Помощь в подготовке документов по защите персональных данных на сайте благотворительного фонда.
Мы зарегистрировали благотворительный фонд защиты животных "Благое Дело". Сейчас в наших планах создание сайта. В связи с этим необходимо решение по включению фонда в реестр операторов, осуществляющих обработку персональных данных.
При изучении этого вопроса я понял алгоритм заполнения формы уведомления в Роскомнадзор на включение фонда в реестр операторов, осуществляющих обработку персональных данных.
Но появились вопросы, по которым я прошу вашего пояснения и помощи.
По двум пунктам формы (1 - "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»", 2 - "Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ ") у меня появились вопросы:
1. При заполнении этих пунктов я увидел требования (и в первом, и во втором, в той или иной степени, напрямую или косвенно, через ссылки) исполнения следующих НПА:
- Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных";
- Постановление Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- Приказ ФСБ России от 10.07.2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
Соответственно, возник вопрос:
Необходимо-ли при заполнении данных пунктов формы расписывать полностью все требования указанных НПА или достаточно основных требований?
Когда я начал готовить заполнение формы по этим вопросам, я подготовил "заготовку" этого заполнения (вложенный файл). Но, в процессе заполнения я отследил все требования, все ссылки на НПА, в связи с чем я понял, что необходимо дальнейшее изучение вопроса и помощь.
Соответственно, кроме вопроса у меня появились 2 просьбы:
1. Рассмотреть и скорректировать мою "заготовку" по заполнению этих вопросов формы и дополнительно, еще по двум вопросам (3 - "Правовое основание обработки персональных данных”, 4 - “Цель обработки персональных данных"). На всякий случай, так как по ним, по еще двум вопросам, мне, вроде, все понятно).
2. Оказать помощь в подготовке следующих документов, которые должны быть у фонда (если необходимо, скорректировать перечень документов):
1. Политика конфиденциальности (она же политика обработки персональных данных) для сайта/мобильного приложения фонда.
2. Пользовательское соглашение (оно же договор-оферта и оно же лицензионное соглашение) для сайта/мобильного приложения фонда.
3. Положение об обработке персональных данных фонда.
4. Положение о конфиденциальности у фонда (если это необходимо).
1.5. Форма приказа о назначении ответственного по персональным данным.
1.6. Инструкция ответственного за обработку персональных данных.
1.7. Формы приказа об утверждении положения о персональных данных
Учитывая, что фонд у нас еще только в начале пути, прошу рассмотреть возможность оказания вашей услуги в режиме
pro-bono.
Заранее благодарю!
С уважением, Богомолов А.В., заместитель руководителя Благотворительного фонда защиты животных "Благое Дело"
89059400919
factory-2@mail.ru
"Заготовка":
Правовое основание обработки персональных данных * руководствуясь:
• Конституцией Российской Федерации;
• Гражданским кодексом Российской Федерации;
• Налоговым кодексом Российской Федерации;
• Трудовым кодексом Российской Федерации;
• Федеральным Законом от 27.07.2006 г. № 152-ФЗ “О персональных данных”;
• Федеральным Законом от 27.07.2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
• Законом Российской Федерации от 27.12.1991 N 2124-1 “О средствах массовой информации»;
• Федеральным Законом от 11.08.1995 г. № 135-ФЗ ”О благотворительной деятельности и добровольчестве (волонтерстве)”,
• Федеральным Законом от 12.01.1996 г. № 7-ФЗ “О некоммерческих организациях”,
• Уставом Благотворительного Фонда помощи животным “Благое Дело”
• Федеральным законом от 19.12.2005 г. №160-ФЗ “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных”;
• Федерального закона от 08.08.2001 N 129-ФЗ “О государственной регистрации юридических лиц и индивидуальных предпринимателей”;
• Федерального закона от 26.07.2006 N135-ФЗ “О защите конкуренции”/
Цель обработки персональных данных * с целью:
• Достижения целей, предусмотренных Уставом Благотворительного Фонда помощи животным "Благое Дело”;
• Оказания благотворительной помощи (в т.ч. сбор благотворительных пожертвований, оплата благотворительных пожертвований);
• Организации коммуникаций и оповещений, осуществления информационных рассылок;
• Оказания услуги по созданию личного кабинета на сайте Оператора;
• Исполнения обязанностей, возложенных на Оператора действующим законодательством РФ;
• Осуществления прав и законных интересов Оператора и третьих лиц, в том числе по исполнению требований действующего законодательства Российской Федерации, обеспечению безопасности деятельности;
• Достижения общественно значимых целей с использованием эффективных инструментов для выполнения требований действующего законодательства Российской Федерации, противодействия коррупции, мошенничеству, легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• Осуществления прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Оператора, обеспечения пользования работниками установленными законодательством РФ гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;
• Заключения и исполнения обязательств по договорам гражданско-правового характера, в том числе по трудовым договорам и государственным контрактам;
• Осуществления обратной связи с пользователями Интернет-сайтов Оператора, в том числе для получения от пользователей мнений, вопросов по информации сайтов и информационным продуктам Оператора, а также для направления им ответов;
• Формирование обезличенного цифрового портрета пользователя сайта Оператора, лица, осуществляющего платежи через сайт Оператора.
• Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» *:
Организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
Организационные меры:
1. Оформлена Политика Оператора в отношении обработки и защиты персональных данных. Политика опубликована на сайте Оператора ………..
2. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства:
- Приказ о назначении лица, ответственного за организацию обработки персональных данных (администратора безопасности персональных данных) с номерами контактных телефонов, почтовым адресом и адресом электронной почты;
- Инструкция по работе администратора безопасности персональных данных;
- Перечень персональных данных, подлежащих защите;
- Положение об обработке и защите персональных данных;
- Приказ об утверждении перечня лиц, допущенных к обработке персональных данных;
- Положение о разграничении прав доступа сотрудников к базе персональных данных;
- Положение о правилах доступа к персональным данным;
- Перечень информационных систем персональных данных;
- Правила обработки персональных данных без использования средств автоматизации;
- Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении;
- Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
- Оформлен журнал учета машинных носителей персональных.
3. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, знакомятся с документами о политике Оператора в отношении обработки персональных данных, нормами законодательства, подписывают соглашение о неразглашении персональных данных, об ознакомлении с документами по защите персональных данных.
Технические меры:
1. Определено место хранения информации с персональными данными, обеспечена сохранность информации с персональными данными.
2. На ЭВМ Оператора установлено антивирусное программное обеспечение.
3. Исключен несанкционированный доступ к системе обеспечения защищенности персональных данных.
4. Информация с персональными данными передается на магнитных и бумажных носителях только лицами, допущенными к обработке персональных данных, а также по специально выделенной сети.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ *
1. Определены угрозы безопасности персональных данных при их обработке в информационных системах;
2. Проведена оценка эффективности принимаемых мер по обеспечению безопасности прсональных данных.
3. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратора безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.
4. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности персональных данных и положением об обработке и защите персональных данных.
5. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности персональных данных.
6. Положение о разграничении прав доступа сотрудников к базе персональных данных технически реализуются с помощью средств защиты информации.
При заключении договора на разработку программного обеспечения, заказчик в техническом задании указывает в разделе требования информации: Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Федерального закона от 29.07.2004 №98-ФЗ «О коммерческой тайне».
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования». вопрос нужно ли в сам договор разработки включать раздел типо конфиденциальная информация, или требования к защите … и можно ли тогда заказчику так как это юридическое лицо дать общее согласие от ооо о предоставлении персональных данных, в то числе обшей информации и сотрудников… или на сотрудников нужно отдельно на каждого? И нужно ли от исполнителя какое то приложение в виде обязательства защиты данных.
По заполнения заявления на обработку персональных данных в роскомнадзор.
Что нужно писать в графе общие сведения.
Цель обработки персональных данных.
Правовое основаниеобработки п.д.
Описание мер, предусмотренных статьями 18.1 и 19 ФЗ
Помогите может где то можно посмотреть образец заполнения?
Имеемся в реестре операторов по обработке персональных данных. Уведомление о начале обработки подавалось в 2013 году. В 2018 - письмо о прекращении обработки в связи с прекращением деятельности. Сейчас хотим направить в Роскомнадзор новое письмо об изменении персональных данных, которые обрабатываем, поскольку на данный момент работаем. Однако возникли вопросы:
1) После направления письма о прекращении обработки персональных данных нужно подавать новое уведомление о начале обработки персональных данных с новой датой (на настоящее время) после того как ранее обработка была прекращена на основании заявления или все таки можно обойтись информационным письмом и внести изменения в существующие данные в реестре?
Компания осуществляет сбор и обработку персональных данных, которые пользователи предоставляют Компании при использовании сайтов и мобильных приложений (далее – «сайты») с любого устройства и при коммуникации с Компанией в любой форме, в соответствии с данной Политикой.
Пользователь, регистрируясь на сайтах и используя сайты и предоставляя свои персональные данные, дает согласие на обработку персональных данных в соответствии с настоящей Политикой. Размещая свои персональные данные на сайте пользователь делает их общедоступными.
В случае, если пользователь не согласен с условиями настоящей Политики использование сайта пользователем должно быть немедленно прекращено.
1. Основные понятия
«Персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
«Обработка персональных данных» – осуществление любых действий или совокупности действий в отношении персональных данных, включая сбор, запись, систематизацию, накопление, хранение, обновление и изменение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, как с использованием, так и без использования систем автоматизированной обработки персональных данных.
2. Собираемые данные персональные данные, предоставленные пользователем при заполнении информационных полей на сайте для целей регистрации, в том числе при заполнении контактных форм, при подписках на рассылки; персональные данные и иная информацию, содержащаяся в сообщениях, которые пользователь направляет Компании; технические данные, которые автоматически передаются устройством, с помощью которого пользователь используете сайт, в том числе технические характеристики устройства, IP-адрес, информация, сохраненная в файлах «cookies», которые были отправлены на устройство пользователя, информация о браузере, дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация; иные данные, которые пользователь разместил на сайте.
3. Цели обработки данных.
Персональные данные обрабатываются исключительно для тех целей, для которых они были предоставлены, в том числе: регистрации пользователей на сайте; предоставления пользователям информации о сайте; коммуникации с пользователями, в случае обращения последнего к Компании; идентификации пользователей при коммуникации с Компанией; участия пользователей в мероприятиях, проводимых на сайте. Термин «мероприятия» включает в себя акции маркетингового, рекламного и иного характера проводимые на сайте; направления пользователям новостных и информационных материалов; предоставления пользователям услуг, заключения лицензионных договоров; демонстрацией пользователю рекламы, в том числе таргетированной; проведения проверок, исследований и анализа данных о поведении пользователей на сайте с целью улучшения и модернизации сайта; проведения статистических и иных исследований, на основе обезличенных данных; выполнения полномочий и обязанностей, возложенных на сайт законодательством Российской Федерации; для иных целей с согласия пользователей.
Технические данные обрабатываются для: обеспечения функционирования и безопасности сайта; улучшения качества сайта; соблюдения требований законодательства Российской Федерации.
4. Прекращение обработки персональных данных.
Обработка персональных данных подлежит прекращению: при наступлении условий прекращения обработки персональных данных или по истечении установленных сроков; по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей; по требованию пользователя, если обрабатываемые персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки; в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки невозможно; по истечении срока действия согласия на обработку персональных данных или в случае отзыва такого согласия, если для обработки персональных данных не будет иных правовых оснований, предусмотренных законодательством Российской Федерации.
5. Ссылки на сайты третьих лиц.
На сайте могут быть размещены ссылки на сторонние сайты. Компания не несет ответственности за безопасность или конфиденциальность любой информации, собираемой сторонними сайтами.
6. Безопасность персональных данных.
Сайт принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
7. Изменения.
Компания производит обновление политики по мере необходимости. Продолжая использование сайта пользователь подтверждает согласие с внесенными изменениями.
8. Контакты.
Вопросы, связанные с обработкой персональных данных необходимо направлять по электронной почте указав тему письма «Персональные данные» на адрес: personaldata@fotostrana.ru.
Дата с которой применяется настоящая редакция – 29.06.2017.
В отношении меня идет процедура банкротства (как физ. лица). Сейчас стадия реализации имущества. Но один из моих кредиторов (МФО) по прежнему донимает меня звонками (автоинформирование о задолженности), я уже и согласие на обработку данным отозвала, но организация мне написала следующее: Федеральным законом «О персональных данных» от 27.07.2006 г. № 152-ФЗ (далее по тексту – Федеральный закон) Вам, как субъекту персональных данных, предоставлено право на отзыв согласия на обработку персональных данных оператором обработки персональных данных. Однако, ООО МФО «ЦФП», являющийся оператором обработки персональных данных, вправе продолжить обработку персональных данных без согласия субъекта персональных данных, т.е. без Вашего согласия, в случае, когда обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных (пункт 2 статьи 9 и подпункт 5 части 1 статьи 6 Федерального закона). Как прекратить назойливые звонки мне и моим родственникам в моем случае, на какие законы ссылаться?
Хотим подать в банк заявление об отзыве согласия на обработку персональных данных. При заполнении заявления возник вопрос.
Подскажите, пожалуйста, как правильно его назвать? "Заявление об отзыве согласия на обработку персональных данных" или может быть правильнее будет назвать "Заявление о частичном отзыве согласия на обработку персональных данных"?
Кроме того, данный вопрос возник в связи с тем, что банки часто отказывают удалять персональные данные из базы, ссылаясь на ч.1 ст. 6 Федерального закона №152, в своем ответе клиентам банки пишут следующее: "В силу ч. 1 ст. 6 Федерального закона о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных данным Федеральным законом. Обработка персональных данных допускается в случаях, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, в связи, с чем не требует согласия субъекта персональных данных". Как быть, чтобы такой ситуации при подачи заявления не возникло и банк удалил персональные данные? Тем более, что в своем заявлении мы указываем, что у банка остается возможность связываться с нами по почтовому адресу и его указываем. Спасибо!
Настоящим информируем Вас о том, что у Вас имеется долг, возникший из заключенного между Вами и АО «ОТП Банк» (далее – Первоначальный кредитор) Договор, права требования по которому были переданы Первоначальным кредитором новому кредитору «Свеа Экономи Сайпрус Лимитед» (далее – Новый кредитор) в соответствии с Договором уступки прав требования № (№ 04-08-04-03/21) от (17. 12. 2015.)
Взыскание Вашего долга осуществляется ООО «Кредитэкспресс Финанс» на основании Агентского договора от 26.03.2013 г., заключенного между ООО «Кредитэкспресс Финанс» и Новым кредитором, ст. 1005 Гражданского кодекса Российской Федерации (далее – ГК РФ), ст. 15 Федерального закона от 21.12.2013 г. № 353-ФЗ «О потребительском кредите (займе)».
В соответствии с ч. 3 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») ООО «Кредитэкспресс Финанс», являясь оператором персональных данных, зарегистрированным 17.12.2012 г. за номером 77-12-000622 в Реестре операторов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, уведомляет Вас о начале обработки Ваших персональных данных.
Цель обработки: исполнение Вами договора, заключенного между Вами и Первоначальным кредитором.
Правовое основание обработки: ч.ч. 5, 7 п. 1 ст. 6 ФЗ «О персональных данных», ст. ст. 309, 310, 382, 819, 1005 ГК РФ.
Предполагаемые пользователи Ваших персональных данных: сотрудники ООО «Кредитэкспресс Финанс».
Источником получения персональных данных является Новый кредитор.
Одновременно разъясняем Вам следующие права, предусмотренные ФЗ «О персональных данных»:
Статья 14. Право субъекта персональных данных на доступ к его персональным данным
1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором; 2) правовые основания и цели обработки персональных данных;3) цели и применяемые оператором способы обработки персональных данных; 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6) сроки обработки персональных данных, в том числе сроки их хранения; 7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; 3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; 4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц; 5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Мной был направленно письмо об отзыве персональных данных.
В соответствии с ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
Согласно ч. 5 ст. 21 указанного Закона, В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
На основании вышеизложенного, руководствуясь ч. 2 ст. 9, ч. 5 ст. 21 Федерального закона «О персональных данных», заявляю об отзыве своего согласия на обработку персональных данных и необходимости прекращения всех форм обработки моих персональных данных в течение 30 дней с момента получения Вами настоящего заявления. На что получил ответ:
На Ваше требование о прекращении обработки персональных данных, Общество поясняет следующее.
В соответствии с частью 2 статьи 9 ФЗ «О персональных данных» от 27 июля
2006 года № 152-ФЗ (далее – ФЗ «О персональных данных»), согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Указанной нормой закона также предусмотрено, что в случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор (Общество) вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных, в частности, в пунктах 2 – 11 части 1 статьи 6 ФЗ «О персональных данных».
Согласно пункту 5 части 1 статьи 6 ФЗ «О персональных данных», обработка персональных данных допускается в случае, когда такая обработка необходима в соответствии с требованиями действующего законодательства.
Обработка персональных данных после получения отзыва согласия на обработку персональных данных осуществляется Обществом в соответствии с п.2 ст.9, п.п.2 п.1 ст.6 ФЗ "О персональных данных", а именно в целях исполнения п. 4 статьи 7 Федерального закона № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", а также "Положение о требованиях к правилам внутреннего контроля не кредитных финансовых организаций в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (утв. Банком России 15.12.2014 N 445-П).
На основании вышеизложенного и нормах законодательства, сообщаем Вам, что обработка Ваших персональных данных будет осуществляться Обществом в сроки, установленные действующим законодательством.
Как я понимаю они оказываются от моего заявления об отзыве персональных данных?
Пришло уведомление с РОСКОМНАДЗОР об проверке относительно выполнения требований закона № 152-ФЗ от 27.07.2006 г.
Наша организация-ООО, не зарегистрирована в реестре операторов персональных данных.
В соответствии с ч. 2 ст. 22 закон, если обработка осуществляется в соответствии с трудовым законодательством, то уведомление не обязательно.
Что делать в данной ситуации? Какой ответ дать в РОСКОМНАДЗОР? Необходимо ли нам подавать данные данные?
Правы ли они?kova@yandex.ru
Уважаемая Татьяна Анатольевна!
В ответ на ваше заявление об отзыве согласия на обработку персональных данных сообщаем вам следующее:
В соответствии с п. 5) ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" обработка персональных данных производится, если «обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем».
В соответствии с ч. 2 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных "Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона».
В соответствии со ст. 5 Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях» наше общество обязано обрабатывать ваше персональные данные и направлять информацию о состоянии задолженности и договоров займа в бюро кредитных историй, в силу чего обработка персональных данных необходима для предоставления таких данных.
Из вышеизложенного следует, что общество вправе обрабатывать ваши персональные данные без вашего согласия в силу заключенного договора и во исполнение законодательства Российской
Федерации. Обработка ваших персональных данных будет прекращена обществом по факту исполнения или расторжения договора.
Генеральный директор __________/ Шапина А.А.