Не путайте операторов связи и операторов обработки персональных данных(согл. 152-фз)
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
ФЗ "О персональных данных" от 27.07.06 г. N 152-ФЗ
- Технократ
- Форумчанин
- Сообщения:
134 - Зарегистрирован:
15 апр 2004 - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Персональные данные, федеральный закон, личная информация
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#62 
5611 » Чт 29 ноя, 2007 11:13 »
вас могут за это наказать.
например как ?
Все операторы местной связи уже есть в списке..
РСОК стала формировать реестр операторов, осуществляющих обработку персональных данных.
http://www.rsoc.ru/site/news/?id_news=462
Есть ли у всех сертифицированные на 29.11.2007 средства защиты обеспечивающие безопасность http://www.electrosvyaz.com/forum/viewtopic.php?t=8699?
- Связной (С)
- Форумчанин
- Сообщения:
18674 - Изображения: 39
- Зарегистрирован:
21 апр 2005 - Откуда:
Мыс Шмидта - Благодарил (а): 663 раз.
- Поблагодарили: 751 раз.
Сообщение:#63 Связной (С) » Чт 29 ноя, 2007 14:03 »
Технократ, да вроде не путаем:Технократ писал(а):Не путайте операторов связи и операторов обработки персональных данных(согл. 152-фз)
Оператор связи вроде бы осуществляет сбор, систематизацию...2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
А где Вы таких увидели?!операторов обработки персональных данных
- Связьконсульт
- Форумчанин
- Сообщения:
97 - Зарегистрирован:
22 апр 2004 - Откуда:
Челябинск - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#64 Связьконсульт » Чт 29 ноя, 2007 14:53 »
5611 писал(а):вас могут за это наказать.
например как ?
13.11 КоАП
- Технократ
- Форумчанин
- Сообщения:
134 - Зарегистрирован:
15 апр 2004 - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#65 Технократ » Чт 29 ноя, 2007 15:16 »
Конкретизируем для ясности.
Я о том, что никакого уведомления в РСОК для обычного оператора связи, отправлять не нужно.
Если все перс. данные получены через договора и списки абонентов не висят в WC.
Т.е. РСОК по идее не должен получить ни одного уведомления от операторов связи.
И нечего на пушку брать:
Я о том, что никакого уведомления в РСОК для обычного оператора связи, отправлять не нужно.
Если все перс. данные получены через договора и списки абонентов не висят в WC.
Т.е. РСОК по идее не должен получить ни одного уведомления от операторов связи.
И нечего на пушку брать:
Формирование Россвязьохранкультурой реестра операторов, осуществляющих обработку персональных данных, в целом должно быть завершено в январе-феврале 2008 года.
Государственные органы, юридические и физические лица, не попавшие в реестр, после 1 января 2008 года не вправе обрабатывать персональные данные.
- Связной (С)
- Форумчанин
- Сообщения:
18674 - Изображения: 39
- Зарегистрирован:
21 апр 2005 - Откуда:
Мыс Шмидта - Благодарил (а): 663 раз.
- Поблагодарили: 751 раз.
Сообщение:#66 Связной (С) » Пт 30 ноя, 2007 04:33 »
А если естьТехнократ писал(а):Если все перс. данные получены через договора и списки абонентов не висят в WC.
то тоже нет?!...действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
- Titul
- Первые 10-ть
- Сообщения:
10 - Зарегистрирован:
23 июл 2007 - Откуда:
Москва - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#67 Titul » Пт 30 ноя, 2007 20:40 »
Связной (С) писал(а):А если естьТехнократ писал(а):Если все перс. данные получены через договора и списки абонентов не висят в WC.то тоже нет?!...действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
так, видимо, обработка персональный данных есть, но уведомлять не надо, если данные только по договорам
все ясно
- СП
- Форумчанин
- Сообщения:
863 - Зарегистрирован:
11 авг 2004 - Благодарил (а): 0 раз.
- Поблагодарили: 9 раз.
Сообщение:#68 СП » Сб 01 дек, 2007 06:01 »
УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ
МАССОВЫХ КОММУНИКАЦИЙ, СВЯЗИ И ОХРАНЫ КУЛЬТУРНОГО
НАСЛЕДИЯ ПО РЕСПУБЛИКЕ БАШКОРТОСТАН
РЕКОМЕНДАЦИИ
ПО ЗАПОЛНЕНИЮ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Управление Россвязьохранкультуры по Республике Башкортостан извещает органы государственной власти и муниципальные органы всех видов, юридические и физические лица, зарегистрированные на территории Республики Башкортостан, осуществляющие обработку персональных данных или намеревающиеся осуществлять такую обработку, о начале приема уведомления об обработке персональных данных согласно статье 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
В соответствии со ст. 25 указанного Закона операторы, осуществляющие обработку персональных данных до дня вступления в силу указанного Закона, обязаны направить уведомление не позднее 1 января 2008 года.
1. Настоящие Рекомендации разработаны в целях установления единых принципов и порядка заполнения уведомления об обработке персональных данных (далее - Уведомление).
2. Уведомление оформляется на бланке органа, осуществляющего обработку персональных данных, и направляется в Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - Россвязьохранкультура) или территориальный орган Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - территориальный орган Россвязьохранкультуры).
3. Уведомление и его поля заполняются с использованием информационных систем, в том числе средств вычислительной техники и связи, реализующих информационные процессы, которые обеспечивают в дальнейшем обработку, хранение и поиск необходимой информации.
4. В поле "тип оператора" указывается тип организации, осуществляющей обработку персональных данных. Указывается одно из следующих значений:
- юридическое лицо;
- физическое лицо (индивидуальный предприниматель);
- государственный орган;
- муниципальный орган.
5. В поле "наименование (фамилия, имя, отчество), адрес оператора" указывается:
5.1. Для юридических лиц:
полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (оператора), осуществляющего обработку персональных данных;
наименование филиала (представительства) юридического лица (оператора), осуществляющего обработку персональных данных;
место нахождения <*>;
--------------------------------
<*> Указывается место нахождения юридического лица (оператора) в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, а также место нахождения филиала юридического лица.
индивидуальный номер налогоплательщика (ИНН).
5.2. Для индивидуальных предпринимателей:
фамилия, имя, отчество индивидуального предпринимателя (оператора);
место жительства <*>;
--------------------------------
<*> Указывается место жительства индивидуального предпринимателя (оператора) в соответствии с данными документа, удостоверяющего личность, и свидетельством о постановке индивидуального предпринимателя на учет в налоговом органе.
ИНН.
5.3. Для физических лиц: фамилия, имя, отчество физического лица (оператора);
место жительства <*>;
--------------------------------
<*> Указывается место жительства физического лица в соответствии с данными документа, удостоверяющего личность.
данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ, удостоверяющий личность.
5.4. Для государственных (муниципальных) органов:
полное наименование государственного (муниципального) органа (оператора) с указанием полного и сокращенного наименования проверяемого лица;
наименование территориального органа (оператора), осуществляющего обработку персональных данных;
место нахождения <*>;
--------------------------------
<*> Указывается место нахождения государственного (муниципального) органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, а также место нахождения филиала юридического лица, в отношении которого проводилось мероприятие по контролю.
индивидуальный номер налогоплательщика (ИНН).
6. В поле "цель обработки персональных данных" указываются цели обработки персональных данных (а также их соответствие полномочиям оператора) (примечание N 1).
Примечание N 1: Под "целью обработки персональных данных" понимаются как цели, указанные в учредительных документах оператора, так и цели, фактически осуществляемой оператором деятельности по обработке персональных данных.
7. В поле "категории персональных данных" указываются одна или несколько категорий персональных данных, подлежащих обработке:
7.1. Непосредственно персональные данные (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация).
7.2. Специальные категории персональных данных (расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни).
7.3. Биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность).
8. В поле "категории субъектов, персональные данные которых обрабатываются" указываются категории субъектов и виды отношений с физическими лицами, персональные данные которых обрабатываются (Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.).
9. В поле "правовое основание обработки персональных данных" указываются:
Федеральный закон, постановление Правительства Российской Федерации, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных (примечание N 1).
Учредительные документы оператора, закрепляющие деятельность по обработке персональных данных (заверенная в установленном законом порядке выписка из учредительных документов - учредительного договора и (или) устава, отражающая наименование юридического лица, место его нахождения, предмет и цели деятельности юридического лица, в том числе по обработке персональных данных).
Номер лицензии на осуществляемый вид деятельности, в том числе по обработке персональных данных, а также, при наличии, выписку из лицензионных условий, закрепляющую запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных (например: лицензия N 10513, выдана ОАО "Первый" ______ (кем выдана) на осуществление _________ (указывается лицензируемый вид деятельности). Пунктом 5 лицензионных условий предусмотрен запрет на передачу персональных данных (или информации, касающейся физических лиц) третьим лицам без согласия в письменной форме субъекта персональных данных (физических лиц) (примечание N 2).
Примечание N 1: Указываются не только соответствующие статьи Федерального закона "О персональных данных", но и статьи нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных. (Например: ст.ст. 85 - 90 Трудового кодекса РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12 Федерального закона "Об актах гражданского состояния" и др.)
Примечание N 2: Номер лицензии и (или) пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), отражается только при наличии лицензии или соответствующего пункта лицензионных условий.
10. В поле "перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных" указываются действия, совершаемые оператором с персональными данными, а также описание используемых оператором способов обработки персональных данных:
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных (примечание N 1).
Примечание N 1. При автоматизированной обработке персональных данных либо смешанной обработке, необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица), либо информация передается с использованием сети общего пользования Интернет, либо без передачи полученной информации.
11. В поле "описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке" указываются организационные и технические меры, в том числе использование шифровальных (криптографических) средств, используемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.
12. В поле "дата начала обработки персональных данных" указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (фактическая дата начала обработки персональных данных).
13. В поле "срок или условие прекращения обработки персональных данных" указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных.
14. В поле "территория обработки" указывается список субъектов РФ (с указанием кода субъекта - согласно справочнику "Коды регионов", утвержденному Приказом ФНС России от 13.10.2006 N САЭ-3-04/706@ "Об отверждении формы сведений о доходах физических лиц"), на территории которых оператором производится обработка персональных данных (примечания NN 1, 2).
Примечание N 1. Если для каких-либо субъектов РФ значения пунктов 3 - 10 отличаются, то для них формируется отдельное уведомление. Таким образом, в одном уведомлении указываются только те субъекты РФ, для которых значения пунктов 3 - 10 общие.
Примечание N 2. Для организаций, учреждений, имеющих филиалы (представительства), указываются юридический и фактический адрес (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). При этом, необходимо уточнить, обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).
Указанное Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Приложение
Уведомление
об обработке персональных данных
(указывается тип оператора)
__________________________________________________________________
(наименование (фамилия, имя, отчество), адрес оператора)
руководствуясь ___________________________________________________
(правовое основание обработки персональных данных)
с целью __________________________________________________________
(цель обработки персональных данных)
осуществляет обработку следующих категорий персональных данных:
__________________________________________________________________
принадлежащих: ___________________________________________________
(категории субъектов, персональные данные которых
__________________________________________________________________
обрабатываются)
Обработка вышеуказанных персональных данных будет
осуществляться путем _____________________________________________
(описание мер, которые оператор обязуется
__________________________________________________________________
осуществлять при обработке персональных данных, по обеспечению
безопасности персональных данных при их обработке)
на территории ____________________________________________________
(указывается территория субъекта(ов), на которой(ых)
осуществляется обработка персональных данных)
Дата начала обработки персональных данных: ___________________
Срок или условие прекращения обработки персональных данных:
__________________________________________________________________
_______________________ (Ф.И.О.)
(должность) (подпись)
"___" ____________ 200_ г.
Прием уведомлений об обработке персональных данных осуществляется с 25.10.2007 по адресу: 450005, г. Уфа, ул. 50-летия Октября, 20/1.
МАССОВЫХ КОММУНИКАЦИЙ, СВЯЗИ И ОХРАНЫ КУЛЬТУРНОГО
НАСЛЕДИЯ ПО РЕСПУБЛИКЕ БАШКОРТОСТАН
РЕКОМЕНДАЦИИ
ПО ЗАПОЛНЕНИЮ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Управление Россвязьохранкультуры по Республике Башкортостан извещает органы государственной власти и муниципальные органы всех видов, юридические и физические лица, зарегистрированные на территории Республики Башкортостан, осуществляющие обработку персональных данных или намеревающиеся осуществлять такую обработку, о начале приема уведомления об обработке персональных данных согласно статье 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
В соответствии со ст. 25 указанного Закона операторы, осуществляющие обработку персональных данных до дня вступления в силу указанного Закона, обязаны направить уведомление не позднее 1 января 2008 года.
1. Настоящие Рекомендации разработаны в целях установления единых принципов и порядка заполнения уведомления об обработке персональных данных (далее - Уведомление).
2. Уведомление оформляется на бланке органа, осуществляющего обработку персональных данных, и направляется в Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - Россвязьохранкультура) или территориальный орган Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - территориальный орган Россвязьохранкультуры).
3. Уведомление и его поля заполняются с использованием информационных систем, в том числе средств вычислительной техники и связи, реализующих информационные процессы, которые обеспечивают в дальнейшем обработку, хранение и поиск необходимой информации.
4. В поле "тип оператора" указывается тип организации, осуществляющей обработку персональных данных. Указывается одно из следующих значений:
- юридическое лицо;
- физическое лицо (индивидуальный предприниматель);
- государственный орган;
- муниципальный орган.
5. В поле "наименование (фамилия, имя, отчество), адрес оператора" указывается:
5.1. Для юридических лиц:
полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (оператора), осуществляющего обработку персональных данных;
наименование филиала (представительства) юридического лица (оператора), осуществляющего обработку персональных данных;
место нахождения <*>;
--------------------------------
<*> Указывается место нахождения юридического лица (оператора) в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, а также место нахождения филиала юридического лица.
индивидуальный номер налогоплательщика (ИНН).
5.2. Для индивидуальных предпринимателей:
фамилия, имя, отчество индивидуального предпринимателя (оператора);
место жительства <*>;
--------------------------------
<*> Указывается место жительства индивидуального предпринимателя (оператора) в соответствии с данными документа, удостоверяющего личность, и свидетельством о постановке индивидуального предпринимателя на учет в налоговом органе.
ИНН.
5.3. Для физических лиц: фамилия, имя, отчество физического лица (оператора);
место жительства <*>;
--------------------------------
<*> Указывается место жительства физического лица в соответствии с данными документа, удостоверяющего личность.
данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ, удостоверяющий личность.
5.4. Для государственных (муниципальных) органов:
полное наименование государственного (муниципального) органа (оператора) с указанием полного и сокращенного наименования проверяемого лица;
наименование территориального органа (оператора), осуществляющего обработку персональных данных;
место нахождения <*>;
--------------------------------
<*> Указывается место нахождения государственного (муниципального) органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, а также место нахождения филиала юридического лица, в отношении которого проводилось мероприятие по контролю.
индивидуальный номер налогоплательщика (ИНН).
6. В поле "цель обработки персональных данных" указываются цели обработки персональных данных (а также их соответствие полномочиям оператора) (примечание N 1).
Примечание N 1: Под "целью обработки персональных данных" понимаются как цели, указанные в учредительных документах оператора, так и цели, фактически осуществляемой оператором деятельности по обработке персональных данных.
7. В поле "категории персональных данных" указываются одна или несколько категорий персональных данных, подлежащих обработке:
7.1. Непосредственно персональные данные (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация).
7.2. Специальные категории персональных данных (расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни).
7.3. Биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность).
8. В поле "категории субъектов, персональные данные которых обрабатываются" указываются категории субъектов и виды отношений с физическими лицами, персональные данные которых обрабатываются (Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.).
9. В поле "правовое основание обработки персональных данных" указываются:
Федеральный закон, постановление Правительства Российской Федерации, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных (примечание N 1).
Учредительные документы оператора, закрепляющие деятельность по обработке персональных данных (заверенная в установленном законом порядке выписка из учредительных документов - учредительного договора и (или) устава, отражающая наименование юридического лица, место его нахождения, предмет и цели деятельности юридического лица, в том числе по обработке персональных данных).
Номер лицензии на осуществляемый вид деятельности, в том числе по обработке персональных данных, а также, при наличии, выписку из лицензионных условий, закрепляющую запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных (например: лицензия N 10513, выдана ОАО "Первый" ______ (кем выдана) на осуществление _________ (указывается лицензируемый вид деятельности). Пунктом 5 лицензионных условий предусмотрен запрет на передачу персональных данных (или информации, касающейся физических лиц) третьим лицам без согласия в письменной форме субъекта персональных данных (физических лиц) (примечание N 2).
Примечание N 1: Указываются не только соответствующие статьи Федерального закона "О персональных данных", но и статьи нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных. (Например: ст.ст. 85 - 90 Трудового кодекса РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12 Федерального закона "Об актах гражданского состояния" и др.)
Примечание N 2: Номер лицензии и (или) пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), отражается только при наличии лицензии или соответствующего пункта лицензионных условий.
10. В поле "перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных" указываются действия, совершаемые оператором с персональными данными, а также описание используемых оператором способов обработки персональных данных:
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных (примечание N 1).
Примечание N 1. При автоматизированной обработке персональных данных либо смешанной обработке, необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица), либо информация передается с использованием сети общего пользования Интернет, либо без передачи полученной информации.
11. В поле "описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке" указываются организационные и технические меры, в том числе использование шифровальных (криптографических) средств, используемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.
12. В поле "дата начала обработки персональных данных" указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (фактическая дата начала обработки персональных данных).
13. В поле "срок или условие прекращения обработки персональных данных" указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных.
14. В поле "территория обработки" указывается список субъектов РФ (с указанием кода субъекта - согласно справочнику "Коды регионов", утвержденному Приказом ФНС России от 13.10.2006 N САЭ-3-04/706@ "Об отверждении формы сведений о доходах физических лиц"), на территории которых оператором производится обработка персональных данных (примечания NN 1, 2).
Примечание N 1. Если для каких-либо субъектов РФ значения пунктов 3 - 10 отличаются, то для них формируется отдельное уведомление. Таким образом, в одном уведомлении указываются только те субъекты РФ, для которых значения пунктов 3 - 10 общие.
Примечание N 2. Для организаций, учреждений, имеющих филиалы (представительства), указываются юридический и фактический адрес (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). При этом, необходимо уточнить, обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).
Указанное Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Приложение
Уведомление
об обработке персональных данных
(указывается тип оператора)
__________________________________________________________________
(наименование (фамилия, имя, отчество), адрес оператора)
руководствуясь ___________________________________________________
(правовое основание обработки персональных данных)
с целью __________________________________________________________
(цель обработки персональных данных)
осуществляет обработку следующих категорий персональных данных:
__________________________________________________________________
принадлежащих: ___________________________________________________
(категории субъектов, персональные данные которых
__________________________________________________________________
обрабатываются)
Обработка вышеуказанных персональных данных будет
осуществляться путем _____________________________________________
(описание мер, которые оператор обязуется
__________________________________________________________________
осуществлять при обработке персональных данных, по обеспечению
безопасности персональных данных при их обработке)
на территории ____________________________________________________
(указывается территория субъекта(ов), на которой(ых)
осуществляется обработка персональных данных)
Дата начала обработки персональных данных: ___________________
Срок или условие прекращения обработки персональных данных:
__________________________________________________________________
_______________________ (Ф.И.О.)
(должность) (подпись)
"___" ____________ 200_ г.
Прием уведомлений об обработке персональных данных осуществляется с 25.10.2007 по адресу: 450005, г. Уфа, ул. 50-летия Октября, 20/1.
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#69 5611 » Чт 06 дек, 2007 10:52 »
...ФЗ приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК...
Я работаю в отделе кадров. Недавно мне позвонили из банка и попросили адрес и телефон нашего бывшего сотрудника. Я отказала, поскольку считаю, что не обязана предоставлять такую информацию. Правильно ли я поступила?
Статья 85 ТК РФ определяет, что персональные данные работника – это «информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся самого работника». В данном случае работник состоял в трудовых отношениях с вашей организацией, и адрес его проживания и контактный телефон являются его персональными данными.
Статья 88 ТК РФ запрещает работодателю сообщать персональные данные работника третьей стороне без его письменного согласия, «за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами».
Так что работодатель или его представитель не то что не обязан, а не вправе сообщать банку какие-либо сведения о работнике, даже бывшем. Вы поступили абсолютно правильно.
http://www.vacansia.ru/index.php?act=co ... estion=922
На разглашение данных я, может, согласия не давал
Федеральная миграционная служба определила порядок предоставления всем заинтересованным лицам адресной и иной информации (включая паспортные данные) о гражданах. Любой сможет бесплатно получить эти сведения, но только с согласия самого гражданина, которому ФМС будет высылать специальный запрос. Но предусмотрены и исключения.
Подписанный директором Федеральной миграционной службы (ФМС) Константином Ромодановским документ называется громоздко – Административный регламент исполнения государственной функции по организации и ведению адресно-справочной работы. В конце ноября он прошел регистрацию в Минюсте и вступит в силу через 10 дней после официального опубликования. Он призван обеспечить право граждан на защиту персональных данных. Но всех нюансов их предоставления, судя по тексту нормативного акта, не знают даже его разработчики.
Молчание несогласных
В адресной базе, доставшейся ФМС от паспортной службы органов внутренних дел (миграционное ведомство входит в структуру МВД России), содержится достаточно полное досье на всех россиян и зарегистрированных в нашей стране иностранцах: фамилия, имя, отчество, пол, дата и место рождения, гражданство, дата и адрес регистрации по месту жительства, паспортные данные, сведения о предыдущих местах жительства, смене фамилий и даже – отдельная графа – о смене пола.
Вся эта информация является персональными данными, а потому может быть предоставлена только с согласия самого гражданина. Поэтому введена достаточно сложная схема. Сведения вправе запросить любой желающий – государственный орган, частная компания, физическое лицо и т.д. Для этого достаточно просто написать заявление в отдел адресно-справочной работы (АСР) соответствующего регионального подразделения ФМС. Можно даже по электронной почте (специальный адрес управления по Санкт-Петербургу и Ленобласти – msksend@pct15.passport.peter.spb.mvd.ru). Получив заявление от организации, чиновники в течение двух рабочих дней направляют в адрес гражданина, сведения о котором запрашиваются, специальное уведомление с предложением дать свое согласие. В случае если в течение 30 дней с момента поступления обращения таковое (в письменном виде) не поступило, в адрес заинтересованного лица направляется уведомление об отказе. Если согласие получено, то заявителю высылается адресная справка.
Когда же по запрашиваемым данным (например, по имени и фамилии) найдено сразу несколько человек, заявителю направляется письмо с предложением предоставить дополнительные сведения (отчество, дата, место рождения, и т.д.).
Эта схема, формально, защищает граждан от раскрытия их персональных данных. В запросе указываются реквизиты заявителя и, если разыскиваемый гражданин заинтересован в установлении связи с ним (например, это его бывший друг, одноклассник, родственник, однополчанин или др.), то он сможет сам отреагировать. То есть ФМС выступает в роли бесплатной службы сообщений.
С другой стороны, невооруженным глазом видна как минимум одна простая схема вторжения. С большой вероятностью можно предвидеть, что подавляющее большинство граждан не будут отвечать на запрос ФМС: молчание рассматривается как отказ в предоставлении информации. Но запрашивающая эти сведения организация (например, ООО «Рога и копыта») точно знает, что гражданину направлено уведомление – ФМС ставит заявителя в известность об этом. Учитывая, что у соответствующей службы нет возможности проводить идентификацию подписи гражданина, почему бы не направить фальсифицированное согласие от его имени?
Тайн нет
Но все эти ограничения не касаются «полномочных органов» – внутренних дел, предварительного следствия, дознания, судов и судебных приставов, органов, осуществляющих оперативно-розыскную деятельность, а также всех иных структур государственной власти и даже местного самоуправления. Для них установлен особый порядок: требовать предоставить персональные сведения о гражданине они могут и без его согласия. Но только в случае, если такое право им предоставлено нормативным актом. Ссылку на этот документ заявитель должен указать в запросе.
Получается, что руководство ФМС не имеет полного перечня случаев, когда законодательство допускает получение таких сведений. Иначе зачем было давать столь расплывчатое определение и возлагать на рядовых сотрудников ведомства практически непосильный труд ежедневно проводить анализ (фактически юридическую экспертизу) законодательства? Стандартные формулировки о полномочиях – «запрашивать и получать ... информацию, документы и материалы, необходимые для осуществления возложенных задач», записаны в положение практически каждого госоргана (например, любого комитета правительства Санкт-Петербурга — к примеру, по спорту). Получается, что сотрудник ФМС должен будет в отведенные регламентом три рабочих дня установить, что запрашиваемые сведения действительно касаются вопросов развития физкультуры в городе, а городское правительство имеет право регулировать вопрос предоставления персональных данных (федеральный закон не дает субъектам Федерации таких полномочий).
Зачастую даже судебные инстанции неоднозначно трактуют отдельные положения закона, допускающие получение конфиденциальной информации. Например, по Федеральному закону «О защите конкуренции» все организации (государственные и частные) обязаны предоставлять Федеральной антимонопольной службе всю запрашиваемую ею информацию, в том числе составляющую любую охраняемую законом тайну (!). Получается, что рядовой служащий антимонопольного ведомства получает доступ к государственным тайнам даже самой высокой степени секретности? И вправе ли это ведомство требовать от миграционной службы персональные данные граждан, не являющихся предпринимателями (хозяйствующими субъектами)?
Право без права
В каждом подразделении ФМС должна также функционировать круглосуточная телефонная справочная служба. Получать адресную информацию смогут только уполномоченные должностные лица, которым выделен пароль. Кому и на каких условиях такое право и, соответственно, пароли выделяются, регламент не устанавливает.
Но даже при всех указанных изъянах, принятый документ – первая реальная попытка реализации вступившего в силу в январе 2007 года Федерального закона «О персональных данных». На сегодняшний день он повсеместно нарушается. Не гнушаются собирать паспортные сведения посетителей охранники бизнес-центров, хотя это можно делать только с письменного добровольного согласия гражданина (например, у всех входящих в офис банка «Санкт-Петербург» просто сканируют паспорт). В метро и на лотках открыто продаются диски с адресными базами (якобы актуальными, на самом деле – 2002 года). Реальных санкций (уголовной ответственности) за нарушение закона не установлено.
http://www.fontanka.ru/2007/12/03/069/
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#70 5611 » Пт 07 дек, 2007 12:57 »
На территории Приморского края множество организаций всех форм собственности, которые в силу производственной необходимости ведут учет персональных данных своих сотрудников. Однако не всегда эти данные должным образом защищены, а сами организации не торопятся подавать уведомления о себе в уполномоченный государственный контролирующий орган – Россвязьохранкультуру.
Как сообщили информагентству «Восток-Медиа» в управлении Россвязьохранкультуры по Приморскому краю, в соответствии с Федеральным законом №152-ФЗ от 27.06.2007 г. все государственные, муниципальные органы власти, юридические и физические лица, осуществляющие обработку персональных данных (клиентов, абонентов, пассажиров, заемщиков, вкладчиков и пр.) обязаны предоставить уведомление по установленной законом форме в управление Россвязьохранкультуры по Приморскому краю по адресу: 690022, Владивосток, ул. Беломорская, 18, тел. 31-28-44.
Как сообщили в управлении, после 1 января 2008 г. граждане и организации, не уведомившие Россвязьохранкультуру об обработке персональных данных в установленном законом порядке, будут привлекаться к ответственности в соответствии с нормами действующего законодательства.
Отметим также, что в конце ноября премьер-министр РФ Виктор Зубков подписал «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Положение, в числе прочего, отвечает на вопрос, кто именно отвечает за разработку нормативной базы к «Закону о персональных данных» в части хранения и обработки этих данных - это поручено Федеральной службе по техническому и экспортному контролю (ФСТЭК) и ФСБ РФ. Речь идет об установлении методов и способов защиты информации в информационных системах, определении каналов утечки информации при обработке персональных данных, оценке исследований средств защиты данных, согласовании правил пользования средствами защиты информации, определении перечня индексов, условных наименований и регистрационных номеров для учета средств защиты информации.
Классификацию информационных систем ведомства проведут совместно с Мининформсвязи РФ. Производством, реализацией и эксплуатацией криптографических средств защиты информации будет заниматься ФСБ РФ. Напомним, что «Закон о персональных данных» вступил в действие с начала 2007 года, и теперь он должен получить нормативно-методическую базу.
http://vostokmedia.com/news.details.php?id=101333
Как сообщили информагентству «Восток-Медиа» в управлении Россвязьохранкультуры по Приморскому краю, в соответствии с Федеральным законом №152-ФЗ от 27.06.2007 г. все государственные, муниципальные органы власти, юридические и физические лица, осуществляющие обработку персональных данных (клиентов, абонентов, пассажиров, заемщиков, вкладчиков и пр.) обязаны предоставить уведомление по установленной законом форме в управление Россвязьохранкультуры по Приморскому краю по адресу: 690022, Владивосток, ул. Беломорская, 18, тел. 31-28-44.
Как сообщили в управлении, после 1 января 2008 г. граждане и организации, не уведомившие Россвязьохранкультуру об обработке персональных данных в установленном законом порядке, будут привлекаться к ответственности в соответствии с нормами действующего законодательства.
Отметим также, что в конце ноября премьер-министр РФ Виктор Зубков подписал «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Положение, в числе прочего, отвечает на вопрос, кто именно отвечает за разработку нормативной базы к «Закону о персональных данных» в части хранения и обработки этих данных - это поручено Федеральной службе по техническому и экспортному контролю (ФСТЭК) и ФСБ РФ. Речь идет об установлении методов и способов защиты информации в информационных системах, определении каналов утечки информации при обработке персональных данных, оценке исследований средств защиты данных, согласовании правил пользования средствами защиты информации, определении перечня индексов, условных наименований и регистрационных номеров для учета средств защиты информации.
Классификацию информационных систем ведомства проведут совместно с Мининформсвязи РФ. Производством, реализацией и эксплуатацией криптографических средств защиты информации будет заниматься ФСБ РФ. Напомним, что «Закон о персональных данных» вступил в действие с начала 2007 года, и теперь он должен получить нормативно-методическую базу.
http://vostokmedia.com/news.details.php?id=101333
- Lazer
- Форумчанин
- Сообщения:
54 - Зарегистрирован:
03 май 2005 - Откуда:
Архангельск - Благодарил (а): 2 раз.
- Поблагодарили: 0 раз.
Сообщение:#71 Lazer » Пн 10 дек, 2007 11:37 »
5611 писал(а):На территории Приморского края множество организаций всех форм собственности, которые в силу производственной необходимости ведут учет персональных данных своих сотрудников.
а статья 22 разве не об этом?
"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;......."
- Nikolas
- Форумчанин
- Сообщения:
354 - Зарегистрирован:
17 авг 2006 - Откуда:
Россия - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#72 Nikolas » Пн 10 дек, 2007 12:09 »
Однако "наверху есть мнение" (с), что поскольку все данные из кадров попадают в бухгалтерию, а оттуда в ежегодные отчеты пенсионного фонда, налоговой и д.п. - вообщем дальше понятно...
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#73 5611 » Пт 04 янв, 2008 11:56 »
"Аэрофлот", S7 Airlines ("Сибирь"), "Уральские авиалинии" и "Трансаэро" уже предложили своим пассажирам бронирование и продажу авиабилетов через ...
К новогодним праздникам авиакомпания "Уральские авиалинии" подготовила подарок своим пассажирам. Новая услуга sms-информирование поможет быстро и удобно получать важную информацию от авиакомпании.
Информация о рейсах, новых предложениях, состоянии счета для участников программы "Крылья" или отчеты о статусе Интернет-заказа, будут мгновенно доставляться пассажирам, подписавшимся на соответствующую услугу.
Пробные "эсэмэски" принесут новогоднее поздравление от авиакомпании пассажирам, ранее регистрировавшим свои абонентские номера в базе "Уральских авиалиний".
Для всех желающих подписаться на sms-сервис разрабатываются четыре варианта информационных пакетов:
Общие новости и специальные предложения от авиакомпании;
Для участников программы "Крылья": специальные предложения и отчеты об операциях по счету;
Об изменениях, связанных с определенным рейсом (согласно новым федеральным авиационным правилам об обязательном информировании пассажиров);
Информация о статусе заказа авиабилета через Интернет-кассу.
Подписаться на информационную рассылку можно будет на сайте http://www.uralairlines.com
http://www.aviaport.ru/digest/2007/12/29/134132.html
- lazoukov
- Форумчанин
- Сообщения:
140 - Зарегистрирован:
16 июл 2007 - Откуда:
Москва - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#74 lazoukov » Ср 09 янв, 2008 12:05 »
PsevdoS писал(а):В тексте про это нет. Но и выдирать из биллинга старый договор не хочется.JK писал(а):Закон, насколько я понимаю, касается электронных баз данных.
Что-то мне помнится про хранение тарификационной первички в течение срока исковой давности. Логично, что помимо первички надо хранить информацию о том, к кому она относилась...
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#75 5611 » Чт 31 янв, 2008 16:58 »
рассказал руководитель управления Россвязьохранкультуры по Самарской области Дмитрий Балыков.
...
- Согласно постановлению правительства РФ от 15 декабря 2007 года на Россвязьохранкультуру возложены функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства в области персональных данных...
- Да, это еще одно новое для нас направление. Функция очень сложная, требующая проведения значительного объема работ по сбору и регистрации сведений об операторах баз персональных данных. В связи с этим проводится расширение штата как центрального аппарата Россвязьохранкультуры, так и территориальных управлений. Сейчас главная задача управления Россвязьохранкультуры по Самарской области - обеспечить формирование государственного реестра операторов баз персональных данных. Еще одна не менее важная задача - обеспечить реализацию положений закона о персональных данных, в том числе защиту интересов граждан. Поскольку мы теперь являемся органом, на который возложен контроль за исполнением закона о персональных данных, мы будем представлять в суде интересы лиц, в отношении которых был нарушен закон о персональных данных. Это очень сложная задача.
... http://mediacratia.ru/owa/mc/mc_publica ... a_id=20559
...
- Согласно постановлению правительства РФ от 15 декабря 2007 года на Россвязьохранкультуру возложены функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства в области персональных данных...
- Да, это еще одно новое для нас направление. Функция очень сложная, требующая проведения значительного объема работ по сбору и регистрации сведений об операторах баз персональных данных. В связи с этим проводится расширение штата как центрального аппарата Россвязьохранкультуры, так и территориальных управлений. Сейчас главная задача управления Россвязьохранкультуры по Самарской области - обеспечить формирование государственного реестра операторов баз персональных данных. Еще одна не менее важная задача - обеспечить реализацию положений закона о персональных данных, в том числе защиту интересов граждан. Поскольку мы теперь являемся органом, на который возложен контроль за исполнением закона о персональных данных, мы будем представлять в суде интересы лиц, в отношении которых был нарушен закон о персональных данных. Это очень сложная задача.
... http://mediacratia.ru/owa/mc/mc_publica ... a_id=20559
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#76 5611 » Чт 20 мар, 2008 15:37 »
Весь пафос международных стандартов и всех национальных законов по персональным данным сводится к обеспечению прав и свобод субъектов персональных данных.
В практическом смысле, реализация этих прав и свобод зависит, прежде всего, от возможности для субъектов персональных данных:
- получать доступ к персональным данным (проверять, корректировать и пр.);
- требовать от контролера персональных данных совершать определенные действия, связанные с обладанием этими данными, или запрещать обработку своих данных;
- предъявлять претензии к контролерам персональных данных.
В свою очередь, эти права субъектов персональных данных мало чего стоят и не могут быть в полной мере реализованы, если субъект персональных данных не имеет возможности получать информацию о производимой обработке своих данных.
Евродиректива предусматривает три основных пути получения необходимой информации:
- получение информации от контролера персональных данных собирающего данные у субъекта;
- получение информации от контролера персональных данных, собирающего данные не у субъекта;
- получение информации с использованием механизма, поддерживаемого уполномоченным органом реестра обработок персональных данных.
Ранее были рассмотрены требования Евродирективы, относящиеся к правам субъекта персональных данных быть уведомленным о деталях, связанных с обработкой своих персональных данных, когда:
- персональные данные собираются непосредственно у него;
- персональные данные получаются из иных источников.
Во втором случае могут существовать причины, по которым контролер персональных данных не ставит субъекта этих данных в известность об их обработке. В частности, Евродиректива предоставляет национальным законодателям возможность освободить контролеров персональных данных от обязанности уведомления субъектов этих данных об обработке, если это требует от контролера непропорциональных усилий или это невозможно по объективным причинам.
Соответственно, повышается роль определенного Евродирективой механизма ведения общедоступного реестра обработок персональных данных и связанной с ним процедурой уведомления уполномоченного органа об обработке персональных данных. Пользуясь общедоступным реестром обработок, любой гражданин получает возможность обнаружить факт обработки своих персональных данных и ознакомиться с теми подробностями обработки, которые имеют для него важное значение.
Евродиректива в статье 18 определяет обязанности контролеров персональных данных по уведомлению уполномоченного органа о производимой обработке.
Одновременно, в статье 19 Евродиректива определяет состав сведений, включаемых в уведомление, а в статье 21 определяет статус поддерживаемого уполномоченным органом реестра обработок.
Статья 18. Обязанность уведомлять надзорный орган
1. Государства-участники обеспечат, что контролер или его представитель, если таковой имеется, должен уведомить надзорный орган, указанный в ст. 28 перед осуществлением полностью или частично любой операции по автоматической обработке, либо набора таких операций, предназначенных служить единой цели или нескольким связанным целям.
2. Государства-участники могут в целях упрощения или освобождения от уведомления установить только в следующих случаях нижеследующие условия:
если для категорий операций по обработке, которые - с учетом обрабатываемых данных - едва ли могут существенно нарушить права и свободы субъекта данных, - они определяют цели обработки, данные или категории данных, подлежащие обработке, категорию или категории субъектов данных, получателей или категории получателей, которым раскрываются данные, и продолжительность времени, в течение которого данные хранятся, и/или
если контролер, в соответствии с национальным законом, регулирующим его деятельность, назначает должностное лицо по защите персональных данных, ответственное, в частности:
за обеспечение применения национальных положений, принятых на основании настоящей Директивы;
за ведение реестра операций по обработке, проводимых контролером, с указанием единиц информации, указанных в ст. 21(2),
таким образом гарантируя, что права и свободы субъекта данных едва ли могут быть существенно нарушены операциями по обработке.
3. Государства-участники могут установить, что п. 1 не применяется к обработке, единственной целью которой является ведение реестра, который в соответствии с законами и нормативными актами предназначен для предоставления информации общественности и который доступен либо общественности в целом, либо любому лицу, проявляющему законный интерес.
4. Государства-участники могут установить освобождение от обязанности уведомления или упрощение уведомления в случае операций по обработке, указанных в ст. 8(2)(d).
5. Государства-участники могут оговорить, что об отдельных либо всех неавтоматизированных операциях по обработке, касающихся персональных данных, должно делаться уведомление, либо установить для таких операций упрощенное уведомление.
Статья 19. Содержание уведомления
1. Государства-участники могут определить информацию, указываемую в уведомлении. Оно, по меньшей мере, должно включать:
(a) имя (наименование) и адрес контролера и его представителя, если таковой имеется;
(b) цель или цели обработки;
(c) описание категории или категорий субъекта данных и данных, или категории относящихся к ним данных;
(d) получателей или категории получателей, которым могут раскрываться данные;
(e) предполагаемую передачу в третьи страны;
(f) общее описание, позволяющее произвести предварительную оценку правомерности мер, принятых согласно ст. 17 для обеспечения безопасности обработки.
2. Государства-участники установят процедуры, согласно которым надлежит уведомлять надзорный орган о любых изменениях, касающихся информации, указанной в п. 1.
Статья 21. Гласность операций по обработке
1. Государства-участники примут меры для обеспечения гласности операций по обработке.
2. Государства-участники обеспечат, чтобы в надзорном органе велся реестр операций по обработке, о которых делается уведомление в соответствии со ст. 18.
Реестр должен, по меньшей мере, содержать информацию, перечисленную в ст. 19 (1) (а)-(е).
С реестром может знакомиться любое лицо.
3. Государства-участники обеспечат, применительно к операциям по обработке, не подлежащим уведомлению, что контролеры или иной орган, назначенный государствами-участниками, сделают доступной любому лицу по запросу в надлежащей форме по меньшей мере информацию, указанную в ст. 19 (1) (а)-(е).
Государства-участники могут установить, что данное положение не применяется к обработке, единственной целью которой является ведение реестра, который в соответствии с законами или нормативными актами предназначен для представления информации общественности и который доступен либо общественности в целом, либо любому лицу, имеющему законный интерес.
Перечень сведений, содержащихся в уведомлении и доступных каждому гражданину, в целом повторяет тот перечень сведений, которые должны быть предоставлены контролером персональных данных в случаях, предусмотренных статьями 10 и 11 Евродирективы.
Второй причиной введения механизма уведомления является необходимость предоставить уполномоченному органу в рамках, предусмотренных законом, возможность вмешиваться в процесс обработки персональных данных. В этом случае уполномоченный орган получает возможность действовать как правоприменитель.
Однако очевидно, что тотальность уведомления об обработке не в состоянии обеспечить в должной мере защиту прав и законных интересов граждан. Тотальность уведомления и связанная с ней тотальность реестра обработок:
- неразумна с точки зрения эффективности использования реестра гражданами. Субъект персональных данных не будет метаться по огромному реестру в поисках своего потенциального «обидчика». В этом смысле тотальность реестра обработок имеет неприятный лицемерный оттенок;
- накладна, поскольку требует серьезных усилий и затрат как со стороны государства, так и со стороны контролеров персональных данных.
Наконец, тотальность реестра затрудняет уполномоченному органу возможность выделить из всего огромного массива обработок те из них, которые потенциально наиболее «чувствительны» для субъектов персональных данных и требуют, соответственно, повышенного к себе внимания.
Необходимость специальных действий со стороны уполномоченного органа в части подобных категорий обработок персональных данных определена в статье 20 Евродирективы.
Статья 20. Предварительная проверка
1. Государства-участники определят операции по обработке, которые могут с большой вероятностью представлять особый риск для прав и свобод субъектов данных и будут контролировать, чтобы такие операции по обработке проверялись до их начала.
2. Такие предварительные проверки должны осуществляться надзорным органом вслед за получением уведомления от контролера или должностного лица, отвечающего за защиту данных, который при наличии сомнений должен обратиться за консультацией в надзорный орган.
3. Государства-участники могут также проводить такие проверки в контексте подготовки либо меры национального парламента, либо меры, основанной на такой законодательной мере, определяющих характер обработки и устанавливающих надлежащие гарантии.
Отвечая на вопрос о разумных пределах уведомления и связанных с ними разумных пределах объема реестра обработок, Евродиректива предлагает национальным законодателям возможность воспользоваться несколькими вариантами организации процесса уведомления:
- подвергать обязательной регистрации обработку наиболее «чувствительных» данных (например, особых) с возможностью для уполномоченного органа по своему усмотрению вмешиваться (контролировать) в эту обработку;
- предоставить возможность большому числу контролеров не регистрироваться. При этом Евродиректива устанавливает для этой категории контролеров персональных данных вполне разумные с точки зрения жизненной практики требования –
· персонифицировать ответственность перед законом за обработку на уровне этих контролеров персональных данных, чтобы все претензии, в первую очередь, претензии со стороны субъектов персональных данных, не «повисали в воздухе»;
· сделать существо своей политики в области обработки персональных данных публичной, т.е. составить соответствующий документ и опубликовать его, скажем, в Интернете.
Очевидно, что этот инструмент часто гораздо более эффективен, т.к. позволяет субъекту персональных данных (непосредственно сталкивающемуся с контролером персональных данных) выбирать – иметь или не иметь с контролером дело. Это имеет еще и то неоспоримое преимущество перед реестром, что субъекту не нужно будет судорожно выискивать в огромном реестре обработок контролера
персональных данных. Наконец, эта возможность позволяет самим контролерам персональных данных осознанно подойти к задаче обеспечения открытости своей политики и тщательно продумать эту политику. Такой подход признан весьма полезным в пяти странах Евросоюза.
- установить перечень обработок (скажем, в целях прямого маркетинга), которые потенциально наиболее безобидны для субъекта персональных данных и могут быть в целом освобождены от регистрации. Практически во всех странах Евросоюза воспользовались такой возможностью, предоставленной Евродирективой. Евродиректива обращается также к национальным законодателям с предложением освободить от обязательной регистрации некоммерческие организации, обрабатывающие особые персональные данные для своих уставных целей, при выполнении условий, накладываемых статьей 8(2)(d) Евродирективы.
Рассмотрев опыт применения института уведомления об обработке и соответствующее влияние этого института на достижение главной цели – защиту прав и свобод субъектов персональных данных – «Рабочая группа 29-й статьи» сформулировала ряд рекомендаций национальным законодателям[1]:
1. Рабочая группа предлагает странам-членам Евросоюза использовать полезную возможность, предоставленную Евродирективой, применения механизмов, упрощающих процедуру уведомления, и исключений из обязательности уведомления. Там, где эти возможности не используются, необходимо рассмотреть возможность законодательно предоставить уполномоченному органу право самому решать вопрос о целесообразности применения указанных механизмов.
2. Процесс уведомления не должен иметь бюрократический характер. Учитывая, что одной из целей уведомления является воспитание правовой культуры контролеров персональных данных, форма уведомления и предъявляемые к содержанию требования должны быть удобны и понятны для контролеров. Эта рекомендация особенно важна для тех стран, где отсутствует или минимален опыт реализации института уведомления.
3. Рабочая группа настоятельно рекомендует, чтобы в тех случаях, где это возможно, широко применялась электронная форма подготовки и отправки уведомления. Следует также обратить внимание на опыт некоторых стран (например, Великобритании), где подготовлены и используются для заполнения уведомлений стандартные перечени возможных категорий обрабатываемых персональных данных и целей обработки.
4. Учитывая опыт ряда стран Евросоюза, необходимо рассмотреть возможность самого широкого применения механизмов
персонификации ответственности на уровне контролеров персональных данных и опубликования контролерами своей политики в области персональных данных, что является альтернативой правовому институту уведомления уполномоченного органа. Следует учитывать при этом тот факт, что данный механизм не умаляет возможности уполномоченного органа получать по мере необходимости нужную для правоприменения информацию и, как минимум, не снижает для субъектов персональных данных возможность получения нужных для них подробностей, связанных с обработкой персональных данных. Наконец, данная практика позволяет достичь сверхцели – поднятия правовой культуры контролеров персональных данных и граждан.
Необходимость таких рекомендаций определяется той исторической нагрузкой, которая объективно довлеет над национальными европейскими законодателями. В частности, условия 70-х и 80-х годов, когда роль уполномоченных органов считалась определяющей в «наведении порядка» в данной области, наложили отпечаток на те правила, которые были приняты ведущими в тот момент странами (Германией, Францией, Швецией). С другой стороны, опыт этих стран, которые возглавили процесс создания правового поля, имеет для других стран большое значение. Одним из отрицательных результатов усвоения этого опыта явилось то, что в подавляющем большинстве стран Евросоюза уведомление или предоставление информации уполномоченному органу до сих пор расценивается как определяющее в процессе регулирования отношений.
Российский законодатель, следуя примеру многих европейских стран и предписав общее правило уведомления об обработке персональных данных, установил перечень обработок, уведомления (регистрации в реестре) о произведении обработки которых не требуется (Статья 22):
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в
части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Первое, что следует отметить, это то, что законодатель предпочел освободить от обязанности уведомления определенные категории операторов, а не операции по обработке (включая, разумеется, категории обрабатываемых персональных данных). Это тем более странно, что именно контроль над производимыми операциями с персональными данными, наиболее чувствительными для их субъекта, является основной темой Закона. В данной ситуации получается, что, например, работодатель, производя обработку особых персональных данных (скажем, сведений, относящихся к здоровью работников), в любом случае освобождается от обязанности уведомления о производимой обработке[2].
Одновременно, уполномоченный орган лишается возможности выполнения одной из своих важнейших миссий – следить за наиболее чувствительными для граждан областями, в которых обрабатываются их персональные данные, и принимать адекватные меры защиты интересов граждан.
В рассматриваемой статье законодатель также обязал оператора включать в состав уведомления сведения, относящиеся к правовым основаниям обработки персональных данных. Вопрос об использовании понятия «правового основания обработки персональных данных» непосредственно связан с вопросом целесообразности использования в Законе таких категорий, как «полномочия оператора» и правовое основание цели обработки персональных данных». Эти вопросы были подробно рассмотрены ранее.
Наконец, законодатель посчитал нецелесообразным использование механизма, альтернативного обязательному уведомлению – механизма персонификации ответственности на уровне контролеров персональных данных и опубликования контролерами своей политики в области персональных данных.
С учетом сказанного выше (рекомендаций «Рабочей группы 29-й статьи» и обоснования этих рекомендаций), следует надеется, что в будущем законодатель, получив необходимый опыт в регуляции отношений, связанных с уведомлением и участием государства в процессе контроля в области персональных данных, изменит свое отношение к принципам регуляции.
--------------------------------------------------------------------------------
[1] WP 106, Article 29 Working Party report on the obligation to notify the national supervisory authorities, the best use of exceptions and simplification and the role of the data protection officers in the European Union
[2] В этом смысле характерен термин, использованный в Законе – реестр операторов (а не реестр обработок персональных данных).
http://travkin333.livejournal.com/14628.html
В практическом смысле, реализация этих прав и свобод зависит, прежде всего, от возможности для субъектов персональных данных:
- получать доступ к персональным данным (проверять, корректировать и пр.);
- требовать от контролера персональных данных совершать определенные действия, связанные с обладанием этими данными, или запрещать обработку своих данных;
- предъявлять претензии к контролерам персональных данных.
В свою очередь, эти права субъектов персональных данных мало чего стоят и не могут быть в полной мере реализованы, если субъект персональных данных не имеет возможности получать информацию о производимой обработке своих данных.
Евродиректива предусматривает три основных пути получения необходимой информации:
- получение информации от контролера персональных данных собирающего данные у субъекта;
- получение информации от контролера персональных данных, собирающего данные не у субъекта;
- получение информации с использованием механизма, поддерживаемого уполномоченным органом реестра обработок персональных данных.
Ранее были рассмотрены требования Евродирективы, относящиеся к правам субъекта персональных данных быть уведомленным о деталях, связанных с обработкой своих персональных данных, когда:
- персональные данные собираются непосредственно у него;
- персональные данные получаются из иных источников.
Во втором случае могут существовать причины, по которым контролер персональных данных не ставит субъекта этих данных в известность об их обработке. В частности, Евродиректива предоставляет национальным законодателям возможность освободить контролеров персональных данных от обязанности уведомления субъектов этих данных об обработке, если это требует от контролера непропорциональных усилий или это невозможно по объективным причинам.
Соответственно, повышается роль определенного Евродирективой механизма ведения общедоступного реестра обработок персональных данных и связанной с ним процедурой уведомления уполномоченного органа об обработке персональных данных. Пользуясь общедоступным реестром обработок, любой гражданин получает возможность обнаружить факт обработки своих персональных данных и ознакомиться с теми подробностями обработки, которые имеют для него важное значение.
Евродиректива в статье 18 определяет обязанности контролеров персональных данных по уведомлению уполномоченного органа о производимой обработке.
Одновременно, в статье 19 Евродиректива определяет состав сведений, включаемых в уведомление, а в статье 21 определяет статус поддерживаемого уполномоченным органом реестра обработок.
Статья 18. Обязанность уведомлять надзорный орган
1. Государства-участники обеспечат, что контролер или его представитель, если таковой имеется, должен уведомить надзорный орган, указанный в ст. 28 перед осуществлением полностью или частично любой операции по автоматической обработке, либо набора таких операций, предназначенных служить единой цели или нескольким связанным целям.
2. Государства-участники могут в целях упрощения или освобождения от уведомления установить только в следующих случаях нижеследующие условия:
если для категорий операций по обработке, которые - с учетом обрабатываемых данных - едва ли могут существенно нарушить права и свободы субъекта данных, - они определяют цели обработки, данные или категории данных, подлежащие обработке, категорию или категории субъектов данных, получателей или категории получателей, которым раскрываются данные, и продолжительность времени, в течение которого данные хранятся, и/или
если контролер, в соответствии с национальным законом, регулирующим его деятельность, назначает должностное лицо по защите персональных данных, ответственное, в частности:
за обеспечение применения национальных положений, принятых на основании настоящей Директивы;
за ведение реестра операций по обработке, проводимых контролером, с указанием единиц информации, указанных в ст. 21(2),
таким образом гарантируя, что права и свободы субъекта данных едва ли могут быть существенно нарушены операциями по обработке.
3. Государства-участники могут установить, что п. 1 не применяется к обработке, единственной целью которой является ведение реестра, который в соответствии с законами и нормативными актами предназначен для предоставления информации общественности и который доступен либо общественности в целом, либо любому лицу, проявляющему законный интерес.
4. Государства-участники могут установить освобождение от обязанности уведомления или упрощение уведомления в случае операций по обработке, указанных в ст. 8(2)(d).
5. Государства-участники могут оговорить, что об отдельных либо всех неавтоматизированных операциях по обработке, касающихся персональных данных, должно делаться уведомление, либо установить для таких операций упрощенное уведомление.
Статья 19. Содержание уведомления
1. Государства-участники могут определить информацию, указываемую в уведомлении. Оно, по меньшей мере, должно включать:
(a) имя (наименование) и адрес контролера и его представителя, если таковой имеется;
(b) цель или цели обработки;
(c) описание категории или категорий субъекта данных и данных, или категории относящихся к ним данных;
(d) получателей или категории получателей, которым могут раскрываться данные;
(e) предполагаемую передачу в третьи страны;
(f) общее описание, позволяющее произвести предварительную оценку правомерности мер, принятых согласно ст. 17 для обеспечения безопасности обработки.
2. Государства-участники установят процедуры, согласно которым надлежит уведомлять надзорный орган о любых изменениях, касающихся информации, указанной в п. 1.
Статья 21. Гласность операций по обработке
1. Государства-участники примут меры для обеспечения гласности операций по обработке.
2. Государства-участники обеспечат, чтобы в надзорном органе велся реестр операций по обработке, о которых делается уведомление в соответствии со ст. 18.
Реестр должен, по меньшей мере, содержать информацию, перечисленную в ст. 19 (1) (а)-(е).
С реестром может знакомиться любое лицо.
3. Государства-участники обеспечат, применительно к операциям по обработке, не подлежащим уведомлению, что контролеры или иной орган, назначенный государствами-участниками, сделают доступной любому лицу по запросу в надлежащей форме по меньшей мере информацию, указанную в ст. 19 (1) (а)-(е).
Государства-участники могут установить, что данное положение не применяется к обработке, единственной целью которой является ведение реестра, который в соответствии с законами или нормативными актами предназначен для представления информации общественности и который доступен либо общественности в целом, либо любому лицу, имеющему законный интерес.
Перечень сведений, содержащихся в уведомлении и доступных каждому гражданину, в целом повторяет тот перечень сведений, которые должны быть предоставлены контролером персональных данных в случаях, предусмотренных статьями 10 и 11 Евродирективы.
Второй причиной введения механизма уведомления является необходимость предоставить уполномоченному органу в рамках, предусмотренных законом, возможность вмешиваться в процесс обработки персональных данных. В этом случае уполномоченный орган получает возможность действовать как правоприменитель.
Однако очевидно, что тотальность уведомления об обработке не в состоянии обеспечить в должной мере защиту прав и законных интересов граждан. Тотальность уведомления и связанная с ней тотальность реестра обработок:
- неразумна с точки зрения эффективности использования реестра гражданами. Субъект персональных данных не будет метаться по огромному реестру в поисках своего потенциального «обидчика». В этом смысле тотальность реестра обработок имеет неприятный лицемерный оттенок;
- накладна, поскольку требует серьезных усилий и затрат как со стороны государства, так и со стороны контролеров персональных данных.
Наконец, тотальность реестра затрудняет уполномоченному органу возможность выделить из всего огромного массива обработок те из них, которые потенциально наиболее «чувствительны» для субъектов персональных данных и требуют, соответственно, повышенного к себе внимания.
Необходимость специальных действий со стороны уполномоченного органа в части подобных категорий обработок персональных данных определена в статье 20 Евродирективы.
Статья 20. Предварительная проверка
1. Государства-участники определят операции по обработке, которые могут с большой вероятностью представлять особый риск для прав и свобод субъектов данных и будут контролировать, чтобы такие операции по обработке проверялись до их начала.
2. Такие предварительные проверки должны осуществляться надзорным органом вслед за получением уведомления от контролера или должностного лица, отвечающего за защиту данных, который при наличии сомнений должен обратиться за консультацией в надзорный орган.
3. Государства-участники могут также проводить такие проверки в контексте подготовки либо меры национального парламента, либо меры, основанной на такой законодательной мере, определяющих характер обработки и устанавливающих надлежащие гарантии.
Отвечая на вопрос о разумных пределах уведомления и связанных с ними разумных пределах объема реестра обработок, Евродиректива предлагает национальным законодателям возможность воспользоваться несколькими вариантами организации процесса уведомления:
- подвергать обязательной регистрации обработку наиболее «чувствительных» данных (например, особых) с возможностью для уполномоченного органа по своему усмотрению вмешиваться (контролировать) в эту обработку;
- предоставить возможность большому числу контролеров не регистрироваться. При этом Евродиректива устанавливает для этой категории контролеров персональных данных вполне разумные с точки зрения жизненной практики требования –
· персонифицировать ответственность перед законом за обработку на уровне этих контролеров персональных данных, чтобы все претензии, в первую очередь, претензии со стороны субъектов персональных данных, не «повисали в воздухе»;
· сделать существо своей политики в области обработки персональных данных публичной, т.е. составить соответствующий документ и опубликовать его, скажем, в Интернете.
Очевидно, что этот инструмент часто гораздо более эффективен, т.к. позволяет субъекту персональных данных (непосредственно сталкивающемуся с контролером персональных данных) выбирать – иметь или не иметь с контролером дело. Это имеет еще и то неоспоримое преимущество перед реестром, что субъекту не нужно будет судорожно выискивать в огромном реестре обработок контролера
персональных данных. Наконец, эта возможность позволяет самим контролерам персональных данных осознанно подойти к задаче обеспечения открытости своей политики и тщательно продумать эту политику. Такой подход признан весьма полезным в пяти странах Евросоюза.
- установить перечень обработок (скажем, в целях прямого маркетинга), которые потенциально наиболее безобидны для субъекта персональных данных и могут быть в целом освобождены от регистрации. Практически во всех странах Евросоюза воспользовались такой возможностью, предоставленной Евродирективой. Евродиректива обращается также к национальным законодателям с предложением освободить от обязательной регистрации некоммерческие организации, обрабатывающие особые персональные данные для своих уставных целей, при выполнении условий, накладываемых статьей 8(2)(d) Евродирективы.
Рассмотрев опыт применения института уведомления об обработке и соответствующее влияние этого института на достижение главной цели – защиту прав и свобод субъектов персональных данных – «Рабочая группа 29-й статьи» сформулировала ряд рекомендаций национальным законодателям[1]:
1. Рабочая группа предлагает странам-членам Евросоюза использовать полезную возможность, предоставленную Евродирективой, применения механизмов, упрощающих процедуру уведомления, и исключений из обязательности уведомления. Там, где эти возможности не используются, необходимо рассмотреть возможность законодательно предоставить уполномоченному органу право самому решать вопрос о целесообразности применения указанных механизмов.
2. Процесс уведомления не должен иметь бюрократический характер. Учитывая, что одной из целей уведомления является воспитание правовой культуры контролеров персональных данных, форма уведомления и предъявляемые к содержанию требования должны быть удобны и понятны для контролеров. Эта рекомендация особенно важна для тех стран, где отсутствует или минимален опыт реализации института уведомления.
3. Рабочая группа настоятельно рекомендует, чтобы в тех случаях, где это возможно, широко применялась электронная форма подготовки и отправки уведомления. Следует также обратить внимание на опыт некоторых стран (например, Великобритании), где подготовлены и используются для заполнения уведомлений стандартные перечени возможных категорий обрабатываемых персональных данных и целей обработки.
4. Учитывая опыт ряда стран Евросоюза, необходимо рассмотреть возможность самого широкого применения механизмов
персонификации ответственности на уровне контролеров персональных данных и опубликования контролерами своей политики в области персональных данных, что является альтернативой правовому институту уведомления уполномоченного органа. Следует учитывать при этом тот факт, что данный механизм не умаляет возможности уполномоченного органа получать по мере необходимости нужную для правоприменения информацию и, как минимум, не снижает для субъектов персональных данных возможность получения нужных для них подробностей, связанных с обработкой персональных данных. Наконец, данная практика позволяет достичь сверхцели – поднятия правовой культуры контролеров персональных данных и граждан.
Необходимость таких рекомендаций определяется той исторической нагрузкой, которая объективно довлеет над национальными европейскими законодателями. В частности, условия 70-х и 80-х годов, когда роль уполномоченных органов считалась определяющей в «наведении порядка» в данной области, наложили отпечаток на те правила, которые были приняты ведущими в тот момент странами (Германией, Францией, Швецией). С другой стороны, опыт этих стран, которые возглавили процесс создания правового поля, имеет для других стран большое значение. Одним из отрицательных результатов усвоения этого опыта явилось то, что в подавляющем большинстве стран Евросоюза уведомление или предоставление информации уполномоченному органу до сих пор расценивается как определяющее в процессе регулирования отношений.
Российский законодатель, следуя примеру многих европейских стран и предписав общее правило уведомления об обработке персональных данных, установил перечень обработок, уведомления (регистрации в реестре) о произведении обработки которых не требуется (Статья 22):
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в
части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Первое, что следует отметить, это то, что законодатель предпочел освободить от обязанности уведомления определенные категории операторов, а не операции по обработке (включая, разумеется, категории обрабатываемых персональных данных). Это тем более странно, что именно контроль над производимыми операциями с персональными данными, наиболее чувствительными для их субъекта, является основной темой Закона. В данной ситуации получается, что, например, работодатель, производя обработку особых персональных данных (скажем, сведений, относящихся к здоровью работников), в любом случае освобождается от обязанности уведомления о производимой обработке[2].
Одновременно, уполномоченный орган лишается возможности выполнения одной из своих важнейших миссий – следить за наиболее чувствительными для граждан областями, в которых обрабатываются их персональные данные, и принимать адекватные меры защиты интересов граждан.
В рассматриваемой статье законодатель также обязал оператора включать в состав уведомления сведения, относящиеся к правовым основаниям обработки персональных данных. Вопрос об использовании понятия «правового основания обработки персональных данных» непосредственно связан с вопросом целесообразности использования в Законе таких категорий, как «полномочия оператора» и правовое основание цели обработки персональных данных». Эти вопросы были подробно рассмотрены ранее.
Наконец, законодатель посчитал нецелесообразным использование механизма, альтернативного обязательному уведомлению – механизма персонификации ответственности на уровне контролеров персональных данных и опубликования контролерами своей политики в области персональных данных.
С учетом сказанного выше (рекомендаций «Рабочей группы 29-й статьи» и обоснования этих рекомендаций), следует надеется, что в будущем законодатель, получив необходимый опыт в регуляции отношений, связанных с уведомлением и участием государства в процессе контроля в области персональных данных, изменит свое отношение к принципам регуляции.
--------------------------------------------------------------------------------
[1] WP 106, Article 29 Working Party report on the obligation to notify the national supervisory authorities, the best use of exceptions and simplification and the role of the data protection officers in the European Union
[2] В этом смысле характерен термин, использованный в Законе – реестр операторов (а не реестр обработок персональных данных).
http://travkin333.livejournal.com/14628.html
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#77 5611 » Ср 07 май, 2008 15:27 »
В романе фантаста Василия Головачева «Пропуск в будущее», поступившем в продажу этой весной, появилась сноска, предлагающая читателям узнать, что значит «проходить дальше пояса Койпера», упомянутого в беседе героев. Информацию можно было получить, позвонив или написав sms-сообщение на короткие телефонные номера.
Технологию размещения платной справочной информации, дополняющей книгу, предложило «Эксмо» рекламное агентство «Фабула». Инициатива не понравилась читателям, тем более что желающие удовлетворить любопытство сделать этого не смогли — сервисы не были активированы. Но за звонок и sms со счета абонента списывалось по 34 руб. Пресс-служба «Эксмо» в обращении объяснила, что произошло «досадное недоразумение»: решив опробовать новую технологию, компания внесла в текст восемь коммерческих ссылок, а затем совместно с автором отказалась от акции. «Мы посчитали, что читатели вправе за свои деньги получать полный текст книги и все дополнительные справки к нему», — объясняет Мария Маркова, директор по общественным и корпоративным отношениям «Эксмо». Но из-за технической ошибки одна сноска попала в окончательный вариант книги.
Извинения здесь мало, считает Дмитрий Янин, председатель правления КОНФОП: читатели могут попытаться через суд взыскать с «Эксмо» компенсацию за то, что их не предупредили о платности сервиса. Если предложить пострадавшим какое-то возмещение, это обойдется недорого: когда цена услуги невысока, за компенсацией обращается один из ста, говорит Янин. Тираж «Пропуска в будущее» — 55 000 экземпляров.
В издательстве пока не знают, как компенсировать неоказанную услугу. «Эксмо» не может получить у операторов, принимавших звонки и sms, данные об отправителях — передавать их запрещает закон «О персональных данных», — говорит Маркова.
Сотрудник «Фабулы» сообщил, что инцидент с «Эксмо» не отразился на проекте, переговоры о размещении платных сносок в книгах ведутся еще с тремя издательствами.
http://www.vedomosti.ru/newspaper/artic ... /06/147710
Похожий случай
Корпорация Starbucks в 2006 г. разослала сотне сотрудников купоны на бесплатную чашку кофе по электронной почте. Те пустили купоны в широкую рассылку, и сеть прекратила акцию. Одна из обиженных сотрудниц подала иск к Starbucks на $114 млн.
Технологию размещения платной справочной информации, дополняющей книгу, предложило «Эксмо» рекламное агентство «Фабула». Инициатива не понравилась читателям, тем более что желающие удовлетворить любопытство сделать этого не смогли — сервисы не были активированы. Но за звонок и sms со счета абонента списывалось по 34 руб. Пресс-служба «Эксмо» в обращении объяснила, что произошло «досадное недоразумение»: решив опробовать новую технологию, компания внесла в текст восемь коммерческих ссылок, а затем совместно с автором отказалась от акции. «Мы посчитали, что читатели вправе за свои деньги получать полный текст книги и все дополнительные справки к нему», — объясняет Мария Маркова, директор по общественным и корпоративным отношениям «Эксмо». Но из-за технической ошибки одна сноска попала в окончательный вариант книги.
Извинения здесь мало, считает Дмитрий Янин, председатель правления КОНФОП: читатели могут попытаться через суд взыскать с «Эксмо» компенсацию за то, что их не предупредили о платности сервиса. Если предложить пострадавшим какое-то возмещение, это обойдется недорого: когда цена услуги невысока, за компенсацией обращается один из ста, говорит Янин. Тираж «Пропуска в будущее» — 55 000 экземпляров.
В издательстве пока не знают, как компенсировать неоказанную услугу. «Эксмо» не может получить у операторов, принимавших звонки и sms, данные об отправителях — передавать их запрещает закон «О персональных данных», — говорит Маркова.
Сотрудник «Фабулы» сообщил, что инцидент с «Эксмо» не отразился на проекте, переговоры о размещении платных сносок в книгах ведутся еще с тремя издательствами.
http://www.vedomosti.ru/newspaper/artic ... /06/147710
Похожий случай
Корпорация Starbucks в 2006 г. разослала сотне сотрудников купоны на бесплатную чашку кофе по электронной почте. Те пустили купоны в широкую рассылку, и сеть прекратила акцию. Одна из обиженных сотрудниц подала иск к Starbucks на $114 млн.
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#78 5611 » Пт 23 май, 2008 12:56 »
Газета "Ведомости" провела 20 мая конференцию "Информационная безопасность бизнеса", на которой присутствовали как представители бизнеса, так и чиновники. Отношения между бизнесом и государством в области информационной безопасности сейчас связаны с защитой персональных данных, которую предприниматели должны обеспечивать в соответствии с законом. Однако соблюдение требований закона "О персональных данных", а точнее, связанных с ним подзаконных актов может привести к сильному удорожанию использования информационных технологий. Так, Михаил Емельянников, заместитель коммерческого директора "Информзащиты", оценивает стоимость работ по удовлетворению техническим требованиям закона "О персональных данных" даже для небольших компаний в несколько миллионов рублей.
Собственно, способов оптимизации расходов может быть несколько. В частности, поскольку закон формулирует требования к информационным системам, обрабатывающим персональные данные, то можно отказаться от хранения указанных в законе сведений в информационной системе, а обрабатывать их в печатном виде и хранить в сейфе. Для идентификации же пользователей в информационной системе можно использовать обезличенный идентификатор, такой как регистрационный номер или ИНН. В больших информационных системах, к примеру, как у мобильных операторов, стоит отделить персональные данные от остальной информации, также связав массивы данных нейтральным идентификатором, например номером лицевого счета. Тогда можно не защищать биллинговые и другие оперативные системы, поскольку в них не будет защищаемых законом данных.
Вторым способом решения проблемы защиты персональных данных является передача их обслуживания сторонней компании, которая уже будет специализироваться на выполнении требований закона. Скорее всего, вступление в действие закона "О персональных данных" стимулирует развитие рынка аутсорсинга услуг защиты информации, а точнее, хранения и обработки персональных данных. Одним из возможных кандидатов на роль подобных аутсорсеров являются удостоверяющие центры, сеть которых создается в соответствии с законом ''Об ЭЦП".
Еще одним из возможных последствий введения в действие существующего закона "О персональных данных" является удешевление средств защиты и интеграция их в CRM-, ERP-, биллинговые и другие системы. Это может повлиять и на расстановку сил в индустрии программного обеспечения.
А возможно, что ничего этого не произойдет по крайней мере до 1 января 2010 года, пока требования не станут обязательными. "Требования закона настолько тяжело реализовать, - полагает Емельянников, - что без репрессивных мер никто ничего делать не будет."
Следует отметить, что закон "О персональных данных" может привести в том числе и к увеличению анонимности. В частности, в законе есть норма, позволяющая в случае желания их владельца изъять персональные данные из любой системы. Иными словами, владелец мобильного номера вправе будет потребовать изъятия своего имени и паспортных данных из информационной системы оператора. Однако подобная анонимность может привести к серьезным проблемам в обществе. "Анонимностью пользуется преступник в темном переулке, - отметил Борис Мирошников, начальник Бюро специальных технических мероприятий МВД России. - Сейчас Internet уже превратился в такой темный переулок. Именно злоумышленники больше всего заинтересованы в сокрытии своих персональных данных." Тем не менее МВД как ведомство охраны правопорядка будет следить за соблюдением в том числе и закона "О персональных данных". В частности, Мирошников заявил: "Персональные данные мы будем защищать, а с анонимностью - бороться".
Впрочем, кроме персональных данных, которые бизнесу придется защищать, есть еще и другие типы тайн, - они позволяют компаниям ограничивать доступ к ценной информации, в частности, и со стороны самого государства. Если на предприятии есть коммерческая тайна, конфиденциальная информация или другие секреты, то даже в случае законных требований предоставления информации компания может и должна контролировать процесс предоставления сведений государственным чиновникам.
Надо защищать информацию и от от разглашения консультантами, другими экспертами, которым эти данные переданы для анализа, аудита или других целей. Пока соответствующих законов нет, поэтому предприятиям приходится заключать соглашения о неразглашении полученных в процессе работы сведений.
http://www.osp.ru/news/articles/2008/20 ... eed=yandex
Собственно, способов оптимизации расходов может быть несколько. В частности, поскольку закон формулирует требования к информационным системам, обрабатывающим персональные данные, то можно отказаться от хранения указанных в законе сведений в информационной системе, а обрабатывать их в печатном виде и хранить в сейфе. Для идентификации же пользователей в информационной системе можно использовать обезличенный идентификатор, такой как регистрационный номер или ИНН. В больших информационных системах, к примеру, как у мобильных операторов, стоит отделить персональные данные от остальной информации, также связав массивы данных нейтральным идентификатором, например номером лицевого счета. Тогда можно не защищать биллинговые и другие оперативные системы, поскольку в них не будет защищаемых законом данных.
Вторым способом решения проблемы защиты персональных данных является передача их обслуживания сторонней компании, которая уже будет специализироваться на выполнении требований закона. Скорее всего, вступление в действие закона "О персональных данных" стимулирует развитие рынка аутсорсинга услуг защиты информации, а точнее, хранения и обработки персональных данных. Одним из возможных кандидатов на роль подобных аутсорсеров являются удостоверяющие центры, сеть которых создается в соответствии с законом ''Об ЭЦП".
Еще одним из возможных последствий введения в действие существующего закона "О персональных данных" является удешевление средств защиты и интеграция их в CRM-, ERP-, биллинговые и другие системы. Это может повлиять и на расстановку сил в индустрии программного обеспечения.
А возможно, что ничего этого не произойдет по крайней мере до 1 января 2010 года, пока требования не станут обязательными. "Требования закона настолько тяжело реализовать, - полагает Емельянников, - что без репрессивных мер никто ничего делать не будет."
Следует отметить, что закон "О персональных данных" может привести в том числе и к увеличению анонимности. В частности, в законе есть норма, позволяющая в случае желания их владельца изъять персональные данные из любой системы. Иными словами, владелец мобильного номера вправе будет потребовать изъятия своего имени и паспортных данных из информационной системы оператора. Однако подобная анонимность может привести к серьезным проблемам в обществе. "Анонимностью пользуется преступник в темном переулке, - отметил Борис Мирошников, начальник Бюро специальных технических мероприятий МВД России. - Сейчас Internet уже превратился в такой темный переулок. Именно злоумышленники больше всего заинтересованы в сокрытии своих персональных данных." Тем не менее МВД как ведомство охраны правопорядка будет следить за соблюдением в том числе и закона "О персональных данных". В частности, Мирошников заявил: "Персональные данные мы будем защищать, а с анонимностью - бороться".
Впрочем, кроме персональных данных, которые бизнесу придется защищать, есть еще и другие типы тайн, - они позволяют компаниям ограничивать доступ к ценной информации, в частности, и со стороны самого государства. Если на предприятии есть коммерческая тайна, конфиденциальная информация или другие секреты, то даже в случае законных требований предоставления информации компания может и должна контролировать процесс предоставления сведений государственным чиновникам.
Надо защищать информацию и от от разглашения консультантами, другими экспертами, которым эти данные переданы для анализа, аудита или других целей. Пока соответствующих законов нет, поэтому предприятиям приходится заключать соглашения о неразглашении полученных в процессе работы сведений.
http://www.osp.ru/news/articles/2008/20 ... eed=yandex
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#79 5611 » Вт 24 июн, 2008 15:33 »
ИНФО
Житель Владивостока через суд добился исключения из кредитного «черного списка»
17 июня Ленинским районным судом Владивостока удовлетворены исковые требования приморского Управления Россвязьохранкультуры к Сбербанку России в защиту нарушенных прав субъекта персональных данных.
Основанием для подачи иска в суд явилось незаконное занесение сведений о гражданине Ж. без его согласия в информационную базу данных банка "Стоп-лист". Между этим гражданином и банком был заключен договор поручительства, по которому он отвечал перед банком за исполнение своим знакомым Ч. обязательств по кредиту. Знакомый не выполнил свои обязательства в установленный срок, сведения о гражданине Ж. как о неблагонадёжном клиенте были занесены в автоматизированную информационную систему банка "Стоп-лист", что стало основанием для отказа в предоставлении гражданину Ж. кредита.
При этом банк даже не уведомил гражданина Ж. о ненадлежащем выполнении плательщиком своих обязательств. Между тем, в договоре поручительства не указано, что в случае невыполнения заёмщиком и поручителем своих обязательств банк вправе вносить сведения о поручителе в информационную систему "Стоп-лист".
Таким образом, в нарушение требования ч.1 ст.9 Федерального закона "О персональных данных" банком осуществлялась обработка персональных данных гражданина без его согласия. Кроме того, в порядке, предусмотренном законом, гражданин Ж. обращался в банк с требованием ознакомить его со сведениями, занесёнными о нём в информационную систему "Стоп-лист", а также о блокировании этих сведений и их уничтожении. Банком было отказано в удовлетворении требований гражданина Ж.
По результатам рассмотрения вышеизложенного дела суд признал действия банка незаконными и обязал банк уничтожить сведения о гражданине Ж. из информационной системы "Стоп-лист".
http://news.vl.ru/vlad/2008/06/19/kredit/
Житель Владивостока через суд добился исключения из кредитного «черного списка»
17 июня Ленинским районным судом Владивостока удовлетворены исковые требования приморского Управления Россвязьохранкультуры к Сбербанку России в защиту нарушенных прав субъекта персональных данных.
Основанием для подачи иска в суд явилось незаконное занесение сведений о гражданине Ж. без его согласия в информационную базу данных банка "Стоп-лист". Между этим гражданином и банком был заключен договор поручительства, по которому он отвечал перед банком за исполнение своим знакомым Ч. обязательств по кредиту. Знакомый не выполнил свои обязательства в установленный срок, сведения о гражданине Ж. как о неблагонадёжном клиенте были занесены в автоматизированную информационную систему банка "Стоп-лист", что стало основанием для отказа в предоставлении гражданину Ж. кредита.
При этом банк даже не уведомил гражданина Ж. о ненадлежащем выполнении плательщиком своих обязательств. Между тем, в договоре поручительства не указано, что в случае невыполнения заёмщиком и поручителем своих обязательств банк вправе вносить сведения о поручителе в информационную систему "Стоп-лист".
Таким образом, в нарушение требования ч.1 ст.9 Федерального закона "О персональных данных" банком осуществлялась обработка персональных данных гражданина без его согласия. Кроме того, в порядке, предусмотренном законом, гражданин Ж. обращался в банк с требованием ознакомить его со сведениями, занесёнными о нём в информационную систему "Стоп-лист", а также о блокировании этих сведений и их уничтожении. Банком было отказано в удовлетворении требований гражданина Ж.
По результатам рассмотрения вышеизложенного дела суд признал действия банка незаконными и обязал банк уничтожить сведения о гражданине Ж. из информационной системы "Стоп-лист".
http://news.vl.ru/vlad/2008/06/19/kredit/
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#80 5611 » Вт 24 июн, 2008 15:36 »
ИНФО
Прокуратура Железнодорожного района Самары выявила нарушение законодательства о персональных данных.
Закон нарушил индивидуальный предприниматель Кононенко, оказывающий спортивно-оздоровительные услуги в фитнес-клубе "Ботек".
30 октября 2007 года гражданка Снопова получила членство в клубе "Ботек", что подтверждает соответствующий договор. 12 марта 2008 года она попросила компанию предоставить ей информацию касающуюся сбора, систематизации, накопления, хранения, использования, распространения, уничтожения ее персональных данных (фамилии, имени, отчества, год, месяц, дата и место рождения, адреса, семейного, социального, имущественного положения, образования, профессии, дохода). Ответ на заявление Снопова не получила, хотя он должен быть предоставлен в течение десяти рабочих дней с момента получения запроса.
Теперь в отношении Кононенко возбуждено дело об административном правонарушении, предусмотренном ст.13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах), оно направлено мировому судье судебного участка N4 Железнодорожного района.
http://news.smbc.ru/main/2008/06/18/10249.html
Прокуратура Железнодорожного района Самары выявила нарушение законодательства о персональных данных.
Закон нарушил индивидуальный предприниматель Кононенко, оказывающий спортивно-оздоровительные услуги в фитнес-клубе "Ботек".
30 октября 2007 года гражданка Снопова получила членство в клубе "Ботек", что подтверждает соответствующий договор. 12 марта 2008 года она попросила компанию предоставить ей информацию касающуюся сбора, систематизации, накопления, хранения, использования, распространения, уничтожения ее персональных данных (фамилии, имени, отчества, год, месяц, дата и место рождения, адреса, семейного, социального, имущественного положения, образования, профессии, дохода). Ответ на заявление Снопова не получила, хотя он должен быть предоставлен в течение десяти рабочих дней с момента получения запроса.
Теперь в отношении Кононенко возбуждено дело об административном правонарушении, предусмотренном ст.13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах), оно направлено мировому судье судебного участка N4 Железнодорожного района.
http://news.smbc.ru/main/2008/06/18/10249.html
Вернуться в Последние новости отрасли
Кто сейчас на конференции
Сейчас этот форум просматривают: Trendiction [Bot] и гости: 14
- Телекомфорум • Активные темы •
- • Мобильный вид • Удалить cookies конференции • Текущее время: Пн 16 июн, 2025 09:52
Перейти на сайт
© 2003 - 2014 Electrosvyaz
Мнения участников форума могут не совпадать с мнением администрации форума. Администрация форума не несет ответственности за размещенные сообщения пользователей.
Все права защищены. Свободное некоммерческое использование материалов сайта и форума в интернете, полное или частичное, допускается при условии указания авторства electrosvyaz.com и активной ссылки на первоисточник, обязательной для каждого взятого текста и/или файла.
Powered by phpBB © 2003 - 2013 phpBB Group.