Задавался вопрос о необходимости уведомления РКН об обработке ПДн.
К сожалению, подавляющему большинству компаний нужно подавать уведомление. Рассмотрим подробнее:
Статья 22, п.2 ФЗ № 152:
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
(ту все понятно)
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
(этот пункт закрывает много головной боли, потому что позволяет обрабатывать ПДн в целях исполнения договора, например, договора перевозки, туристического договора и т.д.)
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
(копаться не будем тут все понятно)
4) являющихся общедоступными персональными данными;
( ПДн станут общедоступными только тогда, когда у вас будет письменное согласие субъекта на перевод его персональных данных в категорию общедоступных, причем выходить за перечень данных, указанных в согласии, вы не можете. Предоставить доказательство общедоступности необходимо самому оператору. )
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
(понятно)
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
(не забываем, что после выхода субъекта с территории, данные необходимо уничтожить)
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
(это касается различных баз сепаратистов и т.д.)
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
(этим пунктом очень любят прикрываться, когда декларируют неавтоматизированную обработку по ПП №687, про обоснованность и выполнимость я уже писал)
Вот мы и рассмотрели все случаи, когда можно обрабатывать ПДн без уведомления. Теперь вопрос – Что делать с CRM? Ведь практически в каждой компании есть клиентская база! Ни под один из пунктов, такие ПДн не подпадают.
Что делать? Формально получается, что с повинной в РКН нужно практически всем (чего вновь настоятельно не рекомендую).
Евгений Царев пишет:
ОтветитьУдалить1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
А вот ситуация: доходы работников, облагающиеся по ставке 13%, являются персональными данными (вспомните форму 2-НДФЛ, там есть всё..). Работник увольняется...Налоговая, проводя проверку, в соответствии с НК, вправе требовать сведения о налоговой отчетности за последние 3 года, в том числе и по НДФЛ...
Вот и получается, что трудовых отношений нет, а обработка ПД - есть..;-)
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
ОтветитьУдалить(этим пунктом очень любят прикрываться, когда декларируют неавтоматизированную обработку по ПП №687)
Видимо, для применения этого пункта необходимо убедиться устанавливает ли ПП №687:
1.Требования к обеспечению безопасности персональных данных при их обработке?
2.Требования к соблюдению прав субъектов персональных данных?
Есть противоречие между 152-ФЗ 2006 г. и 115-ФЗ 2001 г.
ОтветитьУдалитьВозможно и это попадет в случаи, когда не надо уведомлять РКН.
Тут плюс-минус чисто, т.к. обработка совершается в целях исполнения иных ФЗ. Хотя есть тонкость, а если субъект потребует уничтожить его ПДн? По закону имеет право, а как же быть с другими правовыми актами?
ОтветитьУдалить1 и 2 имеют место быть, просто те, кто читал четверку документов ФСТЭК, желают любым способом избавиться он необходимости их исполнять, оно и понятно. Просто с моей точки зрения ПП №687 может служить лишь временной мерой, причем не самой "чистой".
ОтветитьУдалитьДа, есть обработка в целях исполнения иных ФЗ. На это не требуется согласия. Но ведь согласие субъекта ПД и обязанность направления уведомления - вещи разные.
ОтветитьУдалитьПолучается, что всем, что ли надо уведомления направлять?
Коллизия-то она коллизией. Но большинство клиентов кредитных и остальных организаций и не осуществляют разовые операции на сумму более 600000 руб. и операции с недвижимостью на сумму более 3000000 руб. У подавляющей части населения страны просто нет таких денег. Поэтому их денежные операции в соответствии со ст.6 не подлежат контролю и выпадают из под действия 115-ФЗ. Таких клиентов могут, разве что, идентифицировать.. :-)
ОтветитьУдалить...ПП №687 может служить не самой "чистой" мерой...
ОтветитьУдалитьСегодня по этому поводу позвонил в местный РСКН.
Догадываетесь, как они применяют этот документ по отношению к п.8 ч.2 ст.22?
Озвучу недословно.
РСКН:
"....Положение об особенностях обработки ПД без использования средств автоматизации
состоит из 3 разделов: Общие положения; Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации;
Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации.
Положение не устанавливает требования к соблюдению прав субъектов персональных данных - там их нет. Положение не устанавливает требования к обеспечению безопасности персональных данных при их обработке, есть только меры. Меры - это определённые действия, а требования - это правила. Правил по безопасности обработки ПД там нет. Поэтому ссылка на п.8 ч.2 ст.22 не прокатывает, и уведомление надо направлять...."
Ясна логика регулятора? ))))
Логика здесь отсутствует, есть псевдологика и правовой нигилизм, к сожалению((
ОтветитьУдалитьПосмотрите п.п. 1.2), 1.3), 1.5) ст. 7 - там получается гораздо больше кого ПД следует обрабатывать
ОтветитьУдалитьТам уже фигурируют суммы более 30/15 тыс. руб.