Оператор по обработке документов обязанности

Обновлено: 20.05.2024

Зачастую многие операторы персональных данных так или иначе сталкиваются с необходимостью подготовки пакета документов в сфере защиты персональных данных. Это может происходить в разных случаях. Некоторые операторы готовят документы при открытии или расширении собственного бизнеса. Кто-то – из-за надвигающейся проверки Роскомнадзора. В любом случае каждому оператору необходимо знать о существовании примерного перечня документов для надлежащей обработки персональных данных.

1. Документ, определяющий политику оператора в отношении обработки персональных данных, и подтверждение ознакомления с ним работников оператора

Согласно ч.1 ст.18.1 Закона № 152-ФЗ, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, может относиться ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Отдельные локальные акты по вопросам обработки таких данных, документы об ознакомлении с ними работников оператора.

• различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.),
• перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.),
• инструкции и регламенты.

3. Уведомление об обработке персональных данных (изменения в уведомление об обработке персональных данных).

4. Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

В соответствии со ст.22.1 Закона № 152-ФЗ, оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных, то есть у оператора должен быть издан приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

В соответствии со ст.9 Закона № 152-ФЗ, субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. То есть у оператора также должен быть такой документ, как согласие субъекта персональных данных на обработку его персональных данных.

6. Документы, подтверждающие предоставление субъекту персональных данных информации, в случае если персональные данные получены не от субъекта персональных данных.

Согласно ст.18 Закона № 152-ФЗ, если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.

7. Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.

Согласно ч.1 ст.19 Закона № 152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Согласно ч.4 ст.22.1 Закона № 152-ФЗ, лицо, ответственное за организацию обработки персональных данных, в частности, обязано организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

• Документ о классификации информационных систем;
• Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.

Действие Закона № 152-ФЗ распространят свое действие как на случаи обработки персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и, в большинстве случаев, без использования таких средств. Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.2008 г. № 687 (далее – Положение № 687), урегулированы вопросы обработки персональных данных (использование, уточнение, распространение, уничтожение) без использования средств автоматизации.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Оператором персональных данных при обработке персональных данных, осуществляемой без использования средств автоматизации, должны быть оформлены также следующие документы.
• Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.
Согласно п.6 Положения № 687, лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

• Типовые формы документов.
Согласно п. 7 Положения № 687, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться определенные условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

• Документ, устанавливающий требования к ведению журналов (реестров, книг…), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор.
Согласно п.8 Положения № 687, при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
- необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
- копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
- персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

• Документ, устанавливающий требования к хранению материальных носителей, содержащих персональные данные
Согласно п.15 Положения № 687, при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Оператор может защищать данные без необходимости уведомления об этом органа защиты права субъектов.

В данной статье вы узнаете о том, кто такой оператор, как он осуществляет обработку персональных данных, какие полномочия у него имеются, а также детально ознакомитесь с его правами и обязанностями. Помимо этого вы узнаете как стать таким специалистом и чем отличается работа ОПД в городе и поселке.

Кто это?

ОПД – это муниципальный орган, физическое или юридическое лицо, которое обрабатывает информацию и определяет цели и содержание данных.

Больше информации о том, кто такой оператор ПД, найдете в специальном материале.

Требования

Главное состоит в обеспечении конфиденциальности всей информации. По статье 7 ФЗ РФ от 27 июля 2006 года можно узнать, что оператор не защищает информацию, если он не обладает ею в полной мере. А значит, такая информация может быть общедоступной и обезличенной.

Также согласие субъекта не обязательно в том случае, если исполняется договор, в котором кто-то является субъектом персональных данных. Примером может быть договор между фирмой и юридическим лицом на оказание услуг. Оператор не может обрабатывать информацию без получения письменного согласия от субъекта.

Множество информации по этой теме можно найти в специализированной литературе. Он также обязан обеспечивать технические меры с целью пресечь какие-либо попытки незаконного получения доступа к данным.

Статья 7 ФЗ РФ. Конфиденциальность персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Права и обязанности

Согласно ФЗ-№152, ОПД имеет следующие права и обязанности:

1. Обеспечить безопасную обработку информации значит принять все технические и организационные меры, которые помогут защитить от случайного или неправомерного доступа. Сюда можно отнести изменение, уничтожение, копирование, блокировка и распространение информации, а также проведение других неправомерных действий с ней.
2. Обработка данных должна носить уведомительный характер. Согласно статье 2 ФЗ-№152, до начала обработки информации, он должен уведомить орган по защите прав субъектов и намерении провести обработку информации.

Роскомнадзор вносит сведения об операторе в специальный реестр. Информация, которая содержится в реестре за исключением сведений о безопасности полностью общедоступна.

Права ОПД следующие:

• Получение согласия субъекта на обработку персональных данных (статья 9 Закона № 152-ФЗ).
• Конфиденциальное опубликование документов и последующая обработка сведений (статья 18.1 Закона №152-ФЗ).
• Издание актов направленных на выявление нарушений в законодательстве РФ.
• Уведомление Роскомнадзора о начале работы с ПД (статья 22 Закона № 152-ФЗ).

Общее описание используемых способов и перечень действий

По закону предусматриваются следующие способы обработки:

1. Сбор. Собирать данные можно как от физического, так и от юридического лица.
2. Обработка. Переработка информации не занимает много времени. Но она позволяет содержать только достоверные данные в системе.
3. Накопление. Накапливаются данные со временем – здесь всё зависит от того, как долго вы работаете оператором ПД и как много людей к вам обращается.
4. Хранение. Хранить информацию нужно так, чтобы посторонние лица не смогли получить доступ к персональным данным того или иного человека.
5. Уточнение. Если у человека что-либо поменялось, данные становятся неактуальными. Поэтому с определённой периодичностью их нужно уточнять.
6. Применение. Использование данных доступно оператору для того, чтобы подтвердить или принять решения в юридической сфере. Они могут применяться в случае, если были затронуты права и свободы объекта.
7. Распространение и передача информации обозначает дать возможность неограниченному кругу людей ознакомиться с данными, обнародовать персональную информацию, разместить её в информативных сетях или предоставить доступ к обработке тем или иным способом.
8. Обезличивание представляет собой действия, при которых определить принадлежность персональных конкретному субъекту просто невозможно.
9. Блокирование можно объяснить, как временное прекращение сбора информации, а также накопление, распространение данных и их последующая передача.
10. Уничтожение информации – это проведение особых мероприятий, после которых восстановить содержание данных в системе будет невозможно.

Как стать таким специалистом?

Чтобы стать ОПД, вы или ваша компания должны пройти регистрацию в системе Роскомнадзора. После чего вы можете приступить к исполнению обязанностей.

Для того, чтобы попасть в реестр операторов, необходимо действовать согласно этому плану:

1. Войти на сайт Роскомнадзора и заполнить форму.
2. После выбрать название территориального органа, тип ОПД и внести информацию о юридическом лице.
3. Заполненная форма распечатывается, а после подписывается и отправляется по почте в орган Роскомнадзора.
4. Здесь информация об организации вносится в реестр операторов, которые обрабатывают их на протяжении 1-1,5 месяцев. Выписку из реестра легко получить в печатном виде или же на портале Роскомнадзора.

О том, как зарегистрироваться в Роскомнадзоре в качестве ОПД, читайте тут.

Как зарегистрироваться на сайте в качестве ОПД?

Для того, чтобы зарегистрироваться на сайте в качестве ОПД нужно:

Как внести изменения?

Для того, чтобы внести изменения, нужно:

Важно не забывать о внесении изменений, поскольку, если этого не сделать вовремя, будет назначен штраф.

О правилах внесения изменений в реестр ОПД мы рассказываем тут.

Где можно посмотреть реестр?

Реестр ОПД доступен к просмотру на портале государственных услуг Роскомнадзора. Вы можете скачать и распечатать документ для более детального ознакомления или же просто просмотреть его в электронном виде. Обновление реестра проводится каждый месяц.

Что означает: “операция отменена из-за отсутствия вашей актуальной информации”?

Если операция была отменена по причине отсутствия у оператора ваших актуальных персональных данных, то для того, чтобы решить такую проблему, нужно обратиться в отделение Роскомнадзора. Причиной может быть частично устаревшая и неактуальная информация. В таком случае, её нужно обновить, подав специальное заявление.

Чтобы как можно быстрее разъяснить такую проблему, можно также написать оператору. Он поможет составить жалобу и решить вашу проблему с отменой операции в максимально короткие сроки.

Отличия в работе ОПД в городе и посёлке

Персональные данные, размещаемые на ресурсе оператора, доступны лишь узкому кругу людей. В городе управлять информацией могут несколько лиц, а в посёлке всего один, поскольку данных в разы меньше.

Информация, указанная при регистрации на сайте, может быть доступна сотрудника оператора и иным лицам, имеющим полномочия работать с ней. Вполне естественно, что помощников у оператора в городе будет больше, чем в посёлке из-за большого объёма работы.

Объединяет оператора ПД в городе и посёлке тот факт, что хранится вся собранная информация в специальной электронной базе данных.

Перечень документов

К основным документам, сопровождающим работу ОПД, можно отнести такие:

• Учредительные бумаги.
• Уведомления об обработке.
• Должностные регламенты.
• Планы мероприятий для последующей защиты ПД.
• Приказы назначения ответственных лиц.
• Реестры с ПД.
• Договоры с субъектами.
• Выписки из ЕГРЮЛ.
• Распечатки шаблонов.
• Приказы о созданиях комиссии.
• Акты об уничтожении ПД.

Политика

Политика ОПД включает в себя такие особенности:

1. Обработка данных не автоматизирована, она может проводиться вручную.
2. Обработка данных проводится в процессе передачи информации по телекоммуникативным и информационным сетям или же другим доступным способом.
3. Обработка смешанного типа. Она проводится на усмотрение действующего оператора.

Больше информации о политике оператора в отношении обработки ПД найдете в специальной статье.

Положения

В настоящий момент положение является определением политики ОПД по отношению к обработке принятой информации от физических лиц. Он может использовать средства автоматизации или устанавливать процедуры, которые направлены на то, чтобы предотвратить нарушения законодательства РФ.

Положения созданы с целью обеспечить защиту прав и свобод субъектов данных при невыполнении норм и требований, которые регулируют обработку информации.

Действие положения не распространяется на такие отношения:

Заключение

В заключении стоит отметить, что быть оператором ПД не так просто, как кажется. Нужно разобраться в том, как работает система и брать в помощники только тех людей, которым можно довериться.

Работать ОПД в городе значительно сложнее, поскольку здесь объём информации очень большой. Но, если вы проживаете в посёлке и решили освоить эту профессию, то вам будет гораздо легче сделать это.

В любом случае, нет ничего невозможного, и при большом желании понять, что к чему вам будет легко добиться лучшего результата.

Читайте также:

  
• Дши развилка как подать заявление
  
• Каковы особенности договоров об эксплуатации подъездного пути и о подаче и уборке вагонов
  
• Ппн норма рентген протокол
  
• Судом не рассматриваются заявления о предоставлении жилья
  
• Заявлении о конфиденциальности ошибка