Sons et musique 

Liste des opérateurs de traitement de données personnelles. Une entreprise est-elle tenue de s’inscrire au Registre des Opérateurs de Données Personnelles ?

Travailler avec des données personnelles impose un certain nombre de responsabilités à l'opérateur. Examinons quelques-uns des plus significatifs d'entre eux.

Informer Roskomnadzor du début du traitement des données personnelles (). Cette notification doit être envoyée à l'agence avant le début du traitement des données, en y indiquant :

  • nom (nom complet), adresse de l'opérateur ;
  • finalité du traitement des données personnelles ;
  • catégories de données personnelles ;
  • catégories de sujets dont les données personnelles sont traitées ;
  • base juridique pour le traitement des données personnelles ;
  • une liste d'actions avec des données personnelles, une description générale des méthodes utilisées par l'opérateur pour traiter les données personnelles ;
  • mesures de protection des données personnelles ;
  • Nom complet de la personne physique ou nom de la personne morale responsable de l'organisation du traitement des données personnelles, ainsi que ses numéros de téléphone, adresses postales et adresses e-mail ;
  • date de début du traitement des données personnelles ;
  • modalités ou conditions de cessation du traitement des données personnelles ;
  • des données sur la présence ou l'absence de transfert transfrontalier de données personnelles lors de leur traitement ;
  • des informations sur l'emplacement de la base de données d'informations contenant des données personnelles des Russes ;
  • des informations sur la garantie de la sécurité des données personnelles conformément aux exigences de protection des données personnelles établies par le gouvernement de la Fédération de Russie (nous parlons notamment des données personnelles dépendant des menaces de sécurité, des données personnelles dont l'exécution garantit des niveaux établis de protection des données personnelles, ainsi que des technologies permettant de stocker ces données en dehors des systèmes d'information sur les données personnelles).

Dans le même temps, il existe des situations dans lesquelles il n'est pas nécessaire d'informer Roskomnadzor du traitement des données personnelles. Il s'agit par exemple du traitement des données des salariés par l'employeur, de la réception par l'opérateur des données du client lors de la conclusion d'un accord avec lui (si ces informations ne sont pas fournies à des tiers sans le consentement du sujet et sont utilisées exclusivement pour l'exécution de l'accord spécifié), le traitement de données personnelles accessibles au public, la délivrance d'un laissez-passer unique à une personne sur le territoire de l'opérateur, en utilisant uniquement le nom complet du sujet, etc.

Assurer la confidentialité des données personnelles. Cela signifie qu'ils ne peuvent être distribués sans le consentement du sujet (). Cette responsabilité des personnes ayant accès aux données personnelles est l’une des principales. En particulier, lors du transfert des données personnelles des salariés, l'employeur est tenu de :

  • ne pas divulguer les données personnelles de l'employé à un tiers sans son consentement écrit (sauf dans les cas où cela est nécessaire pour prévenir une menace pour la vie et la santé de l'employé, et dans d'autres cas prévus par la loi - par exemple, lors du transfert de données à la Caisse d'assurance sociale, à la Caisse de retraite de la Fédération de Russie, aux autorités fiscales, aux commissariats militaires, au parquet, aux forces de l'ordre, au GIT, etc.) ;
  • avertir les personnes recevant les données personnelles du salarié que ces informations ne peuvent être utilisées qu'aux fins pour lesquelles elles ont été communiquées - l'employeur peut même exiger de ces personnes qu'elles confirment que cette règle a été respectée ;
  • transférer les données personnelles de l'employé au sein d'une organisation, d'un entrepreneur individuel conformément à un acte réglementaire local, avec lequel l'employé doit être familiarisé avec la signature ;
  • autoriser l'accès aux données personnelles des employés uniquement à des personnes spécialement autorisées, et elles devraient avoir le droit de recevoir uniquement les données des employés qui sont nécessaires à l'exercice de fonctions spécifiques ;
  • ne demandez pas d’informations sur l’état de santé de l’employé, à l’exception des informations relatives à la question de la capacité de l’employé à exercer une fonction professionnelle ;
  • limiter les informations transmises aux représentants des salariés aux seules données des salariés nécessaires à l'exercice de leurs fonctions par lesdits représentants ().

Prendre des mesures pour assurer la sécurité des données personnelles (). Pour ce faire, l'organisation doit désigner une personne responsable de l'organisation du traitement des données personnelles (). Une telle personne est tenue d'exercer un contrôle interne sur le respect par l'exploitant et ses salariés des exigences en matière de protection des données personnelles, de porter à la connaissance des salariés les dispositions et réglementations locales relatives au traitement des données personnelles, ainsi que d'organiser le réception et traitement des demandes et demandes des sujets de données personnelles. En outre, aux mêmes fins, des mesures techniques doivent être appliquées pour assurer la sécurité du traitement, ainsi que des documents doivent être délivrés définissant la politique de l’entreprise en matière de traitement des données personnelles, etc.

Parallèlement, l'organisation doit rendre publique sa politique de traitement des données personnelles (). Le meilleur moyen est de publier le document sur le site Internet de l’opérateur. Mais dans les cas où cela n'est pas possible, il suffit d'installer une « poche » avec la politique sur papier à tout endroit accessible aux visiteurs de l'organisation. L'exception concerne les opérateurs qui collectent des données personnelles directement via Internet : ils doivent publier la politique sur le site Web et offrir la possibilité d'accéder au document spécifié. Sur le site officiel de Roskomnadzor, vous pouvez trouver des recommandations pour élaborer une politique concernant le traitement des données personnelles.

Ne confondez pas la politique, qui s'applique principalement aux tiers (contreparties, clients, etc.), avec le Règlement sur la protection, le stockage, le traitement et le transfert des données personnelles des salariés - ce document, contrairement à la politique, est une réglementation locale acte, il ne doit donc pas être rendu public, mais il est obligatoire d'en informer les salariés contre signature ().

MATÉRIAUX SUR LE SUJET

Découvrez les problèmes qu'un opérateur peut rencontrer lorsqu'il se conforme aux exigences de localisation des données personnelles et comment les résoudre le plus efficacement possible dans notre documentation "".

Respectez les exigences de localisation des données personnelles des Russes. Depuis le 1er septembre 2015, tous les opérateurs lors de la collecte de données personnelles sont tenus d'assurer leur traitement à l'aide de bases de données situées en Russie (). La soi-disant localisation des données personnelles a d'abord suscité un grand écho parmi les spécialistes et les opérateurs - les exigences de la loi ont été formulées de telle manière que les experts ont exprimé de nombreuses inquiétudes. Parmi eux, il y a le manque de clarté sur les données personnelles qui seront soumises à cette exigence, quels opérateurs seront concernés, si le traitement des données personnelles sur des serveurs russes et étrangers est autorisé simultanément, comment déterminer la citoyenneté du sujet, etc. Roskomnadzor a répondu à la plupart de ces questions avant même l'entrée en vigueur des nouvelles exigences légales. Par exemple, l'agence a donné aux opérateurs le droit de décider de manière indépendante de la question de la détermination de la citoyenneté de la personne dont les données sont traitées, ou d'appliquer l'exigence de localisation aux données personnelles de tous les sujets. En outre, Roskomnadzor a précisé que dans le cas où des données personnelles ont été enregistrées dans une base de données russe lors de leur collecte, elles peuvent ensuite être traitées dans une base de données électronique située en dehors du pays.

Tant dans la politique de traitement des données personnelles que dans le Règlement sur la protection, le stockage, le traitement et le transfert des données personnelles des salariés, il convient de préciser que lors de la collecte des données personnelles, l'opérateur s'engage à assurer l'enregistrement, la systématisation, l'accumulation, le stockage, la clarification. (mise à jour, modification), récupération des données personnelles des Russes à l'aide de bases de données situées sur le territoire de la Russie, et indique également l'emplacement d'une telle base de données.

Arrêtez de traiter les données personnelles en temps opportun. Si la finalité du traitement des données personnelles est atteinte ou si le sujet a retiré son consentement à leur traitement, l'opérateur doit cesser de traiter ces données et les supprimer dans un délai de 30 jours, à moins qu'un autre délai ne soit spécifié dans l'accord ().

La loi sur les données personnelles n° 152-FZ du 27 juillet 2006 oblige toute personne impliquée dans le traitement des données personnelles à s'inscrire dans un registre spécial. De quel type de registre s'agit-il, pour qui l'inscription est obligatoire et comment se déroule la procédure d'enregistrement - c'est le sujet de notre article.

Qui est l'exploitant des données personnelles

La loi n° 152-FZ inclut les agences gouvernementales, les organisations et les individus qui collectent des données personnelles en tant qu'opérateurs, et déterminent également de manière indépendante les finalités de la collecte, la composition des informations et les actions effectuées avec celles-ci (article 3 de la loi n° 152-FZ. ).

En termes simples, un opérateur de données personnelles est quelqu'un qui utilise les données personnelles des citoyens à des fins de travail et autres relations. Leur tâche principale est de maintenir la confidentialité des données personnelles reçues, c'est-à-dire interdiction de transférer des données à des tiers et de les diffuser sans le consentement de la personne, sauf si ces données sont anonymisées.

Registre des opérateurs de données personnelles de Roskomnadzor

Avant de commencer le traitement des données personnelles, l'opérateur est tenu d'informer l'organisme gouvernemental autorisé à tenir le registre des opérateurs de données personnelles - Roskomnadzor (partie 1, article 22 de la loi n° 152-FZ). Ce service fédéral supervise le domaine des communications, des communications de masse et des technologies de l'information. Le contrôle de l'État sur le traitement des données personnelles par les opérateurs, conformément à la loi, est également exercé par Roskomnadzor. À ces fins, elle effectue des contrôles auprès des opérateurs de données personnelles, conformément aux réglementations approuvées par l'arrêté du ministère des Télécommunications et des Communications de masse de la Fédération de Russie du 14 novembre 2011 n° 312.

Vous pouvez consulter le registre des opérateurs de traitement des données personnelles sur le site officiel de Roskomnadzor ; ses informations sont accessibles au public.

Il suffit de déposer une notification une fois pendant toute la durée d'activité de l'opérateur. Parallèlement, la loi contient une liste d'exceptions lorsqu'il est possible de travailler avec des données personnelles sans inscription au registre des opérateurs de données personnelles (partie 2 de l'article 22 de la loi n° 152-FZ) :

  • lorsque les opérateurs-employeurs traitent uniquement les données obtenues conformément à la législation du travail ;
  • si l'opérateur a reçu des données de la contrepartie dans le cadre de la conclusion d'un accord et ne les utilise pas à des fins autres que l'exécution de l'accord ;
  • lorsque l'opérateur de données personnelles est un organisme religieux ou public qui traite les données personnelles de ses participants aux fins prévues par sa charte ;
  • si le citoyen lui-même a rendu ses données personnelles accessibles au public ;
  • si les données personnelles n'incluent rien d'autre que le nom complet ;
  • lorsque des données sont reçues pour l'émission d'un laissez-passer unique ;
  • lors du traitement de données personnelles par les systèmes d'information automatisés de l'État ;
  • si les données personnelles sont traitées « sur papier », c'est-à-dire sans recours à l'automatisation ;
  • lorsque les données sont utilisées pour assurer la sécurité des systèmes de transport.

Toute personne qui ne figure pas dans cette liste est tenue de soumettre une notification pour être inscrite au registre des opérateurs de données personnelles de Roskomnadzor. De nombreux entrepreneurs individuels et organisations ignorent cette exigence ou l'apprennent trop tard. Mais vous pouvez soumettre ultérieurement une notification d'inscription au registre, en y indiquant la date réelle du début du traitement des données personnelles, et aucune pénalité ne sera appliquée en cas de retard.

Comment avertir Roskomnadzor

Pour soumettre une notification concernant le traitement des données personnelles, l'opérateur du traitement des données personnelles doit remplir un formulaire électronique sur le site Web de Roskomnadzor. Le formulaire de notification contient :

  • des informations sur l'opérateur lui-même (nom, INN, OGRN, adresse de localisation, numéro de téléphone, numéros de licence, etc.) ;
  • base juridique et finalités du traitement des données conformément à la loi ;
  • description des mesures et moyens de protection des données personnelles ;
  • la date effective du début du traitement des données personnelles par l'opérateur ;
  • les conditions dans lesquelles le traitement prendra fin (par exemple, en cas de révocation d'une licence d'exploitation), ou une période de résiliation spécifique ;
  • catégories de données personnelles faisant l'objet d'un traitement (nom, année de naissance, état civil, adresse de résidence, profession, revenus, état de santé, etc.), utilisation de données biométriques ;
  • actions avec des données personnelles et modalités de leur traitement (automatisées ou non, avec transmission via Internet ou non, etc.) ;
  • données du responsable du traitement des données personnelles.

Après avoir rempli la notification électronique, l'opérateur de données personnelles l'envoie à Roskomnadzor et une autre copie est imprimée sur papier. La version imprimée est signée par le gérant et certifiée par un sceau. Il doit être accompagné d'un ensemble de documents nécessaires (Règlement sur les données personnelles, formulaire de consentement au traitement, arrêté de nomination des personnes responsables, etc.) et envoyé au bureau territorial de Roskomnadzor par courrier.

30 jours sont impartis pour l'inscription au registre à compter de la date de réception de la notification par Roskomnadzor. Vous pouvez suivre l'état de la notification envoyée sur le même site Web.

Si Roskomnadzor considère que les informations spécifiées dans la notification sont incomplètes ou peu fiables, elle peut demander des éclaircissements à l'opérateur. En cas de modification des données, l'opérateur doit en informer l'autorité de contrôle dans les 10 jours pour apporter des modifications au registre.

1. Le présent Règlement sur la tenue du registre des opérateurs effectuant le traitement (ci-après dénommé le Règlement) a été élaboré conformément à la loi fédérale du 27 juillet 2006 N « Sur les données personnelles » (ci-après dénommée la Loi) (Collectées Législation de la Fédération de Russie, 31 juillet 2006, N 31 (1 partie), article 3451), pour exercer le pouvoir de tenir un registre des opérateurs traitant des données personnelles (ci-après dénommé l'Opérateur), attribué au Service fédéral pour Surveillance des communications de masse, des communications et de la protection du patrimoine culturel (ci-après dénommé le Service) conformément au Règlement sur le Service, approuvé par le décret du gouvernement de la Fédération de Russie du 06.06.2007 N 354 (Recueil de la législation de la Fédération de Russie Fédération, 11.06.2007, N 24, Art. 2923 ;


2. Le présent règlement établit la procédure de tenue d'un registre des opérateurs traitant des données à caractère personnel (ci-après dénommé le registre).

3. Concepts utilisés dans le présent Règlement :

registre - liste, liste des opérateurs traitant des données personnelles ;

tenue d'un registre des opérateurs - les activités du Service, y compris la collecte, l'enregistrement, le traitement, le stockage et la fourniture de données qui constituent le système de tenue d'un registre des opérateurs traitant des données personnelles ;

opérateur - un organisme public, un organisme municipal, une personne morale ou une personne physique qui organise et (ou) effectue le traitement de données personnelles, ainsi que qui détermine les finalités et le contenu du traitement des données personnelles ;

traitement des données personnelles - actions (opérations) avec des données personnelles, y compris la collecte, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), l'utilisation, la distribution (y compris le transfert), la dépersonnalisation, le blocage, la destruction des données personnelles.

II. Composition des informations incluses dans le registre

4. Le registre contient les informations suivantes sur les opérateurs :

a) le numéro d'enregistrement ;

b) nom (nom, prénom, patronyme), adresse de l'opérateur ;

c) adresses des succursales (bureaux de représentation) de l'opérateur traitant les données personnelles (le cas échéant) ;

d) date d'envoi de la notification ;

e) la finalité du traitement des données personnelles ;

h) base juridique pour le traitement des données personnelles ;

i) une liste d'actions avec des données personnelles, une description générale des méthodes utilisées par l'opérateur pour traiter les données personnelles ;

j) description des mesures que l'opérateur s'engage à mettre en œuvre lors du traitement des données personnelles pour assurer la sécurité des données personnelles lors de leur traitement ;

k) date de début du traitement des données personnelles ;

m) les modalités ou conditions de cessation du traitement des données personnelles ;

m) date et motifs de l'inscription au registre des opérateurs ;

o) date et motif de l'exclusion du registre des opérateurs ;

o) les modifications apportées.

III. Conditions d'inscription des opérateurs au registre

5. Les opérateurs sont inscrits au Registre si les conditions suivantes sont remplies :

Envoi d'une notification concernant le traitement (de l'intention de traiter) des données personnelles à l'administration territoriale du Service (ci-après dénommée la Notification). Les informations spécifiées dans la notification doivent être conformes à la partie 3 de l'article 22 de la loi ;

Enregistrement de la Notification reçue auprès de la direction territoriale du Service, son traitement pour prendre une décision d'agrément ou de rejet ;

Signature d'un arrêté par le chef de Service ou l'administrateur général d'inscription de l'Opérateur au Registre.

6. L'original de la Notification envoyée par l'Opérateur avec les pièces jointes de tous les documents reçus doit être conservé dans le service territorial compétent du Service.

IV. La procédure d'inscription des opérateurs au registre

7. Sur la base des résultats de l'analyse des Notifications traitées par les services territoriaux du Service, le Service a le droit de vérifier l'exactitude et l'exhaustivité des informations fournies par les Opérateurs contenues dans la Notification, ou d'impliquer d'autres organismes gouvernementaux au sein les limites de leurs pouvoirs pour procéder à une telle vérification. Le Service a également le droit de demander aux personnes physiques ou morales les informations nécessaires à l'exercice de ses pouvoirs, et de recevoir gratuitement ces informations, y compris si elles sont nécessaires pour clarifier ou compléter des informations manquantes.

8. Sur la base des résultats de la vérification des informations contenues dans la Notification traitée, le Service, dans les trente jours à compter de la date de réception de la Notification, prend la décision d'inscrire l'Opérateur au Registre, qui est délivré sous la forme d'un arrêté du chef du Service ou de l'administrateur général du Service d'inscrire l'Opérateur au Registre.

9. Sur la base de l'ordre émis, une inscription concernant l'opérateur est effectuée dans le registre, auquel est attribué un numéro d'enregistrement.

10. La date d'inscription de l'Opérateur au Registre est considérée comme la date de signature de la commande.

11. Les informations relatives à l'inscription de l'Opérateur au Registre doivent être publiées sur le site officiel du Service au plus tard trois jours à compter de la date de signature de la commande.

V. Procédure de tenue du Registre

12. Le Registre est tenu à jour au moyen d'un système d'information unifié (ci-après dénommé l'ISU) sous forme électronique.

13. Le Registre est tenu par le Service qui, sous réserve des conditions spécifiées dans le présent Règlement, inclut les Opérateurs dans le Registre en effectuant les inscriptions pertinentes dans le Registre, modifie les informations contenues dans les entrées spécifiées, exclut les Opérateurs du Registre en complétant inscriptions préalablement effectuées avec des informations sur l'exclusion des opérateurs du registre.

14. Si les informations contenues dans la notification changent après que l'opérateur est inscrit au registre, il est tenu d'informer le service des changements dans les dix jours ouvrables à compter de la date de ces changements. Ces modifications au Registre s'effectuent sur la base d'un arrêté du chef de Service ou de l'administrateur général et n'entraînent pas de modification du numéro d'inscription de l'inscription correspondante au Registre.

15. Les informations contenues dans le Registre, à l'exception du sous-paragraphe « k » du paragraphe 4 du présent Règlement, sont accessibles au public.

16. Les informations sur le Registre sont publiées sur le site officiel du Service.

17. Les opérateurs inscrits au Registre ont le droit de recevoir un extrait du Registre sur demande écrite adressée au Service au plus tard trente jours.

VI. La procédure d'exclusion des opérateurs du Registre

18. La question de l'exclusion de l'Opérateur du Registre est examinée dans les cas suivants :

Réception par le Service ou ses services territoriaux d'une demande écrite (demande) de l'Opérateur inscrite au Registre d'exclusion avec justification jointe ;

Prendre des mesures par le Service ou ses services territoriaux pour suspendre ou mettre fin par l'Opérateur au traitement de données personnelles effectué en violation des exigences de la Loi.

19. Les opérateurs sont exclus du registre lorsque l'une des conditions suivantes est remplie :

Liquidation de l'Opérateur ;

Cessation des activités de l'Opérateur à la suite de sa réorganisation, à l'exception de la réorganisation sous forme de transformation ;

Annulation de la licence pour exercer les activités autorisées de l'Opérateur, si la condition de la licence pour exercer de telles activités est une interdiction de transfert de données personnelles à des tiers sans le consentement écrit du sujet des données personnelles ;

L'arrivée du délai ou des conditions de cessation du traitement des données personnelles précisées dans la Notification ;

Une décision de justice relative à la cessation par l’opérateur des activités liées au traitement des données personnelles ;

D'autres établis par la législation de la Fédération de Russie dans le domaine des données personnelles.

20. La décision d'exclusion de l'Opérateur du Registre est formalisée par arrêté du chef du Service ou de l'administrateur général du Service.

Sur la base de l'ordonnance émise, des informations sur l'exclusion de l'opérateur du registre sont inscrites au registre. Une fois l'opérateur exclu du registre, le numéro d'enregistrement de l'entrée correspondante n'est plus utilisé à l'avenir.

21. Les informations relatives à l'exclusion de l'Opérateur du Registre doivent être publiées sur le site officiel du Service sur Internet au plus tard trois jours à compter de la date de signature de la commande.

Dans quelques jours seulement, le 1er juillet 2017, les modifications apportées au Code des infractions administratives et le renforcement de la responsabilité en cas de non-respect (ci-après dénommée loi n° 152-FZ) entreront en vigueur. Il y avait suffisamment d'informations sur ce sujet ; « Clerk » a également écrit à ce sujet.

Mais des questions demeurent.

On a l’impression qu’il y a juste une agitation autour de ce sujet. Que s’est-il réellement passé ? En général, la loi n'a pas changé. Des modifications n'y ont été apportées qu'en termes d'amendes.

Or, selon l'art. 13.11 du Code administratif, il n'y a qu'une seule infraction passible d'une amende de 10 000 roubles pour les personnes morales. Après le 1er juillet, ils seront sept et l'amende totale pourrait atteindre 295 000 roubles.

Pourquoi les autorités récupèrent-elles les données personnelles maintenant ? Toutes les amendes, qui entrent en vigueur le 1er juillet, constituent les violations les plus courantes identifiées par Roskomnadzor au cours des cinq dernières années.

L'une des principales questions : tous les sites Web doivent-ils vraiment s'enregistrer en tant qu'opérateur de données personnelles auprès du Roskomnadzor ?

Il s'avère que non. Il est possible d'éviter ce besoin. Comment? Les données reçues des utilisateurs doivent être traitées sur la base du contrat d'utilisation. Le paragraphe 2 de la clause 2 de l'article 22 de la loi n° 152-FZ prévoit ce qui suit.

Nous citons :

«...2. L'opérateur a le droit de traiter les données personnelles sans en informer l'organisme habilité pour la protection des droits des personnes concernées :

…2) reçus par l'opérateur dans le cadre de la conclusion d'un accord auquel la personne concernée est partie, si les données personnelles ne sont pas distribuées et ne sont pas fournies à des tiers sans le consentement de la personne concernée et est utilisé par l'opérateur uniquement pour l'exécution de l'accord spécifié et la conclusion d'accords avec le sujet des données personnelles ;"

Si le site Web d'une organisation ou d'un individu dispose d'un formulaire de collecte de données sur les visiteurs - par exemple, un formulaire de commentaires, une ligne d'abonnement à une newsletter, une inscription ou un compte personnel, cela est considéré comme un traitement de données personnelles.

Les activités de toute organisation impliquent inévitablement le traitement de données personnelles dans un système d'information (ISPD). Chaque entreprise qui utilise des informations confidentielles sur ses employés, clients, partenaires et autres personnes est tenue de s'enregistrer en tant qu'opérateur de données personnelles.

Procédure de conservation et de protection des données personnelles

L'organisation de la protection des informations confidentielles se déroule en plusieurs étapes :

  • Vérifier les premiers travaux sur les traitements de données personnelles (révision du cadre réglementaire local, analyse des flux d'informations sur les données personnelles et de l'ISPD en général, identifier les manquements et les menaces sur la sécurité du système d'information, faire des propositions de correction des manquements, améliorer les systèmes de protection des données).
  • Développement d'un cadre réglementaire pour la protection des données personnelles. Cette étape comprend la classification de l'ISPD et l'enregistrement en tant qu'opérateur de données personnelles à Roskomnadzor.
  • Conception d'un système de protection des données personnelles - sélection de méthodes, mesures et classes de moyens de protection des données personnelles, élaboration d'une documentation technique pour la création d'un système de protection des données, ainsi que l'élaboration de mesures spécifiques pour protéger les informations dans chaque protection des données spécifique système.
  • Mise en œuvre de PDPD – mise en service des systèmes de protection PD et configuration des systèmes de protection ISPD existants.
  • Évaluation de la conformité à l'ISPD, dans le cadre de laquelle des tests d'évaluation de l'ISPD sont effectués et le certificat correspondant est délivré.

L'inscription en tant qu'opérateur de données personnelles au registre de Roskomnadzor fait partie du processus global d'organisation du traitement et de la protection des données personnelles.

Étapes d'enregistrement d'un opérateur ISPDn à Roskomnadzor

L'enregistrement d'un opérateur ISPDn comprend les étapes suivantes :

  • Élaboration et adoption d'un cadre réglementaire pour le traitement et la protection des données personnelles.
  • Remplir le formulaire de notification de l'intention de traiter des données personnelles sur le site Internet de l'organisme territorial de Roskomnadzor.
  • Envoi d'une notification au système d'information de l'organisme habilité pour la protection des droits des personnes concernées.
  • Imprimez le formulaire complété avec les signatures.
  • Envoi d'un formulaire imprimé de notification à l'organisme territorial approprié de Roskomnadzor au lieu d'enregistrement de l'opérateur.

Nous vous invitons à préparer les documents nécessaires à l'inscription en tant qu'opérateur de données personnelles via notre service en ligne. Cette page contient des lois, instructions, règlements, journaux, avis et autres documents.

Souvent utilisé avec ce modèle :

  • Lettre d'information relative à la modification des informations figurant dans le registre des opérateurs traitant des données personnelles
  • Consentement au transfert de données personnelles à des tiers
  • Liste des données personnelles soumises à la protection dans ISPDn
  • Protection des données personnelles dans les établissements d'enseignement

Documents et procédures populaires :

Enregistrement d'un opérateur de données personnelles à usage interne

point 4 - chaque personne morale doit le faire. personne physique ou entrepreneur individuel, s'il s'agit du traitement de données personnelles d'employés et de clients ?

Nous sommes une entreprise qui a créé et discute d'un système où les données personnelles des clients du client sont présentes, un ensemble de ces documents ne nous convient pas, il est plus adapté lorsque l'employeur traite les données de ses salariés, mais le ce n’est pas tout à fait vrai.

Bonjour! J'ai quelques questions sur la configuration des modèles. 1) Veuillez me dire comment configurer les modèles du système ISPD afin de classer le système sous les menaces actuelles de type 1 et la nécessité d'assurer le 1er niveau de sécurité. Dans ce cas, les modèles proposés seront-ils cohérents entre eux ? 2.) Est-il possible de pré-remplir tous les documents du système (28 documents) avec les données initialement saisies (nom de la personne morale, catégorie de données personnelles), ou doivent-ils être saisis à chaque fois lors du remplissage d'un document système distinct ?

Veuillez préciser quel est le niveau minimum possible de sécurité PD qui peut être créé sur la base de vos modèles ? (nous souhaitons minimiser les coûts du système. Les données personnelles des employés et des sous-traitants seront traitées. Nous ne traitons pas de catégories particulières de données personnelles et de données biométriques)

Bonjour! Nous souhaitons utiliser le mécanisme de maintenance et d'enregistrement des tâches relevant des responsabilités professionnelles de nos employés, en enregistrant un compte (compte personnel) avec le nom de l'employé (nom d'utilisateur) et en fournissant un identifiant unique (login) et un mot de passe pour cet enregistrement, comme recommandé dans votre modèle « Règlement » propriété intellectuelle", clause 6.2. Parallèlement, l'article 6.4 du Règlement sur la propriété intellectuelle mentionné stipule que toutes les adresses e-mail d'entreprise et tous les identifiants ou noms d'utilisateur dans les Outils Logiciels sont indiqués dans un document interne spécial approuvé par le Directeur Général de la Société, qui est mis à jour et apporté à l'attention de tous les employés de la Société en cas de nécessité, c'est-à-dire. les données sont divulguées à d'autres personnes. Veuillez clarifier les questions suivantes : 1.) les données du compte (compte personnel) avec le nom de l'employé (nom d'utilisateur) et un identifiant unique (login) et un mot de passe de l'employé dans le système interne appartiennent-elles à des données personnelles (et si oui, à quoi catégorie) Opérateur, adresse e-mail de l’employé dans le système interne de l’Opérateur ? 2.) si ces données concernent des données personnelles, leur utilisation dans vos modèles ISPD présentera-t-elle des caractéristiques spécifiques (cela impliquerait-il la nécessité d'acheter des outils de protection cryptographique, etc.) ?

Bonjour! Selon la loi, il n'est pas nécessaire d'informer le régulateur lors du traitement de données personnelles traitées conformément au droit du travail. Qu’en est-il des candidats qui ne sont pas embauchés ? Leurs données demeurent, a-t-on le droit de les stocker sans en avertir le régulateur ? Par exemple, si le candidat n'a pas réussi la période d'essai (il y a ici une relation de travail évidente). Ou, par exemple, n’a-t-il même pas été autorisé à passer le test ? Nous n'avons tout simplement pas besoin de ces données aujourd'hui, mais demain nous créons un profil, invitons une personne et l'embauchons. Serait-ce la disposition de l'article 86 du Code du travail dans la partie « le traitement des données personnelles d'un salarié ne peut être effectué que dans le but d'assurer le respect des lois et autres réglementations, d'aider les salariés à trouver un emploi » et, par conséquent, peut être effectuée à l'insu du régulateur ?

Bonjour. L'ensemble des documents relatifs au traitement des données est-il destiné aux employés ou aux sous-traitants ?

Avez-vous besoin de remplir des documents en ligne ou après téléchargement uniquement dans WORD ?

Bonjour! Si vous traitez les données personnelles de vos collaborateurs ou clients, alors il est impératif de les protéger. Il est nécessaire d'élaborer l'ensemble correct des réglementations locales présentées dans la procédure, ainsi que de prévoir des mesures techniques, si le traitement est effectué de manière automatisée ou partiellement automatisée, et des mesures organisationnelles. La seule exception concerne la soumission d'une notification à Roskomnadzor pour l'enregistrement en tant qu'opérateur de données personnelles. Toutes ces exceptions sont prescrites à l'article 22, paragraphe 2 du 152-FZ. Les exceptions les plus courantes sont le traitement des données personnelles des salariés dans le cadre du droit du travail, le traitement des données personnelles des clients dans le cadre de l'exécution d'un contrat (par exemple, pour livrer des marchandises à un client, vous devez connaître son adresse, les détails de son passeport).

Bonjour! Selon le paragraphe 2 de l'art. 3 de la loi n° 152-FZ, par opérateur de données personnelles, on entend notamment une personne morale qui, de manière indépendante ou conjointement avec d'autres personnes, organise et (ou) effectue le traitement de données personnelles. Le traitement des données personnelles désigne toute action (opération) ou ensemble d'actions (opérations) effectuée à l'aide d'outils d'automatisation ou sans l'utilisation de tels outils avec des données personnelles, y compris la collecte, l'enregistrement, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), extraction, utilisation, transfert (distribution, mise à disposition, accès), dépersonnalisation, blocage, suppression, destruction des données personnelles (clause 3 de l'article 3 de la loi n° 152-FZ Ainsi, si, lorsque vous effectuez des travaux de maintenance du site). , vous effectuez l'une ou l'autre ou une combinaison des actions énumérées ci-dessus - conformément à la loi, vous êtes l'exploitant des données personnelles, avec toutes les responsabilités qui en découlent. La loi ne fait pas d'exception pour les opérateurs qui n'ont pas collecté de données personnelles directement auprès des sujets, mais ont reçu des données personnelles d'un autre opérateur. Opérateur – celui qui effectue le traitement, c'est-à-dire toute personne exerçant au moins l'une des activités prévues à l'art. 3 actions de la loi fédérale n° 152 avec PD. Et dans ce cas, nous vous recommandons de suivre la procédure : http://www..Merci d'utiliser le service !

Bonjour! Vous devez répondre aux questions du questionnaire sur le côté gauche de la page - un ensemble de documents nécessaires sera généré automatiquement. Si la valeur saisie dans un document est identique à un autre document du package général, alors elle sera automatiquement renseignée dans ce document. Les modèles de documents conviennent pour assurer le 1er niveau de sécurité des données personnelles. Nous attirons votre attention sur le fait qu'outre l'élaboration de la documentation, il est également nécessaire d'élaborer et de mettre en œuvre des mesures techniques de protection. La composition et le contenu de ces mesures « de base » sont définis dans l'arrêté FSTEC n° 21 du 18 février 2013 « portant approbation de la composition et du contenu des mesures organisationnelles et techniques visant à assurer la sécurité des données personnelles lors du traitement dans les systèmes d'information sur les données personnelles. . » Merci d’utiliser notre service !

voir la réponse ci-dessous

Bonjour! Les données personnelles sont toute information permettant d'identifier avec précision une personne (au sens de la loi fédérale n° 152-FZ du 27 juillet 2006 « sur les données personnelles »). Dans ce cas, les adresses e-mail et identifiants individuels d'entreprise ou les noms d'utilisateur sont des données personnelles des salariés qui sont nécessaires à l'employeur dans le cadre des relations de travail, ce qui n'entraîne pas en soi l'application spécifique d'un régime de protection particulier (sous réserve du respect des exigences établies par le chapitre 14 du Code du travail de la Fédération de Russie). Nous vous recommandons de vous familiariser avec la procédure située sur le lien : http://www.. Merci d'utiliser notre service !

Bonjour. L'employeur a le droit, sans en informer Roskomnadzor, de traiter les données personnelles des candidats à des postes, de sauvegarder leurs curriculum vitae, en constituant à la fois une base de données papier et électronique des candidats, s'ils ont leur consentement écrit. Cette conclusion est basée sur le fait que, selon l'article 1, partie 2, art. 22 de la loi fédérale du 27 juillet 2006 n° 152-FZ « sur les données personnelles », sans en informer l'organisme autorisé, les données traitées conformément à la législation du travail peuvent être traitées. Les données personnelles des candidats peuvent être stockées dans la base de données. l'employeur, s'il est donné par écrit, le consentement du candidat et la durée de ce stockage sont indiquées. Quant aux anciens employés (comme ceux qui n'ont pas réussi le test), nous pensons que si le Code du travail de la Fédération de Russie ou d'autres lois n'imposent pas à l'employeur l'obligation de traiter les données des anciens employés, alors ce traitement devrait être effectué uniquement avec notification du Roskomnadzor (sauf s'il existe d'autres motifs pour le traitement des données personnelles sans dépôt de notifications, par exemple le traitement des données personnelles sans l'utilisation d'outils d'automatisation). Nous vous recommandons de clarifier ce problème avec l'organisme autorisé. Merci pour votre demande.

22 Article 152-FZ lu. Mais comme nous n'entrons pas de relations de travail avec tous les candidats dont nous collectons les données personnelles (nous les acceptons pour des tests ou au moins les invitons à des entretiens), Roskomnadzor doit encore être informé dans ce cas.

Bonjour. Le traitement des données personnelles des candidats est également effectué dans le cadre de la législation du travail. Selon la position de la quatrième cour d'appel d'arbitrage, la base prévue au paragraphe 1 de la partie 2 de l'art. 22 de la loi fédérale n° 152-FZ du 27 juillet 2006 « sur les données personnelles » s'applique également aux activités de sélection du personnel (Résolution n° 04AP-127/2018 du 7 février 2018 dans l'affaire n° A19-17054/2017). Cela est dû au fait que la législation du travail est régie non seulement par le Code du travail de la Fédération de Russie, mais également par d'autres réglementations. Ainsi, la loi fédérale n° 1032-1 du 19 avril 1991 « sur l'emploi dans la Fédération de Russie » stipule que les employeurs promeuvent la politique de l'emploi, notamment par l'emploi. Nous pensons que le consentement écrit du demandeur pour conserver certaines de ses données pendant la durée spécifiée dans le consentement sera suffisant pour se conformer à la loi en la matière. Il n'est pas nécessaire d'en informer Roskomnadzor. Cependant, afin d'éviter des litiges, nous vous recommandons de clarifier cette question avec l'organisme habilité. Merci pour votre demande.

Merci! J'ai lu la décision du tribunal. C'est une question délicate. Cette décision de justice suggère que la position de Roskomnadzor est de notifier, mais l'administration de la région d'Irkoutsk, ainsi que l'appel, s'est rangée du côté de la personne morale. Compte tenu de la position bien connue de Roskomnadzor, on ne sait pas si les AS de notre région prendront notre parti. C'est pourquoi nous avons envoyé une lettre avec une question.

Bonjour. Merci pour votre réponse. Il serait intéressant et utile de voir le résultat de votre message sur notre page de discussion. Cordialement, société FreshDoc.

Je ne manquerai pas de publier comment ils répondent ! Vos conseils m'ont beaucoup aidé à élaborer une position juridique sur cette question)

A écrit. À votre avis, à quoi ont-ils répondu ? Rien! C'est bien sûr, ont-ils répondu, mais pour rien. L'essence de la lettre se résume au fait que c'est à vous de soumettre ou non un avis. Je voulais m’assurer qu’en cas de vérification j’aurais leur réponse, mais ça n’a pas marché. Et se cacher derrière une décision de justice dans une autre région. Nous n'avons pas encore un système juridique anglo-saxon, mais un système continental, et pour moi la principale conclusion du raisonnement de la décision de justice est la vision de Roskomnadzor, et notre tribunal régional sera-t-il de notre côté, comme il l'était à Irkoutsk, inconnu

Bonjour. Merci pour votre réponse. La présence d'une réponse de Roskomnadzor ne constitue pas une protection garantie contre les poursuites. Pour le tribunal, l'avis du ministère, quel qu'il soit, n'est pas non plus déterminant. Nous vous recommandons de formuler votre propre avis motivé et, si possible, d'obtenir des décisions judiciaires adaptées au cas d'espèce. Cordialement, société FreshDoc.

Dans tous les cas, qu'il y ait une notification ou non, tout opérateur doit se conformer aux exigences des articles 18.1, 19 de la loi fédérale n° 152 lors du traitement des données personnelles : nommer une personne responsable, élaborer et approuver une politique et une réglementation sur les données personnelles. , etc. De plus, Roskomnadzor effectue des inspections programmées auprès de tous les opérateurs, et pas seulement auprès de ceux inscrits dans le registre de Roskomnadzor conformément à la notification.

Bonjour. Oui, il appartient à l'opérateur PD de prendre les mesures nécessaires et suffisantes pour assurer le respect des obligations prévues par la loi fédérale du 27 juillet 2006 n° 152-FZ « sur les données personnelles », quelle que soit leur présence/ absence dans le registre des opérateurs (envoi d'une notification à Roskomnadzor). Parallèlement, afin de remplir les exigences prévues à l'art. 22 Loi fédérale du 27 juillet 2006 n° 152-FZ « Sur les données personnelles », l'opérateur, avant de commencer le traitement des données personnelles, est tenu d'informer Roskomnadzor de son intention de traiter les données personnelles, faute de quoi il s'expose à une amende en vertu de l'art. . 19.7 Code des infractions administratives de la Fédération de Russie.

Bonjour. L'éventail des sujets de données personnelles est établi dans la section 3 « Données personnelles traitées dans l'ISPD » du Règlement sur le traitement et la protection des données personnelles, qui est inclus dans l'ensemble des documents et peut être consulté sur le lien https:// www.site/?oid=7086347. Il établit notamment que les données des sujets suivants sont traitées : les employés de l'Opérateur ; actionnaires/fondateurs de l'Exploitant, personnes liées aux salariés, actionnaires, fondateurs (enfants bénéficiant d'une pension alimentaire, épouses, etc.) ; les clients (consommateurs des services de l’Opérateur) ; entrepreneurs individuels - contreparties de l'Opérateur ; clients des organisations, contreparties de l'Opérateur (au service des entreprises clientes). Il est également établi que cette liste pourra être révisée. Merci de nous avoir contactés.

Vous pouvez remplir les documents directement sur le site Internet.



Des questions ?

Signaler une faute de frappe

Texte qui sera envoyé à nos rédacteurs :

Envoyer