Все это — онлайн, с заботой о вас и по отличным ценам.
Оформление документов ИП по сбору персональных данных
Индивидуальный предприниматель лично оказывает образовательные услуги (консультации, вебинары) физическим лицам. Для защиты своих информационных продуктов и возможности предъявить требования к нарушителям авторских прав он планирует собирать с клиентов персональные данные, о чем сделал указание в оферте.
Обязан ли он уведомить об этом Роскомнадзор и вообще какие документы ИП должен оформить в рамках законодательства о защите персональных данных? Данные хранятся на закрытой информационной платформе и не подлежат передаче третьим лицам.
Добрый день! Создавая клиентскую базу ( потенциальных обучающихся), Вы уже обрабатываете персональные данные.
Нормы, регулирующие порядок хранения и обработки персональных данных закреплены в
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»
Для защиты своих информационных продуктов и возможности предъявить требования к нарушителям авторских прав он планирует собирать с клиентов персональные данные, о чем сделал указание в оферте.Юлия
п.3 ст.3 ФЗ №152:
ст.3 3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Формально ИП не обязан издавать локальный акт об использовании персональных данных, тем более, что получаете Вы персональные данные с ведома и согласия клиента ( заключая договор), но в целях рассмотрения спорных вопросов по использованию персональных данных, Вы можете издать свой локальный акт:
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
Здравствуйте, Юлия!
В соответствии с ч..2 ст. 22 ФЗ «О персональных данных»,
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Поэтому уведомлять Роскомнадзор в вашем случае не требуется.
Юлия, добрый день!
Для ответа на Ваш вопрос необходимо четко понимать, о каких-персональных данных идет речь и как организован Вами процесс обработки этих данных.
Основание для обработки данных
Прежде всего у Вас должно быть основание для обработки персональных данных. По общему правилу – это согласие субъекта на обработку. В ряде случаев, закон допускает обработку персональных данных без специального согласия, например, в случае, когда такая обработка необходима:
для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (пп. 5 ст. 6 Федерального закона от 27.07.2006 № 152 «О персональных данных»).
Если Вы собираете больший объем персональных данных, чем тот, который необходим и достаточен для предоставления образовательной услуги, если Вы собираете персональные данные также и в иных целях (Вы упоминаете защиту авторских прав), Вам необходимо получить согласие субъектов на обработку. Соответствующие положения могут быть включены в оферту, принимая которую, субъект будет считаться предоставившим свое согласие на обработку. Пропишите прямо этот момент в оферте. Также убедитесь, что в оферте указано о каких данных идет речь, поименованы цели обработки, назван срок хранения Вами персональных данных после предоставления непосредственно образовательной услуги (если применимо).
Уведомление в Роскомнадзор
Что касается уведомления Роскомнадзора об обработке данных, логика законодателя здесь такая же. В соответствии с п. 2 ст. 22 Закона о персональных данных:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
<…>
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
Здесь важно обратить внимание на выделенную фразу. На практике, если Вы собираете больший объем персональных данных, чем требуется для заключения договора, если используете собранные данные, в том числе, в иных целях и т.п., уведомлять Роскомнадзор об обработке необходимо.
Если Вам потребуется помощь в заполнении формы соответствующего уведомления, пожалуйста, обращайтесь.
Иные документы
Перечень мер и формализующие их документы названы в ст. 18.1. Закона о персональных данных. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом, поэтому в этом контексте политику об обработке персональных данных, например, Вы можете не принимать.
Однако, обратите внимание на п. 2 этой же статьи 18.1:
Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
То есть, если Вы собираете персональные данные через интернет, соответствующий документ необходим и должен быть доступен он-лайн (то есть на Вашем web ресурсе).
С уважением,
Дарья
В данном случае Вы нарушаете цель ФЗ «О защите персональных данных»:
Одним из принципов обработки персональных данных является установление сроков хранения и использования персональных данных:
По сути, как только заканчивается срок обучения, обусловленный договором, то Вы должны уничтожить персональные данные. В противном случае их распространение будет считаться нарушением. Вы вправе защищать свои авторские права и исключительные права на Ваши продукты в установленном порядке в области защиты авторских прав.
КоАП предусмотрена ответственность за нарушение прав в области сбора, хранения и защиты персональных данных: