Нужно ли уведомлять Роскомнадзор о сборе персональных данных через планшет и их хранении на сервере?

Здравствуйте. Вы обязаны сделать это на основании статьи 22 Федерального закона "О персональных данных".

необходимо ли нам уведомлять Роскомнадзор о том, что мы собираемся, собирать персональные данные о наших постоянных клиентах.

---вы обязаны предупредить Роскомнадзор согласно ст 22 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» которым предусмотрена предусмотрена обязанность оператора, осуществляющего обработку персональных данных, уведомить орган Роскомнадзора до начала обработки.

Если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных, то не нужно уведомлять.

.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

.

Статья 22. Уведомление об обработке персональных данных

.

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

В зависимости от того, для каких целей вы будете обрабатывать персональные данные.

.................

Статья 22 ФЗ "О персональные данных"

Уведомление об обработке персональных данных

. 

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

В соответствии с требованиями части 4 статьи 25 Закона № 152-ФЗ лица, осуществляющие обработку персональных данных, но не зарегистрированные в Реестре ОПД (операторы персональных данных), обязаны направить в уполномоченный орган по защите прав субъектов персональных данных уведомление об обработке персональных данных.

Для таких выделяют три основных обязательства. Во-первых, до начала обработки персональных данных он обязан направить уведомление в уполномоченный орган, а именно в Роскомнадзор. Во-вторых, оператор должен четко для себя уяснить: обработка производится только с согласия гражданина. И в-третьих, обязан принимать все необходимые меры для защиты данных от неправомерного доступа к ним других лиц.

В части 2 статьи 22 Закона № 152-ФЗ о персональных данных есть подробный перечень ситуаций, когда организация, являющаяся оператором сбора ПД, имеет право не уведомлять об этом уполномоченный орган.

Приведем для примера следующие случаи:

– Субъект ПД представил конкретные ПД как общедоступные;

– ПД включают в себя только Ф.И.О. субъектов ПД;

– ПД, которые необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.

Закон делит все персональные данные на три категории: основные, специальные и биометрические.

К основным относят фамилию, имя, отчество, адрес, абонентский номер человека. Их могут использовать для создания телефонных справочников и адресных книг, но только с согласия самого «хозяина» ПД.

К специальным ПД причисляют информацию о расовой, национальной принадлежности гражданина, его политических взглядах, религиозных убеждениях, состоянии здоровья и интимной жизни. Например, эту информацию собирают медицинские учреждения.

Биометрические ПД – это сведения, характеризующие физиологические особенности человека, по которым возможно установить его личность. Здесь операторами чаще выступают правоохранительные органы.

В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

– Полная информация по этому вопросу приведена в части 2 статьи 6 Закона № 152-ФЗ. К примеру, согласия субъекта персональных данных не требуется, когда:

– обработка ПД осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

– обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта персональных данных невозможно (например, необходимо экстренное оперативное вмешательство после автокатастрофы);

– обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи и т.д.

Обязанность по уведомлению Роскомнадзора об осуществлении деятельности, связанной с обработкой персональных данных, установлена в ст. 22 Закона о персональных данных. Закон N 242 не внес в нее каких-либо существенных изменений, за исключением обязанности оператора указывать в уведомлении сведения о местонахождении баз данных информации, содержащей персональные данные граждан РФ. По-видимому, предполагается, что должен быть указан точный адрес дата-центра или подразделения компании в Российской Федерации, где расположены соответствующие серверы. Учитывая иные положения Закона N 242, которые при их консервативном толковании позволяют говорить о запрете параллельной обработки и хранения данных за рубежом, указание о нахождении таких баз данных за пределами России будет означать основание для привлечения компании к ответственности за нарушение законодательства РФ о персональных данных.

А какой именно договор, хотя бы в двух словах, мы должны заключать? В чем суть его? Нам нужны данные клиентов что бы уведомлять их об акциях и скидках, не более.