Все это — онлайн, с заботой о вас и по отличным ценам.
Как обрабатывать персональные данные внутри группы компаний?
Нужен ответ со ссылками на нормы закона:
1. Можно ли сделать одну политику обработки персональных данных на группу компаний?
2. Как обрабатывать персональные данные внутри группы компаний?
Добрый вечер.
Начнем с того, что
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных
Таким образом, на Ваш вопрос
1. Можно ли сделать одну политику обработки персональных данных на группу компаний?Александр
отвечаю: можно.
Здравствуйте, Александр,
1. Можно ли сделать одну политику обработки персональных данных на группу компаний?
В соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ, оператор принимает меры, направленные на обеспечение выполнения им обязанностей, предусмотренных данным Федеральным законом, среди которых - издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных…
http://www.consultant.ru/docum...
Таким образом, если Ваша «группа компаний» является самостоятельным юридическим лицом (допустим, ассоциация или союз), то она вправе принять политику в отношении обработки ПД в форме издания одного документа, обязательного для всех юридических лиц, входящих в эту группу.
Если же, группа компаний не является юридическим лицом (допустим, это разные ЮЛ, просто они аффилированы друг к другу), то политику в отношении обработки ПД в форме издания одного документа необходимо принимать каждому юридическому лицу.
2. Как обрабатывать персональные данные внутри группы компаний?
Отвечу с учетом ответа на вышеуказанный вопрос, то есть — по обработке ПД оператором, являющимся юридическим лицом. Обязанности оператора предусмотрены в главе 4 (ст. ст. 18-22.1) Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Особое внимание обратите на меры, которые необходимо принять оператору (ст. 18.1):
В соответствии со ст. 18.1 Федерального закона № 152-ФЗ, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных этим законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
http://www.consultant.ru/docum...
То есть, все меры определяете и принимаете — самостоятельно, главное, чтобы требования Федерального закона № 152-ФЗ были выполнены.
Однако, есть требования этого Закона, которые необходимо исполнить в обязательном порядке — назначить ответственного за организацию обработки ПД, принять вышеуказанные внутренние документы, осуществлять контроль (документально, акты проверок или аудита), ознакомить работников, обрабатывающих ПД с вышеуказанными требованиями и документами.
Не забудьте про обязанность уведомления уполномоченного органа по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку персональных данных (смотрите ст. 22 Федерального закона № 152-ФЗ).
Желаю удачи,
Вопрос 2 был о том, как между этими юр лицами возможна передача данных? Могут ли данные, собранные всеми юр лицами, хранится только у одного лица? Может ли быть 1 ответственный сотрудник за все юр лица?
В соответствии с ч. 3 ст. 6 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ, оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора,
http://www.consultant.ru/docum...
То есть, с согласия субъекта ПД оператор может поручить обработку ПД другому ЮЛ (заключается соглашения о поручении обработки ПД, вариант агентского договора).
По вопросу передачи ПД другому ЮЛ на хранение, полагаю, что такое возможно (заключается соглашение о передаче ПД).
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
(п. 5 ст. 18 Закона)
По идее, хранение ПД оператором в на сервере другого ЮЛ — это по сути аналогичная передача ПД на хранение. Полагаю, что возможно передать ПД другому ЮЛ на хранение (в целях обеспечения хранения ПД).
Может ли быть 1 ответственный сотрудник за все юр лица?
Нет. ЮЛ является оператором ПД. Оно поручило обработку ПД другому ЮЛ, передало ПД на хранение другому ЮЛ, но вследствие этого не перестало быть оператором. Поэтому все требования, установленные Законом в отношении операторов ПД, должны выполняться.