související s monitorováním implementace legislativy o osobních údajích občanů. Ale samotný text článku neobsahuje přesný název orgánu s příslušnými pravomocemi. Proto je také povoleno použít jako podporu nařízení vlády Ruské federace č. 228 „O evidenci osob propuštěných z důvodu ztráty důvěry“, vydané v roce 2009. Právě v tomto textu jsou pravomoci přiděleny konkrétně Roskomnadzoru.

Zástupci této instituce mají podle zákona následující pravomoci a práva:

  1. Nezávislé převzetí administrativní odpovědnosti, když jsou zjištěna porušení týkající se osobních údajů.
  2. Obrátit se na orgány činné v trestním řízení a soudy za účelem ochrany zájmů občanů. Totéž lze provést, pokud jsou zjištěna jakákoli porušení.
  3. Omezení přístupu k informacím v případě porušení ze strany provozovatele. Nebo vydávání požadavků s požadavky na zablokování, zničení nebo objasnění určitých informací.
  4. Žádost o informace související se zpracováním osobních údajů.

Provádění kontrol Roskomnadzorem

Pro takové akce platí zvláštní předpisy. Bylo schváleno příslušným nařízením Ministerstva spojů č. 312 z roku 2011. Odstavec 32 tohoto nařízení je věnován situacím, kdy je třeba provést plánované kontroly ve vztahu k provozovatelům:

  1. Když společnost teprve začíná zpracovávat osobní údaje.
  2. Po 3 letech uplynuly od předchozí kontroly. Nebo od okamžiku zahájení činnosti.

O blížící se kontrole musí být organizace informována minimálně 3 dny před vlastním pořádáním akce.

Roskomnadzor má právo provádět neplánované kontroly. Například pokud existují žádosti občanů a jiných organizací týkající se porušování práv. Nebo při ohrožení života či zdraví. V tomto případě, oznámení musí být doručeno 24 hodin před akcí.

Podle výsledků kontroly specialisté vypracovat odpovídající akt. Pokud dojde k porušením, jsou tato pravidla podrobně popsána v průvodním dokumentu. Musí být uvedeny osoby odpovědné za určitá porušení. Je uveden popis právních důvodů, proč jsou občané nebo společnosti odpovědné.

Kdy je vyžadován souhlas se zpracováním údajů

Zpracování údajů může být prováděno pouze se souhlasem předchozího vlastníka nebo jsou-li k tomu jiné zákonné důvody. Každý jednotlivý případ je posuzován individuálně:

  1. V sektoru bydlení a komunálních služeb není vyžadován souhlas rezidentů, když správcovské společnosti najímají platební zprostředkovatele, aby platili za používání služeb.
  2. Některé situace vyžadují písemné povolení. To platí zejména pro zvláštní kategorie osobních údajů. Například pokud jde o biometrické informace.

Odpovědnost za porušení

- hlavní dokument, který donedávna zaváděl sankce za porušení v této oblasti. Právnickým osobám by mohly hrozit pokuty ve výši 5 000 - 10 000 rublů nebo varování vydané příslušnými orgány.

Ke zjištění porušení byla provedena kontrolní opatření formou kontrol. Ohledně porušení byly zaslány zvláštní zprávy zástupcům státního zastupitelství. Pokud je žádost schválena, je organizováno soudní řízení.

Nedávno se ale situace změnila. Nyní zákony začaly příslušné postupy popisovat podrobněji. Změny se týkají následujících oblastí:

  1. Zvýšené pokuty.
  2. Vznik pravomocí sepisovat protokoly a zahajovat případy bez kontaktování státního zastupitelství.

O registraci jako operátor


Tato akce není povinná pro následující kategorie obyvatel a účastníků trhu:

  1. Společnosti, které požadují data například pro nákup vstupenek. To platí pro všechny dopravce působící online.
  2. Ti, kteří zpracovávají data bez použití výpočetní techniky.
  3. Systémy, které získaly status státních automatizovaných informačních systémů. Nebo organizace vytvořené na ochranu společnosti a pořádku.
  4. Jakékoli společnosti s platným systémem povolení. Není třeba se registrovat, pokud jsou údaje občana pro obdržení průkazu přečteny pouze jednou.
  5. Společnosti a jednotlivci využívající informace zveřejněné samotnými občany.
  6. Ti, kteří využívají informace k dosažení účelů popsaných v zakladatelských dokumentech.
  7. Mobilní společnosti, které potřebují data pouze k poskytování služeb.
  8. Vedoucí podniků.

Mnoho společností proto nemusí být zahrnuto do registru umístěného na oficiálních stránkách Roskomnadzor. K dokončení registračního řízení stačí podat žádost podle stanovených požadavků. Doporučuje se podávat žádosti elektronicky nebo pomocí hlavičkového papíru.

Roskomnadzor vede registr provozovatelů - společností, které splňují požadavky zákona „O osobních údajích“. Pro zařazení do registru společnost podává oznámení o zpracování osobních údajů. To může být obtížné: není jasné, kdy oznámení podat, jak jej vyplnit a jak zajistit, aby se informace dostaly do Roskomnadzoru.

Je možné nepodat oznámení?

Zákon o osobních údajích vyžaduje, aby každá společnost podala oznámení.

V zákoně existuje několik výjimek, které některým společnostem umožňují se tomu vyhnout. V takovém případě musíte být připraveni zákonným způsobem prokázat regulačnímu úřadu, že se na společnost vztahují výjimky. To není tak snadné: nedostatek oznámení je jedním z nejčastějších porušení zjištěných během inspekcí Roskomnadzor.

Nejlepší možností je podat oznámení a chránit společnost před dotazy regulačního úřadu, proč tak nebylo učiněno.

Někdy se společnosti obávají, že podání oznámení vzbudí nepřiměřenou pozornost Roskomnadzoru a přijde s kontrolou. V praxi k tomu nedochází.

Kdy mám odeslat oznámení?

Oznámení se podává před zahájením zpracování osobních údajů. Na základě litery zákona to musí být provedeno v prvních dnech po státní registraci právnické osoby nebo fyzického podnikatele.

Rozhodnutí o podání výpovědi je často učiněno, když společnost funguje několik měsíců nebo několik let. Není třeba se obávat pokuty nebo jiných sankcí za „opožděné“ podání oznámení. Pokud se ale Roskomnadzor o společnost začne zajímat (přijde s inspekcí nebo pošle „dopis o štěstí“, kde požaduje podat oznámení), pokutě se nevyhne.

Důležitá nuance: i když je oznámení podáno „pozdě“, je lepší uvést datum státní registrace společnosti jako „datum zahájení zpracování osobních údajů“.

Jak vyplnit oznámení?

Výpověď musí být podána online (elektronicky) a zaslána poštou (tištěná).

Elektronický oznamovací formulář se vyplňuje na webu Roskomnadzor. Potřebných informací je poměrně hodně a není snadné je udělat, navzdory přítomnosti nápověd. Musíte být připraveni formulovat právní důvody a účely zpracování osobních údajů, popsat úkony s nimi prováděné a uvést, jak je zajištěna jejich bezpečnost.

Po odeslání elektronického formuláře web Roskomnadzor nabídne stažení již vyplněného tištěného formuláře. Bude nutné jej vytisknout, podepsat a potvrdit pečetí společnosti a poté zaslat poštou územnímu orgánu Roskomnadzor. To je nezbytné pro potvrzení informací odeslaných online.

Oznámení můžete vyplnit i elektronicky na Portálu veřejných služeb, jde však o méně pohodlný způsob.

Jak zjistím, zda bylo oznámení přijato?

Po vyplnění oznámení na webu Roskomnadzor společnost obdrží číslo oznámení a tajný klíč. S jejich pomocí můžete na speciální stránce objasnit stav oznámení a zjistit, kdy budou jeho informace zařazeny do registru operátorů.

Veškeré informace v registru provozovatelů jsou veřejně dostupné, kromě informací o zajištění bezpečnosti osobních údajů. Oznámení najdete od kteréhokoli operátora.

Kolikrát musím podat výpověď?

Oznámení se podává pouze jednou.

Existuje však důležitá nuance: zákon „O osobních údajích“ vyžaduje, aby byl Roskomnadzor informován o změnách informací uvedených v oznámení do 10 dnů po takových změnách. Oznámení obsahuje mnoho informací o společnosti a ke změnám může docházet poměrně často. Bohužel může být obtížné je sledovat a včas reagovat.

Nejlepší je podat oznámení co nejdříve a pečlivě zajistit, aby informace o společnosti v registru provozovatelů byly aktuální. Pomocí naší služby je to velmi snadné.

Jak se stát provozovatelem osobních údajů v registru Roskomnadzor

Ne všechny společnosti a jednotliví podnikatelé vědí, zda jsou provozovateli osobních údajů a zda potřebují předávat informace o sobě do Roskomnadzoru. Pojďme zjistit, koho služba blíže sleduje a jak upozornit občany na zahájení zpracování osobních údajů.

Kdo jsou provozovatelé osobních údajů a co dělají?

Většina lidí ví, že mezi osobní údaje (dále jen PD) patří údaje o příjmení, jménu a patronymu občana, údaje z jeho pasu, číslo mobilního telefonu, adresa bydliště, e-mail. Jaké další informace by mohly být zahrnuty do tohoto seznamu? Ukazuje se, že žádný: vyčerpávající seznam není nikde uveden a v zásadě ani nemůže existovat. To potvrzuje znění federálního zákona č. 152-FZ ze dne 27. července 2006:

Osobní údaje – veškeré informace týkající se přímo či nepřímo identifikované nebo identifikovatelné fyzické osoby (předmět osobních údajů).

Ukazuje se, že v některých případech bude k identifikaci občana stačit příjmení, jméno a číslo vozu, v jiných budete potřebovat také jeho číslo řidičského průkazu a registrační adresu.

Provozovatelem osobních údajů je orgán státu nebo obce, právnická nebo fyzická osoba, která:

  • samostatně nebo společně s jinými osobami organizuje a/nebo provádí zpracování osobních údajů;
  • určuje účely práce s osobními údaji, jejich složení, jakož i úkony (operace) s nimi.

    • Tedy každý, kdo požaduje a používá osobní údaje, je jejich provozovatelem. A každý, kdo má přístup a zpracovává informace, podle kterých lze občana identifikovat, skutečně pracuje s osobními údaji a nese odpovědnost za nedodržení zákona o jejich ochraně.

    Pojďme si představit, kdo by mohl být klasifikován jako operátoři PD. banky? Ano! Stránky, které shromažďují materiály o předplatitelích? Ano! Právní a účetní společnosti poskytující různé služby? Ano! Obchody a kosmetické salony nabízející nákup bonusové karty? Ano znovu! Společenství vlastníků domů, univerzity, školky, cestovní kanceláře, zdravotnické ústavy, automatizované systémy včetně vládních? Ano ano ano! Operátoři PD - všude, v jakékoli oblasti!

    Každý, kdo nakládá s osobními údaji, je povinen dodržovat určitá pravidla pro shromažďování, zajišťování bezpečnosti, zpřesňování, blokování a likvidaci tohoto typu informací. Podle zákona č. 152-FZ musí provozovatelé:


    Registrace u Roskomnadzor jako provozovatele osobních údajů

    Zákon stanoví, že před zahájením práce s osobními údaji je nutné kontaktovat pověřený dozorový úřad a oznámit zahájení práce s osobními údaji. Neznamená to, že každá společnost musí být zařazena do registru provozovatelů osobních údajů Roskomnadzor. Tento seznam nezahrnuje:

  • zaměstnavatelé. Shromažďují a uchovávají informace v souladu s pracovněprávními předpisy, např. při sepisování pracovních smluv, různých personálních příkazů;
  • mobilní nebo pevné telefonní společnosti, pokud jsou údaje získávány výhradně za účelem poskytování komunikačních služeb na základě uzavřené smlouvy, nejsou bez souhlasu subjektu osobních údajů distribuovány ani poskytovány třetím osobám;
  • veřejná sdružení nebo náboženské organizace, které získávají přístup k údajům svých členů (účastníků) za účelem dosažení cílů stanovených v ustavujících dokumentech;
  • organizace a jednotlivci využívající veřejně dostupné informace, které subjekty osobních údajů samy sdělily, například na osobních webových stránkách;
  • jakékoli společnosti, které provozují průchozí systém. Pokud jsou údaje z pasu občana zkopírovány za účelem získání jednorázového průkazu na území organizace, nebude nutné se registrovat;
  • systémy se statutem státních automatizovaných informačních systémů, dále systémy státních PD vytvořené k ochraně bezpečnosti státu a veřejného pořádku. Je jich hodně a mezi ně patří systémy Era-Glonass a Management, AIS pro účetnictví neziskových a náboženských organizací a mnoho dalších na federální a regionální úrovni;
  • občané a organizace, které zpracovávají informace bez použití automatizačních nástrojů (počítače). Musí se přitom řídit požadavky schválenými nařízením vlády č. 687 ze dne 15. září 2008;
  • organizace, které požadují údaje pro zajištění bezpečného provozu dopravního komplexu, například při rezervaci a nákupu jízdenek, a to i prostřednictvím online služeb dopravců nebo zprostředkovatelů.

    • Vezmeme-li v úvahu takové formulace, mnoho organizací již není zahrnuto v registru provozovatelů zpracovávajících osobní údaje, který vede Roskomnadzor. Ale ti, na které se nevztahují výjimky, musí být na seznamu regulačního úřadu.

    Postup registrace spočívá v podání oznámení v určité formě. Lze k němu přistupovat prostřednictvím registru osobních údajů Roskomnadzor, portálu vládních služeb nebo pomocí nařízení Ministerstva telekomunikací a masových komunikací Ruska ze dne 21. prosince 2011 N 346. Požadovaný dokument si můžete zdarma stáhnout na konci tohoto článku.

    Roskomnadzor doporučuje podat oznámení na hlavičkovém papíře organizace, na papíře nebo elektronicky. Papírovou verzi bude potřeba vyplnit, podepsat a zaslat územnímu orgánu Roskomnadzoru (poštou nebo doručit osobně). Elektronický doklad lze vystavit přímo na webu katedry - v sekci „Elektronické přihlášky“.

    Bez ohledu na způsob informování úředníků musí oznámení obsahovat:

  • úplný a zkrácený název společnosti s uvedením organizační a právní formy, jakož i právní a poštovní adresy, DIČ;
  • účely zpracování uvedené v ustavujících dokumentech nebo skutečně provedené;
  • kategorie PD, které budou zpracovány;
  • subjekty, jejichž PD je plánováno zpracovat, včetně vztahů s nimi, např. cestující, vypůjčitel, předplatitel, vkladatel, pojistník;
  • na základě kterého existuje právo na zpracování (například články zákona o ovzduší Ruské federace nebo zákon o aktech osobního stavu), včetně existence licence pro druh vykonávané činnosti;
  • popis použitých metod zpracování PD a jejich seznam: ruční, automatizované nebo smíšené zpracování;
  • informace o osobách odpovědných za organizaci zpracování osobních údajů, jejich telefonní čísla, poštovní adresy, e-mail;
  • informace o šifrovacích (kryptografických) prostředcích;
  • datum zahájení, jakož i podmínky a termíny ukončení zpracování PD;
  • informace o tom, kde jsou údaje během jejich zpracování uloženy, včetně toho, ve které zemi se nacházejí databáze s informacemi o osobních údajích občanů Ruské federace;
  • informace o zajištění bezpečnosti osobních údajů v souladu s požadavky stanovenými nařízením vlády Ruské federace ze dne 1. listopadu 2012 N 1119.

    • Upozorňujeme, že registrace provozovatele osobních údajů na webu Roskomnadzor se provádí do 30 dnů. V případě podání elektronické žádosti bude společnost muset dodatečně zaslat územnímu úřadu papírovou kopii oznámení. Pokud jsou informace nedostatečné, úředníci zašlou výzvu k upřesnění předložených dokumentů. Není možné odmítnout přijetí oznámení a vložení informací o organizaci do rejstříku.

    Pokud se z různých důvodů změnily účely organizace pro zpracování PD nebo je třeba provést jiné změny, zašle do 10 dnů dopis společnosti Roskomnadzor v předepsané formě. Dokument naleznete níže. Čtenáři PPT.ru si navíc mohou stáhnout formulář dokumentu potřebného k vyloučení společnosti z rejstříku.

    Všechny služby poskytované Roskomnadzorem jsou v tomto případě bezplatné.

    Současná právní úprava stanoví správní odpovědnost za porušení požadavků na ochranu osobních údajů. Podle federálního zákona č. 13-FZ ze dne 02.07.2017, který vstoupil v platnost 1. července 2017, článek 13.11 zákoníku o správních deliktech Ruské federace stanoví několik přestupků, za které mohou být provozovatelé osobních údajů pokutováni . V závislosti na přestupku se pokuty pro právnické osoby podle tohoto článku pohybují od 15 000 do 75 000 rublů a pro jednotlivé podnikatele - od 5 000 do 20 000 rublů.

    Odmítnutí registrace do rejstříku může být považováno za neposkytnutí informací regulačnímu orgánu. Trest za to je stanoven v článku 19.7 zákoníku o správních deliktech Ruské federace. Podle ní úředníci čelí pokutě 300 až 500 rublů a právnickým osobám - od 3 000 do 5 000 rublů.

    Vedení registru provozovatelů zpracovávajících osobní údaje

    Zadání informací o provozovateli do registru provozovatelů zpracovávajících osobní údaje (Federální služba pro dohled nad spoji, informačními technologiemi a hromadnými spoji)

    obecná informace

    Výsledky služby

    Kdo může službu přijímat

    • Má postavení podnikatele
    • Jednotlivci
    • Právnické osoby

      • Jak mohu předložit dokumenty?

    • Emailem
    • Prostřednictvím zákonného zástupce

      • Jak můžete získat výsledky služby?

    • Osobně

      • Důvody pro odmítnutí poskytování služeb

    • Podkladem pro pozastavení lhůty pro vkládání údajů o Provozovateli do Registru (provádění změn a vylučování informací o Provozovateli z Registru) je poskytnutí neúplných nebo nedůvěryhodných informací ze strany provozovatele. (Podkladem pro pozastavení lhůty pro vkládání údajů o Provozovateli do Registru (změna a vyřazení údajů o Provozovateli z Registru) je poskytnutí neúplných nebo nespolehlivých údajů Provozovatelem.)

      • Doba dodání služby

      Doba realizace služby: Poskytování veřejných služeb probíhá bez přímé interakce s žadatelem.
      Informace o Provozovateli se do registru zapisují do 15 dnů ode dne obdržení oznámení na základě výsledků ověření údajů obsažených v Oznámení. Za den podpisu objednávky se považuje datum zadání údajů o Provozovateli do Registru.
      Žádost o poskytování veřejné služby se registruje nejpozději den následující po dni jejího obdržení Roskomnadzorem (územním orgánem Roskomnadzoru).
      Informace o zadávání údajů o Provozovateli do Registru jsou zveřejněny na oficiálních stránkách Roskomnadzoru nejpozději do 3 dnů ode dne podpisu objednávky.

      Podkladem pro zvážení problematiky zadávání údajů o Provozovateli do Registru je zaslání Oznámení Provozovatelem přímo Roskomnadzoru (územní orgán Roskomnadzoru) nebo přijetí Oznámení do Jednotného informačního systému z Jednotného portálu s. přiřazení příchozího čísla.
      Oznámení musí obsahovat následující informace:

      1. Jméno (příjmení, jméno, patronymie), adresa Provozovatele.
      2. Účel zpracování osobních údajů.
      3. Kategorie osobních údajů.
      4. Kategorie subjektů, jejichž osobní údaje jsou zpracovávány.
      5. Právní základ zpracování osobních údajů.
      6. Seznam úkonů s osobními údaji, obecný popis způsobů používaných Provozovatelem při zpracování osobních údajů.
      7. Popis opatření stanovených v článcích 18.1 a 19 spolkového zákona, včetně informací o dostupnosti šifrovacích (kryptografických) prostředků a názvů těchto prostředků.
      8. Příjmení, jméno, patronymie fyzické osoby nebo název právnické osoby odpovědné za organizaci zpracování osobních údajů a jejich kontaktní telefonní čísla, poštovní adresy a e-mailové adresy.
      9. Informace o přítomnosti či nepřítomnosti přeshraničního předávání osobních údajů v procesu zpracování.
      10. Informace o bezpečnosti personálu

      www.gosuslugi71.ru

      Články na dané téma

      Správcem osobních údajů je každá osoba, která shromažďuje informace o zaměstnancích a klientech. Zjistěte, jak podat žádost na Roskomnadzor o zpracování osobních údajů, jaké jsou povinnosti provozovatele, které mohou vést k pokutě

      Přečtěte si náš článek:

      Kdo je uveden v registru provozovatelů osobních údajů Roskomnadzoru

      Provozovatelem osobních údajů je každá osoba, která shromažďuje informace o zaměstnancích a klientech (článek 3 zákona č. 152-FZ „O osobních údajích“).

      Nová odpovědnost za porušení osobních údajů. Za co a jak moc budou nyní pokutováni>>>

      Provozovatelem (OPD) se může stát státní nebo obecní společnost, právnická osoba, podnikatel nebo i obyčejný člověk, pokud shromažďuje informace o jiných lidech a samostatně určuje, jaké údaje si vyžádat, jak je zpracovat a co dělat se shromážděnými informacemi.

      Zákon definuje osobní údaj jako jakoukoli informaci, která se přímo či nepřímo vztahuje k identifikované nebo identifikovatelné fyzické osobě (subjektu osobních údajů).

      Samozřejmě, ve většině případů jsou požadované informace omezeny pouze na příjmení, jméno, patronymie, údaje z pasu a číslo mobilního telefonu, ale někdy je k identifikaci osoby potřeba zjistit číslo jejího vozu, podrobnosti o řidičském průkazu nebo SNILS a další informace.

      V zákoně neexistuje taxativní výčet, takže za osobní údaje lze považovat naprosto jakékoli informace potřebné k identifikaci.

      Ukazuje se, že každý, kdo o takové informace požádá a použije je a podal příslušnou žádost, je zařazen do registru provozovatelů osobních údajů Roskomnadzoru. Je tam už více než 400 000 pozic a stále se objevují nové tváře. Jsou mezi nimi banky, pojišťovny, cestovní kanceláře, kosmetické salony, obchody, společenství vlastníků domů, školky, kliniky a mnoho dalších.

      Pokud jakákoli stránka poskytuje formulář zpětné vazby, předplatné nebo osobní účet, ve kterém návštěvníci zanechají data, měli by se majitelé stránek také zaregistrovat do registru.

      Provozovatel nemůže přijaté informace zpracovávat bez souhlasu osoby, které náleží.

      Ale jsou i výjimky. Pokud nějaký zákon takovou práci s informacemi stanoví (definující účel a obsah zpracování), pak souhlas není nutný.

      Například podle zákona „o vzdělávání“ je pro připuštění k jednotné státní zkoušce zajištěno předávání, zpracování a poskytování osobních údajů studentů bez jejich podpisu souhlasu s prací s informacemi.

      Jak podat žádost o zpracování osobních údajů

      Oznámení lze podat na webových stránkách Roskomnadzor a zaslat poštou.

      Při vyplňování formuláře elektronického oznámení budete muset uvést:

    • TIN, OGRN a další údaje žadatele;
    • účely a právní základ pro zpracování údajů;
    • přesně uvést, jaké údaje budou zpracovávány a jak k tomu dojde;
    • podrobnosti o licenci (pokud jsou činnosti žadatele licencovány);
    • opatření přijatá k zajištění bezpečnosti přijatých dat;
    • datum zahájení zpracování a mnoho dalšího (článek 22 zákona č. 152-FZ).

      • Po vyplnění elektronického formuláře si jej lze stáhnout z webových stránek Roskomnadzoru, vytisknout, podepsat a zaslat na příslušný územní orgán. Tím potvrdíte informace odeslané přes web.

      Existuje možnost vyplnit žádost prostřednictvím portálu státních služeb, ale je to méně pohodlný způsob, než komunikovat s Roskomnadzorem prostřednictvím jeho vlastních webových stránek.

      Pokud je vše provedeno správně, bude společnost Roskomnadzorem zapsána do registru provozovatelů zpracovávajících osobní údaje.

      Zákon stanoví výjimky, kdy taková registrace není nutná.

      O zápis do rejstříku nemusí žádat:

    • zaměstnavatelé shromažďují informace o svých zaměstnancích;
    • ti, kteří zpracovávají pouze celá jména lidí;
    • ti, kteří berou informace, aby jednou vpustili osobu na své území atd.

      • Úplný seznam výjimek je popsán v části 2 čl. 22 zákona č. 152-FZ „O osobních údajích“. Společnost, která věří, že je na tomto kýženém seznamu, bude muset argumentovat, že tomu tak skutečně je.

      V soukromém rozhovoru s inspektory jsme zjišťovali, kam se budou „hrabat“, když bude třeba firmě udělit pokutu, ale není jasný důvod. Připravte se na to, co budou hledat – plánů na pokuty se plánuje zvýšit.

      Žádost o zpracování osobních údajů musí být na základě ustanovení zákona podána v prvních dnech po vzniku právnické osoby nebo fyzického podnikatele - tedy před zahájením práce s informacemi.

      Ale v praxi už operátor pracuje na plné obrátky několik měsíců nebo dokonce let, kdy management napadne se zaregistrovat. Pokud tento nápad přijde vedení ještě před příchodem Roskomnadzoru, dobře – bude možné se vyhnout pokutě či jiným sankcím.

      A pokud inspektoři dorazí před podáním oznámení, budete muset zaplatit za jejich liknavost.

      Povinnosti provozovatele při zpracování osobních údajů

      Poté, co se společnost nebo podnikatel zaregistruje u Roskomnadzor jako provozovatel osobních údajů, bude muset splnit povinnosti předepsané v kapitole 4 zákona č. 152-FZ. OPD musí zejména:

    • vysvětlit subjektu, od kterého dostávají informace, co přesně bere a proč;
    • vysvětlit důsledky odmítnutí poskytnout informace;
    • zajistit evidenci, systematizaci, shromažďování, ukládání, objasňování atd. přijatých informací;
    • poskytnout subjektu informace o zpracování údajů, pokud je od něj neobdržel;
    • přijmout opatření na ochranu před neoprávněným (náhodným) přístupem k informacím, zničením, úpravou, blokováním nebo kopírováním;
    • jmenovat odpovědnou osobu.

      • Provozovatelé musí získat předchozí souhlas jednotlivce se zpracováním osobních údajů. Žádá se písemně - subjekt podepíše papír o tom, že údaje jsou shromažďovány v souladu se zákonem č. 152-FZ, po obdržení budou řádně uloženy, použity a následně zničeny. Speciální formulář navržený Roskomnadzorem lze stáhnout na jeho webových stránkách.

      Odpovědnost za odmítnutí registrace do registru

      Pokud potenciální provozovatel nepodá žádost o zařazení do registru osobních údajů Roskomnadzor, hrozí mu administrativní odpovědnost. Odmítnutí registrace do rejstříku se považuje za neposkytnutí informací regulačnímu orgánu. Takový přestupek je postižitelný podle článku 19.7 zákoníku o správních deliktech Ruské federace. Podle tohoto ustanovení může být osobě uložena pokuta ve výši sto až tři sta rublů; pro úředníky - od tří set do pěti set rublů; pro právnické osoby - od tří tisíc do pěti tisíc rublů.

      Pokud nechcete nést odpovědnost za odmítnutí registrace do registru a placení pokut (byť ne tak vysokých jako za jiné trestné činy), je lepší vyhovět požadavkům zákona a podat žádost včas.

      www.pro-personal.ru

      Registr provozovatelů osobních údajů

    21. února 2014 ve 23:45 hodin

    Nebo možná neinformovat o zpracování osobních údajů?

    • Informační bezpečnost

    Část první článku 22 federálního zákona ze dne 27. července 2006 N 152-FZ „O osobních údajích“ (dále v článku - zákon) stanoví povinnost provozovatele zpracovávajícího osobní údaje oznámit orgánu Roskomnadzor před zahájením zpracování . Vzápětí (v druhé části článku) zákon navrhuje důvody, pro které má provozovatel právo neoznámit zpracování. Tyto případy jsou celkem běžné. Protože však zákon nezakazuje oznamování, i když takové případy existují, řada operátorů volí cestu oznámení. Možná by stálo za to nedat oznámení nebo dokonce přemýšlet o tom, jak se kvalifikovat pro „výjimky“. Jsou pro to minimálně 3 důvody.

    Je těžké odpovědět na otázku "Proč?" pro všechny, kteří se rozhodli zaslat orgánu Roskomnadzor oznámení, pokud by to bylo možné neudělat. Samozřejmě nelze vyloučit ani marketingové kampaně (image, otevřenost). V řadě případů však oznamují z neznalosti nebo na základě pozice „Je lepší hrát na jistotu“. Rád bych upozornil na známé právo provozovatelů zpracovávajících osobní údaje neinformovat úřady Roskomnadzor o zpracování a zde je několik důvodů pro toto.

    1. Osoba, která podala oznámení o zpracování osobních údajů, musí nést břemeno neustálé aktualizace předložených informací. Tato povinnost je stanovena v části 7. Umění. 22 zákonů. Nepodá-li provozovatel zpracovávající osobní údaje oznámení o změně údajů (změna adresy provozovatele, změna kategorií zpracovávaných osobních údajů, změna osoby odpovědné za zpracování osobních údajů a jejích kontaktů apod.), pak může být přiveden ke správní odpovědnosti. Zdálo by se, že to bylo těžké: něco se v organizaci změnilo, vzal jsem a poslal dopis. Jak ukazuje praxe, ve většině případů se na to zapomíná. Například ti, kteří se do Rejstříku (registr zahrnuje každého, kdo podal oznámení o zpracování) provozovatelů zpracovávajících osobní údaje před 1. červencem 2011, museli dodatečně zaslat informace uvedené v odstavcích 5, 7.1, 10 a 11 do ledna 1, 2013 3 článku 22 zákona (právní základ pro zpracování osobních údajů, celé jméno odpovědné osoby atd.). Jak je patrné z registru provozovatelů osobních údajů Roskomnadzor, více než polovina provozovatelů tak dodnes neučinila. Otázkou je i představa, že všechny tyto organizace neprošly žádnými vnitřními změnami souvisejícími se zpracováním osobních údajů. Navrhuji, abyste se také zamysleli nad tím, zda budete včas sledovat relevanci zápisů v rejstříku z dlouhodobého hlediska, pokud existuje možnost to vůbec nedělat?
    2. Orgány Roskomnadzor plánují kontroly provozovatelů zpracovávajících osobní údaje s využitím resortního jednotného informačního systému - UIS. Všichni provozovatelé, kteří podali oznámení, v něm již jsou, a proto se pravděpodobnost zařazení do plánu kontrol mnohonásobně zvyšuje. Organizace kontrolované Roskomnadzorem v jiných oblastech (komunikační služby, distribuční sítě, média, vysílání) jsou automaticky kontrolovány z hlediska souladu s legislativou v oblasti osobních údajů, pokud oznámily zpracování Roskomnadzoru.
    3. Pokud se provozovatel osobních údajů rozhodl oznámit zpracování orgánu Roskomnadzor, ačkoli měl právo tak neučinit, nebude možné být vyřazen z Registru z důvodu, že nemohl oznámení vůbec oznámit. Tuto možnost nestanoví ani zákon, ani příslušný správní řád. Nebo spíše je poskytován pouze z obecných důvodů.
    Pokud jste plánovali poslat upozornění, ale výše uvedené vás nějak zaujalo, obecná doporučení jsou jednoduchá.
    1. Pozorně si přečtěte (rozumějte) část 2 čl. 22 federálního zákona Ruské federace ze dne 27. července 2006 N 152-FZ „O osobních údajích“.
    2. Podívejte se, jaké osobní údaje jsou o vás zpracovávány a v souvislosti s čím.
    3. V některých případech může být nutné upravit vaši práci s nosiči osobních údajů. Uvedu příklad, aby bylo jasné, co mám na mysli.
    Jedna z možností neoznámit zpracování osobních údajů je uvedena v odstavci 2, část 2, čl. Zákon 22 zní takto
    obdrží provozovatel v souvislosti s uzavřením smlouvy, jejímž je subjekt osobních údajů smluvní stranou, pokud osobní údaje nejsou bez souhlasu subjektu osobních údajů distribuovány nebo poskytovány třetím osobám a jsou využívány provozovatelem výhradně pro plnění uvedené smlouvy a uzavírání smluv se subjektem osobních údajů

    Takže jste uzavřeli smlouvu s jednotlivcem na nějakou službu. Vzali si číslo mobilního telefonu dané osoby, aby ji informovali, že služba je připravena. Ve většině případů není mobilní telefonní číslo pro účely plnění smlouvy potřeba. V případě odebrání mobilního telefonního čísla klienta je navíc vyžadován jeho souhlas se zpracováním osobních údajů. V tomto případě však nespadáte pod výjimku v zákoně, která vám umožňuje neoznamovat zpracování osobních údajů.
    Pokud smlouva s touto osobou stanoví nutnost mít pro účely plnění smlouvy mobilní telefonní číslo, pak již uplatňujete nárok na výjimku.
    S potřebou mít číslo mobilního telefonu pro účely plnění smlouvy si můžete pohrát asi takto: „Organizace se zavazuje informovat klienta na tel. č. x... x o připravenosti...“.

    Od přijetí federálního zákona „O osobních údajích“ v roce 2006 zůstávají některá jeho ustanovení a koncepce zaměstnancům provozovatelů stále nejasná. Zdánlivá nejednoznačnost formulace se někdy stává předmětem spekulací jednotlivých aktivních občanů, kteří si dali za cíl prokázat nesmyslnost či nedůslednost Zákona.

    Manipulací s některými formulacemi zákona (někdy vytrženými z kontextu), spoléháním se na principy formální logiky (ne vždy spravedlivé, pokud jde o právo jako vědu), modelováním možných konfliktů docházejí někteří analytici k neočekávaným a nesprávným závěrům.

    Nebezpečí těchto závěrů spočívá v dezorientaci účastníků informačně právních vztahů, jakož i v tom, že přijímání pochybných prohlášení ztěžuje práci provozovatelů na uvedení jejich činnosti do souladu se zákonem a vytváří podmínky pro jejich porušování. požadavky Zákona.

    Mezi takové problematické otázky patří definice provozovatele osobních údajů. Provozovatelem je stát, orgán obce, právnická nebo fyzická osoba, která organizuje a (nebo) provádí zpracování osobních údajů, jakož i určuje účely a obsah zpracování osobních údajů (článek 3 spolkového zákona 152) . Tato zdánlivě samozřejmá definice, která neumožňuje volný výklad, někdy v praxi uvádí provozovatele v omyl. Podstata této mylné představy je následující: „osoba provádějící zpracování není vždy provozovatelem“. Důvod mylné představy je ve frázi „a také“. V tomto „a také“ někteří vidí samotné zrnko pravdy, které jednotlivým operátorům umožní vyhnout se povinnosti dodržovat požadavky federálního zákona 152. Paradoxně je mnoho operátorů stále přesvědčeno, že nejsou operátory. K doložení tohoto tvrzení jsou uvedeny následující argumenty: potřeba zpracovávat osobní údaje je stanovena federálním zákonem (nebo „zřízena vyššími organizacemi“), proto účely zpracování nejsou nezávisle určovány nebo by neměly být určovány osobou provádění zpracování (není třeba určovat účely, nebo neexistuje žádná pravomoc).

    Pokusme se přijít na tento problém, jehož podstata spočívá v otázce: je určení účelu zpracování osobních údajů znakem nebo odpovědností provozovatele?

    Existuje tedy názor, že operátorem je pouze a výhradně někdo, kdo současně splňuje následující dvě kritéria:
    Tato osoba musí buď organizovat nebo skutečně provádět zpracování osobních údajů (nebo obojí současně);
    Tato osoba musí samostatně určit účely a obsah zpracování osobních údajů.

    Požadavek na určení účelu zpracování osobních údajů je tak považován za hlavní charakteristiku provozovatele.

    V průběhu přípravy tohoto článku provedli filologové lingvistickou analýzu předmětné definice. Výsledky analýzy jsou uvedeny níže.

    Určení cíle nemůže být hlavní funkcí, protože tato funkce je pojmenována mezi homogenními členy věty a uzavírá ji. K tomuto stejnorodému členu věty se navíc připojuje spojka „a také“, která má doplňkový význam, například: Pokojně jsem si užíval své práce, úspěchu, slávy i díla a úspěchů svých přátel“ (P - viz Valgina N.S., Rosenthal D.E., Fomina M.N. Moderní ruský jazyk. Učebnice: M., Logos, 2006.

    O tomto významu píše i ruská gramatika (M, 1980, sv. II):

    § 2079. Spojovací vztahy jsou založeny na spojovacích: druhý člen řady je doplňkové povahy; často se dělí na samostatné syntagma; pořadí členů série je přísně vyžadováno. Spojivové vztahy (s odstíny sčítání nebo intenzifikace) se vyjadřují složenými spojkami a kombinacemi spojky s konkretizérem: a také, a také, a navíc (kromě toho): V kočáře seděla starší paní a dokonce i mladá dívka (Týn.); Zprávy byly dodány v naprostém pořádku a včas (plyn).

    Poznámka. Konjunkce a také, obojí... a mají schopnost vyjadřovat gradační a spojovací vztahy, ale často se používají v širším významu - spojovacím nebo komparativním: Tento Loach je neobvykle uctivý a láskyplný, dívá se stejně něžně na své i cizí, ale nevyužívá kredit (český); Závod dosáhl vysoké úrovně kvantity i kvality produktů (plyn); Žáci hudební školy často koncertují ve školách, kulturních domech a také v dílnách podniků (plyn).

    Spojky „a (nebo)“ uvedené společně však znamenají, že členy homogenní řady, které jsou jimi spojené, mohou buď koexistovat společně („organizovat a provádět zpracování“), nebo být vybrány (jedna z řady: „organizovat nebo provádět mimo zpracování“).

    Z výše uvedeného jazykového rozboru vyplývá neopodstatněnost tvrzení, že určení účelu zpracování osobních údajů je nepostradatelnou vlastností provozovatele. Tento rozbor přitom není jediným důkazem nepravdivosti tohoto tvrzení.

    Z obsahu různých typů publikací a na základě vznikající praxe orgánů činných v trestním řízení lze vyvodit závěr o postoji orgánu oprávněného k ochraně práv subjektů osobních údajů (dále jen Roskomnadzor) k posuzovanému problému. . Roskomnadzor se domnívá, že provozovatel je ten, kdo v první řadě provádí jakékoli operace s osobními údaji. Zároveň má „zpracovatel“ již z titulu samotné skutečnosti zpracování povinnost určit účely tohoto zpracování. Tito. určení účelu zpracování je ve skutečnosti spíše důsledkem zpracování nebo jeho potřeby, nedílnou součástí zpracování, primární odpovědností vyplývající ze zpracování osobních údajů, a nikoli „hlavní charakteristikou provozovatele“.

    Spravedlnost uvedeného názoru potvrzuje systematická analýza norem spolkového zákona č. 152. Začněme článkem 1 zákona, který vymezuje rozsah jeho působnosti. Tento článek uvádí, že zákon upravuje vztahy související se zpracováním osobních údajů prováděným různými orgány, právnickými a fyzickými osobami. Pojem zpracování je uveden v odstavci 3 článku 3 federálního zákona 152. Jedná se o akce (operace) s osobními údaji, včetně shromažďování, systematizace, shromažďování, ukládání, vyjasňování (aktualizace, změny), používání, distribuce (včetně přenosu) , depersonalizace , blokování, likvidace osobních údajů. Z výše uvedeného vyplývá, že pokud konkrétní osoba provede některý z uvedených úkonů, stává se a priori účastníkem společenských vztahů, které jsou předmětem úpravy spolkového zákona č. 152 (pokud nespadá pod výjimky stanovené v část 2 článku 1 zákona). Jak by se tato osoba měla nazývat ve smyslu federálního zákona „o osobních údajích“? Výběr je malý. Tato osoba by se měla nazývat operátor.

    Určitá osoba tedy provádí (nebo hodlá provádět) zpracování osobních údajů. Podle článku 5 federálního zákona 152 musí být zpracování PD prováděno v souladu se zásadami definovanými zákonem. Analýza obsahu zásad vede k závěru, že zásadním základem pro zpracování osobních údajů je stanovení účelů zpracování. Aniž bychom se ponořili do podstaty každého principu, ale jednoduše při rychlém přečtení článku 5, v každém odstavci článku vidíme pojem „účel“ („legitimita účelů“, „soulad s účely“, „dostatek pro účely“ ", atd.). Tuto koncentraci pozornosti zákonodárce neuplatnil náhodou. Zákon ukládá osobě zpracovávající osobní údaje oznámit orgánu oprávněnému k ochraně práv subjektů osobních údajů účely zpracování subjektů osobních údajů. Zákon usiluje o to, aby činnosti související se zpracováním osobních údajů byly transparentní a srozumitelné jak pro osobu - nositele zákonem chráněných ústavních práv a svobod, tak pro orgány státní správy zajišťující realizaci mechanismů ochrany lidských práv jako subjektu. osobních údajů. Hlavní nití zákona je myšlenka nepřípustnosti „bezúčelového“ zpracování osobních údajů (zpracování osobních údajů „jen tak“, „pro vlastní blíže nespecifikované potřeby“, pro „všeobecný rozvoj“, „pro sebe sama“ ", atd.).

    Podle druhé zásady, deklarované v čl. 5 zákona, pokud má osoba v úmyslu zpracovávat osobní údaje, musí být předem (před zahájením zpracování) určeny a uvedeny účely tohoto zpracování. Obrácený logický řetězec úvah vede k závěru, že provádění jakýchkoli úkonů s osobními údaji při absenci konkrétního účelu zpracování je porušením zásad zpracování, a tedy porušením zákona, předpokladem pro porušení ústavní práva a svobody člověka a občana.

    Výklad normy uvedené v odst. 2. Článek 3 federálního zákona 152 v kontextu, že stanovení cíle není odpovědností provozovatele, ale integrálním znakem, který jej jako takového identifikuje, nevyhnutelně přináší následující paradoxní závěr. Z působnosti zákona jsou vyloučeny takové orgány, jako je Penzijní fond Ruské federace, Fond povinného zdravotního pojištění, Federální daňová služba, Federální migrační služba a mnoho dalších vládních agentur, jejichž povinnosti jsou přímo definovány a podrobně popsány federálními právními předpisy. , a to i v souvislosti s transakcemi s osobními údaji. Uvažovaná premisa rovněž vede k závěru, že telekomunikační operátoři nejsou provozovateli PD, protože účel shromažďování PD účastníků je stanoven v zákoně „o spojích“ a ve stanovách – tzn. určuje stát, nikoli konkrétní osoba poskytující komunikační služby. Totéž platí pro úvěrové instituce, pojišťovny a další organizace, které shromažďují a provádějí další úkony s osobními údaji za účelem boje proti legalizaci (praní) výnosů z trestné činnosti, tzn. pro účely přímo stanovené zákonem „o boji proti legalizaci výnosů z trestné činnosti“, a nikoli těmito organizacemi samotnými. Ve výčtu lze pokračovat do nekonečna, absolutizujeme jen jednu normu zákona a docházíme až k absurditě ve snaze pokusit se o její doslovný výklad na skutečných společenských vztazích.

    Článek 18 federálního zákona č. 152 stanoví povinnosti provozovatele při shromažďování osobních údajů. Patří mezi ně především povinnost provozovatele poskytnout subjektu osobních údajů na jeho žádost informace (článek 14 spolkového zákona 152), včetně informací o účelech zpracování jeho osobních údajů. Zákon při stanovení této povinnosti nečiní výjimky pro provozovatele zpracovávající osobní údaje na základě jakýchkoli federálních zákonů.

    S přihlédnutím k výše uvedenému je tedy zřejmé, že určení účelu zpracování OÚ je v kontextu Zákona ve skutečnosti odpovědností osoby zpracovávající OÚ, nikoli jednou z vlastností, jejichž vlastnictvím je tato osoba operátor.

    Jaká je „definice“ cíle? Pochopení významu slova „definice“ je důležité pro pochopení obsahu právního státu, bez něhož je vymáhání tohoto pravidla nemožné. Protože zákonodárce nepovažoval za nutné zveřejňovat pojem „určení účelu“ v samotném zákoně, přejděme k jedné z metod výkladu uznávané v teorii práva - lexikální (jazykové) interpretaci.

    Podle výkladového slovníku ruského jazyka upraveného prof. D.N.Ushakova, určit prostředky
    Zjistit s přesností, informovat;
    Podat vědecký, logický popis, formulaci pojmu, odhalit jeho obsah;
    Rozhodnout se, rozhodnout o něčem;
    Slouží jako důvod pro vývoj, utváření něčeho, předurčení, podmínka;
    Přiřadit, označit.

    Stanovením účelu zpracování OÚ lze tedy chápat jeho objasnění, výběr, vyčlenění z řady možných účelů, jeho nastavení či označení jako takové, s uvedením tohoto konkrétního účelu (cílů) jako důvodu zpracování OÚ.

    Kontextová analýza obsahu federálního zákona 152, identifikace jeho sémantických souvislostí s jinými prameny práva umožňuje dospět k závěru, že u jednotlivých provozovatelů PD a (nebo) ohledně určitých kategorií subjektů PD mohou být účely zpracování PD skutečně předem stanoveny, resp. i přímo specifikované v zákonech či předpisech (zákoník práce např. konkrétně zaměstnavateli uvádí účely zpracování osobních údajů zaměstnanců). Účel zpracování některých OÚ jinými provozovateli vyplývá z jejich povinností vyplývajících ze smluvních závazků. V některých případech mohou být účely zpracování osobních údajů současně dány jak obsahem obchodní činnosti provozovatele, tak požadavky zákona (provozovatelé komunikace, za účelem výkonu vlastní zákonem stanovené činnosti směřující k dosažení zisku, zpracovávají osobní údaje za účelem poskytování komunikačních služeb a v souladu se zákonem „o komunikacích“) .

    Primárním úkolem osoby zpracovávající osobní údaje je tedy právě verbalizovat účely zpracování osobních údajů, aby sám pochopil, co přesně určuje zpracování osobních údajů fyzických osob konkrétně pro ni. Formulování odpovědi na tuto otázku bude vlastně vymezením účelu zpracování PD.

    V kontextu problému diskutovaného v tomto článku se jeví jako zajímavé stanovisko vlády Ruské federace k novele federálního zákona 152. Dne 5. května 2010 byl přijat návrh zákona předložený Státní dumě jejím náměstkem V. M. Řezníkem v prvním čtení. Tento návrh zákona mimo jiné navrhuje novou formulaci pojmu „provozovatel“, a to:

    Provozovatel je státní orgán, orgán obce, právnická nebo fyzická osoba, která zpracovává osobní údaje, jakož i určování účelů, obsahu a postupu zpracování osobních údajů. Jak vidíme, slovo „organizovat“ bylo ze současné formulace vyloučeno. Vláda Ruské federace ve své oficiální reakci na tento návrh zákona uvádí, že „takovou změnu nelze podpořit, protože osoby, které zpracovávají osobní údaje, ale neurčují účely a obsah zpracování, nelze považovat za provozovatele“. Z výše uvedeného komentáře vlády Ruské federace vyplývá, že v dnešní době (kdy ještě nedošlo ke změně znění zákona) je podle názoru vlády Ruské federace provozovatelem každá osoba, která zpracovává osobní údaje, bez ohledu na přítomnost či nepřítomnost skutečnosti, že určil účely takového zpracování.

    Analýza provedená v tomto článku nám tedy umožňuje vyvodit několik závěrů.
    Určení účelu zpracování PD je odpovědností provozovatele, nikoli povinnou identifikační charakteristikou provozovatele.
    Stanovení účelu zpracování OÚ je proces pochopení, objasnění, upřesnění a verbalizace účelu zpracování OÚ provozovatelem, a to i v případech, kdy jsou takové účely předem určeny a (nebo) vyplývají z ustanovení zákona nebo pravomocí svěřených operátor.

    Od 1. července 2017 se zpřísnila odpovědnost za porušení legislativy o osobních údajích. S jakými osobními údaji musí správcovské organizace nakládat, co mají dělat, pokud majitelé nesouhlasí se zpracováním osobních údajů?

    Hovořili jsme o tom s Dmitrijem Jurijevičem Artjukhinem, šéfem Federální služby pro dohled nad komunikacemi, informačními technologiemi a masovými komunikacemi v Republice Karelia.

    O zpracování osobních údajů

    Dmitriji Yuryevich, řekněte nám, jaké jsou osobní údaje a jsou k dispozici v sektoru bydlení a komunálních služeb?

    Osobní údaj je jakákoli informace, na základě které lze jednoznačně identifikovat konkrétní osobu.

    Zpracování osobních údajů je jakákoli činnost, automatizovaná i neautomatizovaná, která je prováděna s osobními údaji. Jedná se o sběr, evidenci, systematizaci, shromažďování, uchovávání a zpřesňování dat.

    Jako osobní údaje uvádíme příjmení, jméno, patronymii, datum a místo narození osoby a údaje o dokladu totožnosti. A spousta dalších informací, na základě kterých můžete přímo či nepřímo identifikovat konkrétní osobu.

    Je třeba mít na paměti, že pokud není možné identifikovat konkrétní osobu bez získání dalších informací, pak takové informace nejsou osobními údaji.

    V médiích jsou například vyvěšovány seznamy dlužníků. Obsahují příjmení a iniciály. Na základě těchto informací nelze osobu identifikovat. Zcela jiná věc je, pokud manažerská organizace umístí tyto seznamy do vchodu domu, ve kterém člověk žije.

    Se zpracováním osobních údajů jsou samozřejmě spojeny manažerské činnosti MKD. Každá forma řízení: organizace řízení, HOA nebo dokonce přímé řízení zahrnuje shromažďování a zpracování osobních údajů.

    Správcovské organizace uzavírají s vlastníky prostor pro správu bytových domů smlouvy, ve kterých musí být uvedeny osobní údaje. Kromě toho mají správcovské společnosti jako právnické osoby právní vztahy se svými zaměstnanci, které jsou upraveny pracovněprávními předpisy. Provozovateli zpracování osobních údajů jsou tedy manažerské organizace.

    O provozovateli pro zpracování osobních údajů

    Kdo je provozovatelem osobních údajů?

    Provozovatelem osobních údajů je v souladu se zákonem státní orgán, orgán obce, právnická nebo fyzická osoba, která sama nebo s jinými osobami zpracovává osobní údaje. Taková osoba určuje účely zpracování OÚ a jejich složení.

    Provozovatelem osobních údajů se automaticky stává jakákoli právnická osoba, včetně správcovských subjektů, společenství vlastníků domů a družstev.

    Komu má ŘO oznámit, že je provozovatelem osobních údajů?

    Roskomnadzor není třeba oznamovat, pokud provozovatel obdrží osobní údaje na základě smlouvy se subjektem osobních údajů, za předpokladu, že PD nejsou distribuovány nebo předávány třetím stranám.

    Stejné pravidlo platí, pokud se osobní údaje týkají členů veřejného sdružení nebo náboženské organizace, jsou veřejně dostupné a sestávají z příjmení, jména a patronyma. Úplný seznam si můžete přečíst v části 2 článku 22 N 152-FZ.

    O zaslání oznámení oprávněnému orgánu rozhoduje provozovatel osobních údajů. Ať už provozovatel zasílá či nezasílá upozornění, stále zůstává provozovatelem osobních údajů.

    Pravidelně připomínáme právnickým osobám nutnost zasílat nám oznámení (článek 22 N 152-FZ). Není-li právnická osoba zařazena do registru provozovatelů osobních údajů, nezbavuje ji to kontrolních a dozorových opatření.

    Spíše naopak ty právnické osoby, které z našeho pohledu mohou být provozovateli osobních údajů, zpracovávají osobní údaje a nejsou zařazeny v seznamu vylučujícím nutnost zaslání oznámení, ale oznámení nezaslaly, bude s největší pravděpodobností zahrnuto do plánu kontrol.

    Požadavky na oznámení Roskomnadzoru jsou uvedeny v části 3 článku 22 N 152-FZ.

    O souhlasu se zpracováním osobních údajů

    Kdy potřebujete získat souhlas se zpracováním osobních údajů?

    Provozovatel osobních údajů musí být srozuměn s tím, že zpracování osobních údajů lze provádět pouze se souhlasem subjektu osobních údajů nebo jsou-li k tomu jiné právní důvody. Zároveň je třeba poznamenat, že každý jednotlivý případ je individuální.

    Kdo odpovídá za osobní údaje, pokud je správcovská společnost, která zpracovává osobní údaje vlastníků, předá na základě smlouvy třetí osobě?

    Pokud manažerská organizace plánuje pověřit zpracováním osobních údajů třetí osoby, musí mít souhlas subjektu osobních údajů. Pokud takový souhlas neexistuje, bude odpovědný provozovatel. Není třeba získat souhlas, pokud to stanoví federální zákony.

    Osoba, která zpracovává osobní údaje jménem provozovatele, není povinna získat souhlas subjektu osobních údajů se zpracováním jeho osobních údajů. Za tuto situaci nese odpovědnost řídící organizace.

    Co by měla správcovská organizace dělat, pokud vlastník nesouhlasí se zpracováním osobních údajů?

    Neexistuje způsob, jak donutit vlastníka, musíte se pokusit přesvědčit, říct, jaké důsledky mohou pro subjekt vzniknout v případě odmítnutí poskytnout souhlas. V žádném případě však není povoleno zpracování osobních údajů bez souhlasu, pokud neexistují jiné právní důvody pro zpracování osobních údajů.

    Důkazní břemeno souhlasu se zpracováním OÚ nese provozovatel osobních údajů.

    O odpovědnosti za porušení zákonů o osobních údajích

    Jaké pokuty existují a kdo je uděluje?

    Do 1. července 2017 byla stanovena správní odpovědnost za porušení stanoveného postupu pro shromažďování, uchovávání, používání nebo distribuci osobních údajů podle článku 13.11 správního řádu Ruské federace. Pro právnické osoby se jedná o varování nebo uložení správní pokuty od pěti tisíc do deseti tisíc rublů.

    Mechanismus byl následující: Roskomnadzor prováděl kontrolní a dozorovou činnost v oblasti PD. Pokud během činnosti zjistil porušení, oznámil je státnímu zastupitelství k jednání. Státní zastupitelství zprávu posoudilo a v případě zjištění přestupku vydalo rozhodnutí o zahájení správního řízení a zaslalo jej soudu.

    Od prvního července se situace změnila. Nová verze článku 13.11 Kodexu správních deliktů Ruské federace je podrobnější, nyní obsahuje sedm doložek, z nichž všechny se týkají zpracování osobních údajů. Pokuty se zvyšují, Roskomnadzor má pravomoc sepisovat protokoly, tedy iniciovat případy správních deliktů, obcházet státní zastupitelství.

    Maximální pokuta stanovená v článku 13.11 zákoníku o správních deliktech Ruské federace ve znění pozdějších předpisů je 75 000 rublů. Ke zpracování osobních údajů jej bude možné získat i bez získání souhlasu subjektu osobních údajů písemně, pokud to stanoví zákon.



    Mohlo by vás to zajímat