Комментарии.org Комментарии Российского законодательства
Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
Статья 22. Уведомление об обработке персональных данных

Комментарий к статье 22

1. Уведомление оператором уполномоченного органа о намерении осуществлять обработку персональных данных является одним из старейших средств обеспечения контроля над деятельностью операторов по обработке персональных данных. Предполагается, что такого рода уведомления обеспечивают более ответственный характер обработки персональных данных операторами, которые "вынуждены" выходить на контакт с контрольно-надзорным органом <1>. Последний, в свою очередь, может адресно подходить к надзору за деятельностью тех операторов, которые, осуществляя обработку персональных данных за пределами обычной повседневной деятельности любого оператора, представляют особый интерес для контрольно-надзорных органов, и при необходимости оперативно вмешаться в такие процессы обработки данных. Однако если это было справедливо на ранних этапах развития законодательства о персональных данных в условиях, когда количество операторов персональных данных было незначительным, то сейчас данная обязанность все более вырождается в некую формальность, не имеющую какой-либо реальной ценности, оправдывающую издержки, которые ее исполнение возлагает и на операторов, и на регуляторов. Недаром новое европейское законодательство отказалось от нее, возложив, правда, на оператора взамен целый ряд дополнительных обязанностей: а) фиксировать соответствующие процессы обработки персональных данных и предоставлять их по требованию контрольного органа (ст. 30 Регламента 2016 г.); б) уведомлять контрольно-надзорный орган о произошедших утечках персональных данных (ст. 33 Регламента 2016 г.); в) осуществлять предварительную оценку возможных рисков и негативных последствий от деятельности по обработке персональных данных для защиты персональных данных, а в некоторых случаях - и консультации с контрольно-надзорным органом (ст. ст. 35, 36 Регламента 2016 г.).
--------------------------------
<1> См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press, 2014. P. 185.

В России одним из основных практических последствий подачи указанного уведомления является включение оператора/организации в реестр операторов, осуществляющих обработку персональных данных, и тем самым попадание такой организации "на радар" Роскомнадзора, что повышает вероятность ее последующего включения в план проведения плановых проверок.
2. Уведомление, предусмотренное комментируемой статьей, подлежит подаче оператором до начала им процесса обработки персональных данных, если только оно не подпадает под какое-либо из исключений, установленных в ч. 2 комментируемой статьи, которая содержит исчерпывающий перечень исключений из требований об уведомлении Роскомнадзора. Отсутствие подобных исключений повлекло бы разрастание реестра операторов персональных данных до размеров ЕГРЮЛ и тем самым сделало бы его нерепрезентативным. Ведь в отличие от ЕГРЮЛ, имеющего преимущественно информационные цели, реестр операторов персональных данных имеет прикладное значение - определение круга лиц, деятельность которых может представлять особый интерес с точки зрения проведения контрольно-надзорных мероприятий. Следует подчеркнуть, что подпадание деятельности оператора по обработке персональных данных под какое-либо из исключений, указанных в комментируемой статье, не означает, что оператор освобождается от необходимости обеспечения законного характера такой обработки и соблюдения всех иных положений законодательства о персональных данных.
Роскомнадзор в рамках реализации своих полномочий (см. комментарий к ст. 23 настоящего Закона) имеет возможность самостоятельного выявления операторов, которые должны направлять соответствующие уведомления, в связи с чем может предъявлять операторам требования о предоставлении уведомлений об обработке персональных данных (Постановление Арбитражного суда Поволжского округа от 16 июня 2015 г. N Ф06-24503/2015 по делу N А12-40600/2014).
3. Одним из наиболее распространенных исключений из обязанности по подаче уведомления об обработке персональных данных является их обработка в соответствии с требованиями трудового законодательства (п. 1 ч. 2 комментируемой статьи). Под персональными данными, обрабатываемыми в соответствии с требованиями трудового законодательства, имеются в виду данные, обрабатываемые для целей, указанных в п. 1 ст. 86 ТК РФ: для обеспечения соблюдения законов и иных нормативных правовых актов; содействия работникам в трудоустройстве, получении образования и продвижении по службе; обеспечения личной безопасности работников; контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
При этом вряд ли можно согласиться с выводом, сделанным в комментарии представителей Роскомнадзора, согласно которому "при осуществлении работодателем иных видов деятельности с использованием персональных данных работников, в том числе в рамках зарплатного проекта, сведения об указанных видах деятельности включаются в уведомление" <1>. Сам факт того, что зарплатные проекты прямо не названы в вышеуказанной статье ТК РФ, не означает, что они не подпадают под ее действие. Согласно ст. 22 ТК РФ одной из основных обязанностей работодателя является обязанность выплачивать в полном размере причитающуюся работникам заработную плату в сроки, установленные в соответствии с настоящим Кодексом, коллективным договором, правилами внутреннего трудового распорядка, трудовыми договорами. В этой связи обработка персональных данных в рамках реализации зарплатных проектов в полной мере соответствует целям трудового законодательства и не требует уведомления Роскомнадзора.
--------------------------------
<1> См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 129.

Рассматриваемое исключение не касается обработки персональных данных членов семьи работников, а также бывших работников. Оно также не касается лиц, которые осуществляют соответствующую деятельность в организациях на основании гражданско-правовых договоров, в том числе в рамках аутстаффинга <1>.
--------------------------------
<1> Аутстаффинг (англ. outstaffing - выведение персонала за пределы штата) - это способ управления персоналом, предполагающий оказание одной организацией (далее - исполнитель, организация-исполнитель) другой организации (далее - заказчик, организация-заказчик) услуг в форме предоставления в распоряжение заказчика определенного количества работников, не вступающих с заказчиком в какие-либо правовые отношения (гражданско-правовые, трудовые) напрямую, но оказывающих от имени исполнителя определенные услуги по месту нахождения заказчика. Указанная дефиниция приведена в Постановлении Одиннадцатого арбитражного апелляционного суда от 13 апреля 2012 г. по делу N А55-17727/2011.

4. Еще одним исключением является обработка персональных данных, полученных в связи с заключением договора, стороной которого является субъект персональных данных (п. 2 ч. 2 комментируемой статьи). Таким образом, обработка персональных данных клиентов - физических лиц по общему правилу также не требует уведомления Роскомнадзора. Это справедливо и для В2С сегмента электронной коммерции, в частности применительно к обработке персональных данных пользователей онлайн-сервисов, которые приняли условия пользовательского соглашения, однако с учетом условий, которые предусмотрены в комментируемом положении:
1) персональные данные не должны распространяться, т.е. делаться оператором доступными неопределенному кругу лиц. Таким образом, операторы - социальные сети или иные онлайн-ресурсы, которые в результате обработки персональных данных делают их общедоступными, должны подавать уведомление в Роскомнадзор;
2) передача третьим лицам таких персональных данных осуществляется исключительно для целей заключения или исполнения договора и с согласия субъекта персональных данных. Если оператор осуществляет передачу персональных данных третьим лицам хотя и для целей исполнения договора, но на ином законном основании, чем согласие субъекта, то рассматриваемое исключение не применяется;
3) исключение не затрагивает договоры, в которых субъект персональных данных является не стороной, а выгодоприобретателем или поручителем.
5. Обработка общественным объединением или религиозной организацией персональных данных, относящихся к их членам (участникам), для достижения предусмотренных их учредительными документами законных целей также возможна без уведомления Роскомнадзора (п. 3 ч. 2 комментируемой статьи). Однако лишь при условии, что такие персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных. К сожалению, комментируемый Закон не поясняет, является ли данное требование безусловным или касается лишь случаев, когда оператор не имеет права обрабатывать такие данные в отсутствие согласия субъекта на основании ч. 1 ст. 6, ч. 2 ст. 10 или ст. 11 Закона о персональных данных. Представляется, что отсутствие письменного согласия субъекта на передачу персональных данных третьим лицам, сопровождающееся последующей передачей им таких данных, должно влечь необходимость подачи уведомления в Роскомнадзор не всегда, а лишь в тех случаях, когда соответствующая передача осуществляется по инициативе самого оператора. Вряд ли будет соответствовать целям данного положения возложение на этого оператора обязанности по предоставлению в Роскомнадзор уведомления лишь в силу того, что он передал в уполномоченные правоохранительные органы персональные данные члена своей общественной организации по его запросу.
6. Обработка общедоступных персональных данных также не требует подачи оператором уведомления в Роскомнадзор (п. 4 ч. 2 комментируемой статьи). О понятии общедоступных данных см. комментарий к ст. ст. 6 и 8 настоящего Закона.
7. Еще одно исключение из требований уведомления Роскомнадзора касается случаев, когда оператор обрабатывает персональные данные, состоящие исключительно из фамилии, имени и отчества субъекта (п. 5 ч. 2 комментируемой статьи). Данное положение, как отмечалось, является свидетельством отнесения законом Ф.И.О. лица к персональным данным безотносительно к степени их распространенности. При этом, как представляется, оно охватывает и случаи обработки данных в виде фамилии и инициалов по принципу "большее охватывает меньшее".
8. Обработка персональных данных для целей однократного пропуска субъекта на находящуюся под контролем оператора территорию или в иных аналогичных случаях не требует подачи уведомления в Роскомнадзор (п. 5 ч. 2 комментируемой статьи). Возникает вопрос: как быть с обработкой персональных данных для целей оформления пропусков, которые предоставляют возможность прохода в течение определенного периода времени, например для целей реализации какого-либо проекта? Представляется, что, поскольку существо отношений в данном случае аналогично существу отношений в ситуации, указанной в диспозиции (оформление пропуска, который не носит постоянного характера), вряд ли целесообразно чрезмерно формально толковать положения п. 5 ч. 2 комментируемой статьи и требовать от оператора подачи уведомления в Роскомнадзор, перед тем как выдать такой пропуск. Подобная ситуация вполне укладывается в оговорку об "иных аналогичных целях".
9. В тех случаях, когда речь идет об обработке персональных данных в информационных системах, имеющих статус "государственная автоматизированная информационная система", подачи уведомления в Роскомнадзор также не требуется (п. 7 ч. 2 комментируемой статьи). Данный статус информационная система приобретает в случаях, когда ее создание и функционирование предусмотрены федеральным законом. В качестве примера можно привести единую государственную автоматизированную информационную систему учета древесины и сделок с ней, предусмотренную ст. 50.6 Лесного кодекса РФ. Поскольку такого рода информационные системы создаются в рамках достаточно детального правового регулирования, они и без уведомлений находятся "на радаре" у Роскомнадзора. Кроме того, из сферы действия положений об уведомлении Роскомнадзора выведена обработка персональных данных в государственных информационных системах, осуществляемая для целей защиты безопасности государства и общественного порядка, а также для целей обеспечения безопасности объектов транспортной инфраструктуры (п. 9 ч. 2 комментируемой статьи).
10. Квазиавтоматизированная обработка персональных данных, т.е. обработка без использования средств автоматизации, которая при этом "позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным" (см. подробнее комментарий к ст. 1 настоящего Закона), не требует подачи уведомления в Роскомнадзор (п. 8 ч. 2 комментируемой статьи). Однако если соответствующие персональные данные также обрабатываются с использованием средств автоматизации и в отношении такой обработки неприменимо ни одно из иных исключений, указанных в ч. 2 комментируемой статьи, то уведомление в Роскомнадзор подавать нужно.
11. Уведомление направляется оператором в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе. Оно может быть подготовлено как в виде документа на бумажном носителе, так и в форме электронного документа. Электронная форма уведомления и порядок ее заполнения представлены на Едином портале государственных и муниципальных услуг (функций) (www.gosuslugi.ru), а также на портале персональных данных Роскомнадзора (www.pd.rkn.gov.ru). Порядок и условия внесения сведений в реестр, внесения информации об изменении сведений в ранее представленное уведомление и порядок исключения сведений из реестра устанавливаются Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных", утвержденным Приказом Минкомсвязи России от 21 декабря 2011 г. N 346.
Поданное уведомление рассматривается Роскомнадзором в течение 30 календарных дней (15 календарных дней с момента регистрации поступившего уведомления - в соответствии с п. 16 вышеназванного Административного регламента), в результате чего сведения об операторе вносятся Роскомнадзором в реестр операторов, осуществляющих обработку персональных данных. Сведения указанного реестра являются общедоступными, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке. Сам реестр доступен по ссылке: https://pd.rkn.gov.ru/operators-registry/operators-list/. Никаких пошлин или иных платежей в связи с подачей и рассмотрением уведомления, направляемого в Роскомнадзор, не предусмотрено (ч. 5 комментируемой статьи).
12. Часть 3 комментируемой статьи конкретизирует перечень сведений, которые должны содержаться в подаваемом уведомлении, безотносительно к форме его подачи. При заполнении формы уведомления целесообразно использовать Рекомендации Роскомнадзора по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных от 29 января 2016 г., положения которых приводятся далее.
В поле "Наименование (фамилия, имя, отчество), адрес оператора" помещаются следующие сведения:
- для операторов - юридических лиц:
- полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (оператора), осуществляющего обработку персональных данных;
- наименование филиала (представительства) юридического лица (оператора), осуществляющего обработку персональных данных. При этом для юридических лиц с филиальной структурой рекомендуется указывать список субъектов РФ (с указанием кода субъекта согласно Приложению N 2 "Коды субъектов РФ и иных территорий", утвержденному Приказом ФНС России от 30 октября 2015 г. N ММВ-7-11/485@ "Об утверждении формы сведений о доходах физического лица, порядка заполнения и формата ее представления в электронном виде"), на территории которых находятся филиалы (представительства) юридического лица и (или) где оператором производится обработка персональных данных. Направление уведомления производится юридическим лицом в соответствующее территориальное управление Роскомнадзора по месту своего нахождения с указанием всех имеющихся филиалов (представительств);
- адрес оператора, т.е. место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, почтовый адрес юридического лица, контактная информация. При этом организациям, имеющим филиалы (представительства), рекомендуется отражать юридический и почтовый адреса (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных);
- индивидуальный номер налогоплательщика (ИНН);
- для операторов - физических лиц:
- фамилия, имя, отчество;
- адрес оператора, т.е. место нахождения в соответствии со свидетельством о постановке на учет физического лица в налоговом органе, почтовый адрес, контактная информация;
- данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
- индивидуальный номер налогоплательщика (ИНН).
Поле "Цель обработки персональных данных" должно, по мнению Роскомнадзора, отражать как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке персональных данных. Например: "оказание услуг по..." или "осуществление деятельности по...".
В поле "Категории персональных данных" рекомендуется отражать все категории персональных данных, подлежащих обработке оператором (обычные, специальные категории, биометрические данные).
В поле "Категории субъектов, персональные данные которых обрабатываются" предлагается указать категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются (например, работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.).
В поле "Правовое основание обработки персональных данных" делаются ссылки на соответствующие статьи Закона о персональных данных, а при наличии - и статьи иного нормативно-правового акта, регулирующего осуществляемый оператором вид деятельности, касающиеся обработки персональных данных (например, ст. ст. 85 - 90 ТК РФ; ст. 85.1 Воздушного кодекса РФ).
Поле "Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных" предусматривает действия, совершаемые оператором с персональными данными, а также включает описание таких используемых оператором способов обработки персональных данных, как:
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных.
Поле "Описание мер, предусмотренных ст. ст. 18.1 и 19 Закона о персональных данных" предполагает наличие следующей информации:
а) описание мер, предусмотренных ст. ст. 18.1 и 19 Закона о персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименовании этих средств;
б) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
в) перечисление организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
При использовании оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:
а) наименование используемых криптографических средств;
б) класс средств криптографической защиты информации (СКЗИ). Как отмечается Роскомнадзором, предоставление данной информации рекомендуется на основании Приказа ФСБ России от 10 июля 2014 г. N 378.
В поле "Сведения о наличии или об отсутствии трансграничной передачи персональных данных" рекомендуется указывать сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.
В поле "Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации" указываются страна (страны) размещения базы данных и конкретный адрес (адреса) местонахождения базы данных. При этом детальная градация сведений, которые могут быть включены по базе данных, приведена на Портале персональных данных Роскомнадзора в электронной форме уведомления.
В поле "Сведения об обеспечении безопасности персональных данных" рекомендуется указывать сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ. По факту это приведение перечня всех соответствующих мер, принятых оператором. Например, указание на наличие разработанных локальных нормативных актов об обработке персональных данных, размещенных на интернет-сайтах политики конфиденциальности, принимаемых мер по обучению работников оператора, принимаемых технических мер (разграничение доступа пользователей к информационным ресурсам, средствам обработки и защиты информации; осуществление регистрации действий пользователей информационной системы персональных данных; осуществление резервирования технических средств и дублирования массивов информации; использование средств антивирусной защиты; осуществление межсетевого экранирования с целью управления доступом и проверки подлинности пользователя при входе в информационную систему и т.п.).
В поле "Дата начала обработки персональных данных", как правило, указывается дата начала осуществления оператором деятельности, закрепленной в уставных документах. Поскольку уведомление должно подаваться до начала обработки соответствующих персональных данных, в этом поле целесообразно указывать именно предполагаемую фактическую дату начала обработки, а не дату образования юридического лица - оператора.
В поле "Срок или условие прекращения обработки персональных данных" рекомендуется отражать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных. Например, это могут быть прекращение деятельности организации-оператора, отзыв согласия на обработку персональных данных или (применительно к отдельным категориям персональных данных работника) прекращение трудовых отношений с таким лицом.
13. Поскольку процессы обработки персональных данных оператором носят динамический характер и в ходе деятельности могут претерпевать изменения, ч. 7 комментируемой статьи предусматривает обязанность оператора уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты возникновения изменений в каких-либо сведениях, предоставленных в ранее поданном уведомлении. Указанная обязанность исполняется посредством направления информационного письма по форме, указанной в Приложении N 3 к Административному регламенту Роскомнадзора по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных".
14. Непредставление в Роскомнадзор уведомления об обработке персональных данных либо его несвоевременное представление (т.е. уже после начала обработки персональных данных), а равно представление уведомления, содержащего неполные или недостоверные сведения, образуют состав административного правонарушения по ст. 19.7 КоАП РФ. В случае представления уведомления, содержащего неполные или недостоверные сведения, Роскомнадзор вправе потребовать их уточнения до внесения данных сведений в реестр операторов (ч. 6 комментируемой статьи). В таком случае уполномоченный орган направляет оператору письмо с уведомлением о его вручении, в котором содержится запрос об уточнении предоставленных сведений. Если уведомление было направлено в электронном виде, оператор информируется о перечне недостающих сведений путем изменения статуса уведомления на странице личного кабинета Единого портала госуслуг и по электронной почте (п. п. 58, 65 Административного регламента Роскомнадзора по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных"). Получив соответствующий запрос, оператор обязан сообщить уточненные сведения (представить новое уведомление в электронной форме) в течение 30 дней с даты получения запроса (извещения), в противном случае ранее поданное уведомление возвращается оператору без внесения сведений о нем в реестр (п. 61 Административного регламента Роскомнадзора по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных").
15. В случае прекращения оператором деятельности по обработке персональных данных он обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч. 7 комментируемой статьи). Форма заявления оператора приведена в Приложении N 5 к Административному регламенту Роскомнадзора по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных". При этом, как следует из формулировки ч. 7 комментируемой статьи, она касается лишь случаев полного прекращения оператором деятельности по обработке персональных данных, а не просто прекращения тех ее разновидностей, которые требуют уведомления Роскомнадзора. По всей видимости, это обусловлено стремлением исключить из реестра операторов, осуществляющих обработку персональных данных, компании, которые уже не ведут никакой деятельности, чтобы минимизировать "захламление" такого реестра и снижение его ценности. В этой связи информация о прекращении оператором деятельности по обработке персональных данных может быть получена Роскомнадзором не только от него самого, но и от других органов государственной власти, юридических или физических лиц (п. 82.3 Административного регламента Роскомнадзора по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных").
16. Российское законодательство о персональных данных не предусматривает обязанности уведомления Роскомнадзора о произошедших инцидентах с персональными данными или иных нарушениях порядка их обработки, которые могут повлечь ущерб для субъектов персональных данных. Этим оно отличается от подхода американского и заимствовавшего в этой части его положения европейского законодательства. Формально положения об уведомлении контрольно-надзорного органа о произошедших инцидентах с персональными данными отсутствуют в Директиве 1995 г., однако содержатся в Директиве 2002/58/EC от 12 июля 2002 г. "Об обработке персональных данных и защите информации о частной жизни в сфере электронных коммуникаций". Положения ст. 33 Регламента 2016 г. предусматривают общую обязанность оператора (безотносительно к сфере его деятельности) по уведомлению уполномоченного органа по защите персональных данных о таких обстоятельствах без недолжного промедления, но в любом случае - не позднее 72 часов с момента наступления подобных обстоятельств. Такое уведомление должно содержать как минимум сведения о характере нарушения; количестве субъектов персональных данных, которое затронуто им; характере персональных данных; возможных последствиях такого нарушения; принятых мерах, направленных на минимизацию ущерба; контактных данных лица, ответственного за организацию обработки персональных данных у оператора. При этом оператор обязан хранить все сведения, относящиеся к инцидентам с персональными данными, и предоставлять их по требованию контролирующих органов.
Представляется, что подобного рода обязанности в перспективе целесообразно имплементировать в российское законодательство, поскольку они способствуют более ответственному отношению операторов к исполнению обязанностей по принятию соответствующих организационных и технических мер по защите персональных данных, а также дают возможность оценки их адекватности контрольно-надзорными органами.

Безымянная страница

Rambler's Top100
На правах рекламы:

Copyright 2007 - 2018 гг. Комментарии.ORG. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!