8 499 938-65-20
Мы — ваш онлайн-юрист 👨🏻‍⚖️
Объясним пошагово, что делать в вашей ситуации. Разработаем документы и ответим на любой вопрос, даже самый маленький.

Все это — онлайн, с заботой о вас и по отличным ценам.
600 ₽
Вопрос решен

Пакет документов для обработки персональных данных на сайте

Здравствуйте, хотим выпустить на рынок сайт и мобильное приложение к нему. В рамках их деятельности будет производиться обработка персональных данных при регистрации. ФИО, возраст, адрес и т.д.

Мы поняли, что нужно зарегистрироваться в Роскомнадзоре как оператор.

Хотелось бы точно понять какой нужен необходимый пакет документов, чтобы обработка данных была полностью законной.

Составили примерный список:

- Положение о персональных данных;

- Приказ об утверждении положения;

- Приказ о назначении ответственного лица;

- Политика в отношении обработки и безопасности персональных данных;

- Пользовательское соглашение в приложении и на сайте (политика конфиденциальности).

- Инструкция ответственного за организацию обработки персональных данных

- Приказ о выделении помещений для обработки персональных данных + правила доступа

- Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн

- Положение об обеспечении безопасности автоматизированной информационной системы организации.

- Журнал учета машинных носителей информации с персональными данными.

Нужно ли что- то еще либо тут что-то лишнее?

19 сентября 2017, 06:02, Ольга, г. Самара
Дмитрий Васильев
Дмитрий Васильев
Юрист, г. Москва
10 рейтинг

Добрый день, Ольга.

По поводу Вашего списка, то из него можно отказаться от:

— Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн

— Положение об обеспечении безопасности автоматизированной информационной системы организации.

Остальные документы нужно оставить.

Единственное надо понимать, что:

— Пользовательское соглашение в приложении и на сайте (политика конфиденциальности).

Это два разных документа, то есть у Вас отдельно должна быть политика конфиденциальности на сайте и отдельно пользовательское соглашение, в соглашении при этом должна быть ссылка на политику конфиденциальности.

Какие-либо дополнительные документы не требуются, главное, чтобы обозначенные документы подходили конкретно к Вам.

С Уважением,

Васильев Дмитрий.

19 сентября 2017, 06:23
1
0
1
0
Ольга
Ольга
Клиент, г. Самара

Спасибо за ответ!

Я так понимаю, что строго регламентированного списка документов в законодательстве не установлено?

Боимся прогадать и нарваться на проверки.

19 сентября 2017, 07:14

Я так понимаю, что строго регламентированного списка документов в законодательстве не установлено? Боимся прогадать и нарваться на проверки.

Ольга

Строгого нет, есть просто моменты которые должны быть урегулированы, а вот какими документами указано не всегда.

Но у Вас есть точно все необходимое, я бы даже сказал с запасом.

19 сентября 2017, 07:29
Консультация юриста бесплатно
Игорь Юрлов
Игорь Юрлов
Юрист, г. Москва
7.9 рейтинг

Добрый день, Ольга!

Мы поняли, что нужно зарегистрироваться в Роскомнадзоре как оператор.

Ольга

Не совсем так. Не «зарегистрироваться», а уведомить Роскомнадзор по соответствующей форме о начале обработки персональных данных.

Хотелось бы точно понять какой нужен необходимый пакет документов, чтобы обработка данных была полностью законной.

Ольга

По сути, Вам нужно как минимум два документа:

  1. Собственно, само уведомление в Роскомнадзор;
  2. Соглашение с пользователями.

Составили примерный список: — Положение о персональных данных; — Приказ об утверждении положения; — Приказ о назначении ответственного лица; — Политика в отношении обработки и безопасности персональных данных; — Пользовательское соглашение в приложении и на сайте (политика конфиденциальности). — Инструкция ответственного за организацию обработки персональных данных — Приказ о выделении помещений для обработки персональных данных + правила доступа — Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн — Положение об обеспечении безопасности автоматизированной информационной системы организации. — Журнал учета машинных носителей информации с персональными данными.

Ольга

Это всё в принципе тоже нужно, как раз в уведомлении Вы укажите, каким образом Вы будете обеспечивать сохранность данных и чем это регламентируется.

19 сентября 2017, 06:23
2
0
2
0

Это два разных документа, то есть у Вас отдельно должна быть политика конфиденциальности на сайте и отдельно пользовательское соглашение, в соглашении при этом должна быть ссылка на политику конфиденциальности.

Васильев Дмитрий

Это всё можно сделать в одном документе. Тут вопрос только в юридической технике и удобстве. По мобильному приложению — ещё нужен лицензионный договор с пользователями.

19 сентября 2017, 06:24
Ольга
Ольга
Клиент, г. Самара

Спасибо за ответ!

Мы также не очень можем разобраться, необходимо ли осуществлять защиту данных в нашей системе путем криптографической защиты? И как определить класс наших данных. Есть ли смысл вообще заморачиваться с этим, или подойти формально, т.к. это не проверяется?

19 сентября 2017, 07:21
Иван Агибалов
Иван Агибалов
Юрист, г. Москва
9.7 рейтинг

Здравствуйте Ольга.

Согласно принятым рекомендациям Роскомнадзора, операторам, осуществляющим обработку персональных данных необходимо подать соответствующее уведомление в Роскомнадзор.

Согласно:

Министерство связи и массовых коммуникаций Российской Федерации

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

ПРИКАЗ

от 30 мая 2017 года N 94

Об утверждении Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения

3. Уведомление об обработке (намерении осуществлять обработку) персональных данных (Уведомление)

3.1. Уведомление уполномоченного органа по защите прав субъектов персональных данных осуществляется Оператором до начала обработки персональных данных и включает следующие сведения:

3.1.1. Наименование (фамилия, имя, отчество), адрес Оператора, включающие в себя:

3.1.1.1. Для юридических лиц (Операторов): полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных; наименование филиалов (представительств) юридического лица (Оператора), осуществляющего обработку персональных данных; адрес Оператора; индивидуальный номер налогоплательщика (ИНН); основной государственный регистрационный номер (ОГРН).

3.1.1.2. Для физических лиц: фамилия, имя, отчество (при наличии) физического лица (Оператора); адрес Оператора; данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ; индивидуальный номер налогоплательщика (ИНН, при наличии).

3.1.1.3. Для государственных и муниципальных органов (Операторов): полное и сокращенное наименование государственного, муниципального органа; наименование территориальных органов, осуществляющих обработку персональных данных; адрес Оператора; индивидуальный номер налогоплательщика (ИНН); основной государственный регистрационный номер (ОГРН).При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).

3.1.2. Цель обработки персональных данных. Указываются цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.

3.1.3. Категории персональных данных. Рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором.

3.1.4. Категории субъектов, персональные данные которых обрабатываются.Рекомендуется указать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором), и др.).

3.1.5. Правовое основание обработки персональных данных.Рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки Оператором персональных данных и соответствуют полномочиям Оператора. Не рекомендуется указывать в качестве правового основания часть 1 статьи 6 Закона N 152-ФЗ. Номер и наименование лицензии на осуществляемый вид деятельности (для лицензируемых видов деятельности) и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся субъектов персональных данных) (при наличии такого запрета).

3.1.6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.Предполагаются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:- неавтоматизированная обработка персональных данных;- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;- смешанная обработка персональных данных.При автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети Оператора (информация доступна лишь для строго определенных сотрудников) либо информация передается с использованием сети связи общего пользования (например, Интернет), либо без передачи полученной информации.

3.1.7. Описание мер, предусмотренных статьями 18.1 и 19 Закона N 152-ФЗ, предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств представляются следующие сведения:

а) наименование используемых криптографических средств;

б) класс средств криптографической защиты информации (СКЗИ).Данную информацию рекомендуется представлять на основании приказа ФСБ России от 10.07.2014 N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

3.1.8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.

3.1.9. Дата начала обработки персональных данных.Рекомендуется указать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления Оператором деятельности, закрепленной в уставных документах).

3.1.10. Срок или условие прекращения обработки персональных данных.Рекомендуется указывать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.

3.1.11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки предполагают указание перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

3.1.12. Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации (далее — база данных), включают в себя:- наименование стран размещения базы данных;- конкретные адреса местонахождения базы данных.Полный перечень сведений, которые могут быть включены в базу данных, содержится в электронной форме Уведомления, размещенной на Портале персональных данных.

3.1.13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.Уведомление рекомендуется оформлять на бланке оператора по форме, определенной Приложением 1 к Рекомендациям, и направлять в территориальный орган Роскомнадзора (далее — ТО Роскомнадзора) по месту регистрации Оператора в налоговом органе.

3.2. Оператор направляет Уведомление в ТО Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа, подписанного уполномоченным лицом. Электронная форма Уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора.

3.3. В случае представления оператором неполных или недостоверных сведений представленные данные в Реестр не вносятся, а в адрес Оператора направляется письмо, содержащее перечень недостающих сведений и предложение их предоставить.

3.4. Оператору рекомендуется сообщить по запросу Роскомнадзора (ТО Роскомнадзора) уточненные сведения в течение 30 дней со дня получения такого запроса. Если в течение 30 дней со дня получения запроса Оператор не представил уточненные сведения, то по истечении указанного срока Уведомление с неполными или недостоверными сведениями возвращается Оператору без внесения сведений о нем в Реестр.

3.5. Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте и Портале персональных данных.
http://docs.cntd.ru/document/4...

19 сентября 2017, 06:27
0
0
0
0
Услуги юристов в Москве
Мы договариваемся с юристами в каждом городе о лучшей цене.
Похожие вопросы
Защита прав потребителей
Кто же в итоге является оператором обработки персональных данных?
Приветствую. Такой вопрос: кто является обработчиком персональных данных я или сервис которым я пользуюсь? Ситуация: пользуюсь сервисом по разработке сайтов для физлиц. К сервису отношения не имею (не разработчик, не владелец) - я пользователь услуг сервиса. Согласно закона получая от клиента данные при заказе сайта у меня как дизайнера, клиент в поле форма заказа услуг вводит свои данные - имя, телефон и мэйл. По этим данным можно идентифицировать человека, соответственно необходим документ - обработка персональных данных. Но кого указывать как обработчика персональных данных? Ведь вся информация вводимая клиентом при заказе моих услуг, фактически храниться на серверах сервиса. Я храню контакты клиента ровно до исполнения договора - сделал сайт, всё как правило контактные данные мне не нужны. А вот сколько информация храниться на серверах сервиса, кто имеет к ней доступ, куда передается - мне не известно. Т.е. фактически вся обработка, хранение и прочие вещи с персональными данными выполняет сервис, а не я. Но при этом собираю их я, а не сервис. Закавыка. Кто же в итоге является оператором обработки персональных данных? Помогайте, голова сломал уже ... Заранее спасибо.
21 марта, 05:35, вопрос №3012344, Жека, г. Москва
2 ответа
Гражданское право
Вопрос, требуется ли создать отдельный пакет документов по персональным данным для сайта с личным кабинетов
Добрый день. Хотим сделать личный кабинет на сайте, с возможностью получения результатов клинических анализов. Имеются все необходимые документы по персональным данным (политика, положение и т.д.). Вопрос, требуется ли создать отдельный пакет документов по персональным данным для сайта с личным кабинетов, либо достаточно уже имеющихся и только в личном кабинете сделать пользовательское соглашение по обработке данных со ссылкой на "Политику по обработке и защиты ПД"?
08 февраля, 12:54, вопрос №2980233, Антон, г. Москва
1 ответ
700 ₽
Вопрос решен
Административное право
Нарушение правил обработки персональных данных
Моя знакомая является владельцем сайта салона красоты. На ее имя из Роскомнадзора поступило письмо. Суть письма: "на Сайте осуществляется сбор персональных данных граждан посредством форм, размещенных на странице Сайта:. При этом на сайте отсутствует информация о правовых основаниях обработки таких персональных данных и не размещена политика оператора персональных данных в отношении обработки персональных данных. В соответствии с ч. 2 ст. 18.1 Закона, оператор, осуществляющий сбор персональных данных с использованием информационно- телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. На основании изложенного, в рамках полномочий, предусмотренных п. 1 ч. 3 ст. 23 Закона, просим представить информацию: о правовых основаниях обработки персональных данных граждан, собираемых посредством сайта, в том числе Заявителя; о дате начала осуществления сбора персональных данных граждан посредством данного сайта; о дате принятия документа, определяющего политику оператора в отношении обработки персональных данных, собираемых посредством указанного сайта, и о дате фактического его размещения на сайте; иные пояснения по существу изложенного." --- На самом деле на сайте рядом с каждой формой сбора данных было размещено обязательное поле "Нажимая на кнопку, я даю свое согласие на обработку своих персональных данных." Страница с документом о политике персональных данных на сайте существует, но по техническим причинам ссылка на документ не была доступна пользователям. Как лучше ответить на обращение чтобы избежать ответственности за нарушение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»?
26 сентября 2020, 12:36, вопрос №2870854, Виталий Заря, г. Санкт-Петербург
4 ответа
1200 ₽
Вопрос решен
Интернет и право
Обработка персональных данных - подача заявления в роскомнадзор
Зарегистрирован как ИП, есть новостной сайт, который зарегистрирован как электронное СМИ в Роскомнадзоре. Хочу подать заявление в реестр операторов по обработке персональных данных в Роскомнадзор. Использовать собираюсь следующие данные: email, имя, фамилия, профиль в соц сети. Цель использования: - информационные рассылки (новые выпуски онлайн журнала, новые статьи, важные новости, изменения на сайте, ответы на комментарии пользователей, ответы на вопросы пользователей) Что надо писать в ниже перечисленных полях? - Правовое основание обработки персональных данных - Цель обработки персональных данных - Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» - Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ - Срок или условие прекращения обработки персональных данных (что писать если выбран тип прекращения - условие прекращения) - Категории субъектов, персональные данные которых обрабатываются - Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных
15 января 2018, 06:47, вопрос №1871979, Артем, г. Раменское
10 ответов
600 ₽
Вопрос решен
Гражданское право
О согласии на обработку персональных данных
Добрый день! Прошу предоставить информацию по следующим вопросам: 1. При отправке подписанного заявление в орган государственной власти, орган местного самоуправления или в подведомственную организацию лично через приемную или через сервис электронной приемной на сайте органа какой документ необходимо взять с заявителя третьему лицу: согласие, соглашение или доверенность? В том числе необходимо учесть, что при отправке заявления через сервис электронной приемной будет использовано многофункциональное устройство для сканирования в цветном варианте данного заявления, сохранение его на персональном компьютере третьего лица, отправке его через сервис электронной приемной, ввод персональных данных в формы сервиса электронной приемной (Ф.И.О., телефон, адрес заявителя). Цель документа: защитить третье лицо в случае если заявитель предъявит нарушение по 152-ФЗ «О персональных данных» или о том, что не давал поручения/согласия направить данное заявление. Понимаю, что наиболее правильно будет получить доверенность с необходимыми полномочиями по конкретному случаю от заявителя и написать заявления как действующего в лице (от имени) заявителя. Соглашение, согласие, доверенность оформляются нотариально? В 59-ФЗ об обращениях граждан ни слова не нашел про доверенных лиц и доверенности. 2. Аналогичная ситуация. Если заявитель просит третье лицо получать через свой личный кабинет на сайте расчетного центра квитанции на оплату коммунальных услуг. Заявитель предоставляет номер лицевого счета и код, который пришел в бумажной квитанции в конверте для активации лицевого счета в личном кабинете. Какой дополнительно документ необходимо запросить у заявителя третьему лицу, чтобы в дальнейшим подтвердить, что это было волеизъявление самого заявителя, что он предоставил лицевой счет, код и свои персональные данные. В личном кабинете, помимо квитанций, также отображается информация о задолженности, начислениях за предыдущие три года и иная персональная информация. 2.1. У родственников нужно запрашивать согласие на обработку персональных данных, если какие-либо документы с персональными данными родственников хранятся на вычислительном устройстве или в архивных папках? 3. Если в организацию или орган направлялось множество заявлений, заключалось множество договоров и при каждом подписании давалось новое согласие на обработку персональных данных, то для того чтобы отозвать согласие на обработку данных необходимо написать один раз заявление об отзыве или необходимо написать заявление об отзыве на каждое заявление, на каждый договор? А если я, например, не помню, сколько я их отправлял и когда? Необходимо запросить перечень всех моих обращений за определенный период? 4. Отдельно выделю вопрос: можно указать в заявление на отзыв персональных данных о том что отзываю ВСЕ (КАЖДОГО) СОГЛАСИЯ, ПРЕДОСТАВЛЕННЫЕ МНОЙ ЗА КОНКРЕТНЫЙ ПЕРИОД? 5. При нарушении 152-ФЗ пострадавшее лицо может получить какую-либо компенсацию или 50 процентов так же как при нарушении положений закона о защите прав потребителей при подаче искового заявления в суд? 6. На что нужно обращать внимание при подписании согласия на обработку персональных данных той или иной организацией? Например, на срок действия согласия (если бессрочное исправляю на один год), на предоставленные действия с данными (запрещаю передавать сведения обо мне третьим лицам), ограниченный или конкретный объем персональных данных (только фио, адрес, телефон).
31 мая 2017, 17:39, вопрос №1653568, Алексей, г. Москва
4 ответа
Дата обновления страницы 22.07.2019