[Лилитик]

Добрый день! Меня интересует ФЗ № 152 "О ПЕРСОНАЛЬНЫХ ДАННЫХ".Что,куда и какие документы мы должны подавать?И насколько этот закон обязателен для организаций?

[Gasman]

Сам закон читали?

[Лилитик]

Читала,но ничего не поняла,что нужно делать.

[A.Elena]

Нужно подать УВЕДОМЛЕНИЕ в территориальное управление Роскомнадзора по ..... области (краю, т.е. где вы зарегистрированы и (или) осуществляете свою деятельность как юр.лицо). Уведомление можно заполнить в электронном виде - образец на сайте портала персональных данных: www.pd.rsoc.ru , а также на офиц.сайте тер.органа Роскомнадзора: ХХ.rsoc.ru, где ХХ- номер региона
Согласно ч. 1 ст. 22 ФЗ № 152 операторы до начала обработки персональных данных обязаны уведомить об этом уполномоченный орган посредством направления уведомления об обработке персональных данных, предусмотренного ч. 3 ст. 22 ФЗ № 152.
Если что-то непонятно - позвоните в "свой" Роскомнадзор, там должны дать все разъяснения

[A.Elena]

Цитата:

Сообщение от Лилитик

Добрый день! Меня интересует ФЗ № 152 "О ПЕРСОНАЛЬНЫХ ДАННЫХ".Что,куда и какие документы мы должны подавать?И насколько этот закон обязателен для организаций?

Обязателен для всех, кто обрабатывает персональные данные (термин "обработка" - в том же ФЗ № 152). Ответственность за непредоставление уведомлений в тер.управление Роскомнадзора - по статье 19.7 КоАП РФ.

[La tristeza]

Цитата:

Сообщение от Лилитик

насколько этот закон обязателен для организаций?

Лилитик, обратите внимание на случаи, в которых Вы не обязаны уведомлять Роскомнадзор об обработке персональных данных (ч. 2 ст. 22 Закона):
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

[A.Elena]

Часто операторы цепляются за эту ч.2 ст.22 и отписываются, что мы, мол, только в трудовых отношениях или например в договорных, и поэтому не обязаны уведомление направлять. А потом оказывается (это из практики!), что обрабатывают персональные данные и в случаях, не подпадающих под эту ч.2 ст.22: например на входе охрана посетителей переписывает с паспортными данными, или на прием к руководству запись ведется и т.п. Так что внимательно надо проанализировать ВСЮ свою деятельность, которая осуществляется в организации. К слову, почему-то многие этого Уведомления, а оно не влечет никаких последствий, это делается для того, чтобы реестр наполнить во исполнение того же ФЗ № 152. Потом, в далеком будущем, оператора, внесенного в реестр, включат в план проверок, но опять же, лучше подвергнуться плановой проверке, чем внеплановой (по жалобе какого-нибудь обиженного лица), и тогда выплывет, что вы обязаны были направить Уведомление, тогда санкция и т.д. Удачи!

[Алексей Д]

Цитата:

К слову, почему-то многие этого Уведомления, а оно не влечет никаких последствий, это делается для того, чтобы реестр наполнить во исполнение того же ФЗ № 152. Потом, в далеком будущем, оператора, внесенного в реестр, включат в план проверок, но опять же, лучше подвергнуться плановой проверке, чем внеплановой (по жалобе какого-нибудь обиженного лица), и тогда выплывет, что вы обязаны были направить Уведомление, тогда санкция и т.д. Удачи!

В соответствии с ФЗ № 152, перед тем как направлять Уведомление надо провести ряд мероприятий по защите персональных данных. Сертификация систем, защита персональных данных, установка серверов, шифрование, кодирование и т.д. и т.п. Для профессионального проведения данных мероприятий надо нанять организацию которая получила лицензию ФСТЭК на проведение сертификации. Все эти мероприятия потребуют значительных денежных затрат. Услуги организации "с лицензией" стоят порядка 200 т.р., а если надо менять "железо" так это вообще в "копеечку" выльется. И далее затраты на защиту персональных данных никто не считал. Все это изложено в ФЗ № 152.
Так что направление Уведомления влечет за собой очень много последствий.

Но у меня вопрос. Если в соответствии с ФЗ № 152, Уведомление направлять не надо, в таком случае надо ли проводить все те мероприятия по защите персональных данных, которые изложены в ФЗ № 152?

[A.Elena]

Цитата:

Сообщение от Алексей Д

В соответствии с ФЗ № 152, перед тем как направлять Уведомление надо провести ряд мероприятий по защите персональных данных. Сертификация систем, защита персональных данных, установка серверов, шифрование, кодирование и т.д. и т.п. Для профессионального проведения данных мероприятий надо нанять организацию которая получила лицензию ФСТЭК на проведение сертификации. Все эти мероприятия потребуют значительных денежных затрат. Услуги организации "с лицензией" стоят порядка 200 т.р., а если надо менять "железо" так это вообще в "копеечку" выльется. И далее затраты на защиту персональных данных никто не считал. Все это изложено в ФЗ № 152.
Так что направление Уведомления влечет за собой очень много последствий.

Но у меня вопрос. Если в соответствии с ФЗ № 152, Уведомление направлять не надо, в таком случае надо ли проводить все те мероприятия по защите персональных данных, которые изложены в ФЗ № 152?

Цитата:

Сообщение от Алексей Д

Но у меня вопрос. Если в соответствии с ФЗ № 152, Уведомление направлять не надо, в таком случае надо ли проводить все те мероприятия по защите персональных данных, которые изложены в ФЗ № 152?

В том-то и дело, что надо! Эти последствия влечет как раз исполнение требований ФЗ № 152, а не уведомление. Направление уведомления - это лишь часть требований ФЗ, ориентированная на лиц, указанных в ч.1 ст.22. А требования закона распространяются на тех, кто указан в ч.1 ст.1, и не распространяются на ч.2 ст.1

[maks_]

Наполнить реестр - основная цель роскомнадзора (спущена с верху). ради неё они и пугают всех. При этом обосновывают, как здесь отмечено, необходимость уведомления тем, что дескать какие-то журналы ведутся, или, как нам сказали, - резюме от кандидатов принимаете, фото сотрудников на сайте есть и в личной карточке есть, - всё, обязаны. А ведь ничто у нас в государстве не делается просто так, без экономической цели. В связи с этим вопрос: кому больше выгоды от включения в реестр: предприятию или чиновникам? Мой ответ на сегодняшний день - только чиновникам. Обосную: штраф по ст.13.11 КоАП 10-20 000 руб., причём он одинаков за любое нарушение зак-ва о персональных данных. между тем, включение в реестр означает принятие на себя всех требований идиотского закона, и проверяльщикам остаётся тока запланировать свой к вам приход и составить годовую цифру доходов в виде штрафов (кол-во запланированных проверок х сумму штрафа),ведь исполнить всё что требуется сегодня невозможно. В то же время невключение в реестр означает, что проверяльщики должны обосновать свой приход в организацию, которая де-юре оператором не является, обосновать, что организация всё же оператор, и уж затем искать нарушения. Так зачем облегчать жизнь чиновникам, которые в обоих случаях оштрафуют? закон всё равно изменят. Криптографию отменили. ФСТЭК тоже уже отменяет ранешние свои требования (аттестация). В итоге ИМХО останутся разумные требования к защите ПД. Поэтому предлагаю поговорить о том что можно уже начинать делать у себя в направлении защиты персональных данных.