Вопросы: персональные данные

[mvs]

────────────────
Данная тема предназначена для обсуждения вопросов, имеющих отношение к персональным данным.

Быстрый переход

• Где взять аттестат соответствия персональным данным?
• Нужно ли согласие на обработку в документации?
• Требование к поставщику в части регистрации в реестре ПД
• Персональные данные при обучении работников

────────────────

Добрый день!!

Подскажите пжл., ситуация у нас следующая:
Подписываем гос. контракт, где у заказчика прописано:
"Исполнитель обязан предоставить:
- аттестат соответствия (или иной подтверждающий документ) информационной системы персональных данных требованиям защиты информации, предусмотренных действующим законодательством;
- подтверждающие документы о наличии аттестата соответствия информационной системы персональных данных Исполнителя требованиям законодательства о защите персональных данных. "

Подскажите пожалуйста, что это за аттестат, как его получить и где?
Стыдно, но первый раз встречаю такое требование. Буду всем ооочень благодарна за помощь.

[КотБегемот]

Как то связано с обработкой конфиденциальной информации (см. Закон о персональных данных), по аналогии с гос.тайной, арм должен быть аттестован. Как то так http://ispdn.ru/basis/522/#text

[fujimori1997]

Нужно ли требовать от участников согласия на обработку персональных данных при подаче заявки на участие в процедурах?

[ДиМкА]

Нужно ли требовать от участников согласия на обработку персональных данных при подаче заявки на участие в процедурах?

А это предусмотрено 44-ФЗ?

[OMZ]

п11ч1ст6 152-ФЗ

[КотБегемот]

Добрый день, коллеги.
Ситуация: аук по 44-ФЗ, предмет закупки - изготовление билета (содержит ФИО и СНИЛС), в ТЗ Зак установил, что поставщик должен быть зареган в реестре операторов, осуществляющих обработку персональных данных.

 

Прошерстил 152-ФЗ О персональных данных
"оператор - ... юридическое ...самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;"
"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;"
НО требованию Зака: ст. 22
"1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи."
Вот в упор не вижу ограничения на обработку персональных данных оператором не из реестра, только требование уведомить УО о намерении.
Кроме того, то, что мы будем делать (нанесение ФИО и СНИЛС, предоставленных Заком, на билет, никаких сборов, хранений) оч похоже на определения ст.6
"3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). ... В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. (второе предложение - конструкция ТЗ)
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных."

Законно ли такое требование? или требуется только уведомить УО? или подпадаем под определение "лица, осуществляющее обработку персональных данных по поручению оператора"?

[OMZ]

Ну как я понял, по контракту Вы получаетесь оператор. пробежав по комментариям к 152-фз, что после уведомления УО, он Вас вносит в реестр.
Поэтому не вижу проблем в данном требовании.
Все это конечно имхо.
Вообще надо с людьми общаться кто с этим законом плотно работает

[КотБегемот]

УО вносит в реестр в течении 30 дней после уведомления что равно сроку изготовления по контракту, как бы могут не успеть до исполнения гк))

[Екатерина Т]

Добрый день, коллеги.
Ситуация: аук по 44-ФЗ, предмет закупки - изготовление билета (содержит ФИО и СНИЛС), в ТЗ Зак установил, что поставщик должен быть зареган в реестре операторов, осуществляющих обработку персональных данных.

 

Прошерстил 152-ФЗ О персональных данных
"оператор - ... юридическое ...самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;"
"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;"
НО требованию Зака: ст. 22
"1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи."
Вот в упор не вижу ограничения на обработку персональных данных оператором не из реестра, только требование уведомить УО о намерении.
Кроме того, то, что мы будем делать (нанесение ФИО и СНИЛС, предоставленных Заком, на билет, никаких сборов, хранений) оч похоже на определения ст.6
"3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). ... В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. (второе предложение - конструкция ТЗ)
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных."

Законно ли такое требование? или требуется только уведомить УО? или подпадаем под определение "лица, осуществляющее обработку персональных данных по поручению оператора"?

Получается в документации нужно прописывать некое уведомление участников о намерении обрабатывать персональные данные? А согласие не нужно, если есть в реестре операторов персональных данных? Правильно понимаю?

[КтоЯ]

Здравствуйте!

Приказом Минтруда России от 24.12.2018 № 834н утвержден типовой контракт на оказание услуг по обучению работодателей и работников вопросам охраны труда.
В приложении № 1 к ГК необходимо указать ФИО, дату рождения, адрес места жительства, паспортные данные и номер телефона обучаемых работников.

Является ли указание данной информации нарушением закона о персональных данных?
Стоит ли эту информацию в проекте ГК и ТЗ? или возможно внести указанные данные непосредственно при заключении ГК?

Не все работники согласны на размещение в ЕИС своих паспортных данных и адреса места жительства.