Персональные данные.

Подскажите, пожалуйста, по следующему вопросу.

Есть риелторское агентство. Оно заключает договоры оказания услуг с клиентами. Для сопровождения сделки, являющегося предметом договора оказания услуг, клиент передает риелтору: копии паспортов, копии свидетельств о праве собственности, правоустанавливающих документов, техпаспорта и проч.

Нужно ли брать письменное согласие клиента на обработку персональных данных?

Согласност. 6 Закона о персональных данных "обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных за исключением...:

2.
2) обработка осуществляется в целях испеолнения договора, одной из сторон которого является субъект персональных данных..."

Спасибо за внимание.
Очень хочется услышаться Ваши мнения.

В вашем случае не нужно. При условии, что:
1. вы их далее никуда не передаёте
2. в договоре услуг указано что клиент передаёт вам ПД, и указано какие и желательно для чего.

Для вас встаёт другой вопрос: организация безопасности ПД при их обработке. Способ организации зависит от того хрините ли вы ПД только в бумажном виде, или вводите их некую базу данных (проще - ПК). На эту тему есть соответсвующие пост. правительства (найдёте в любой справочной системе).

Цитата:

---

Сообщение от Дорогой Николаич

В вашем случае не нужно. При условии, что:
1. вы их далее никуда не передаёте
2. в договоре услуг указано что клиент передаёт вам ПД, и указано какие и желательно для чего.

Для вас встаёт другой вопрос: организация безопасности ПД при их обработке. Способ организации зависит от того хрините ли вы ПД только в бумажном виде, или вводите их некую базу данных (проще - ПК). На эту тему есть соответсвующие пост. правительства (найдёте в любой справочной системе).

---

1. мы их никуда не передаём
2. в договоре мы просто пишем, какие документы переданы для сопровождения сделки (необходимые для регистрации в ФРС или для приватизации и проч.)

Большое спасибо за информацию. Буду искать постановление.

Помимо закона о ПД и о защите информации вам помогут:
Указ президента №188 6 марта 1997
Пост. правительства №781 17 ноября 2007 и №687 15 сентября 2008

И возможно приказ №55/86/20 от 13 февраля 2008 (совместный)

Спасибо.
Проштуровал постановления. В связи с чем самый минимум, который в моём понимании, должен присутствовать у работодателя, поверг в полный шок.

Получается, что в отношении персональных данных в любом юрлице должны:

1. действовать ЛНА о правилах обработки персональных данных, применяющихся с учётом требований Положения об особенностях обработки ПД, осуществляемой без использования средств автоматизации, утверждённого Постановлением Правительства РФ от 15.09.08 №687; в этом ЛНА должен быть установлен перечень мер для хранения ПД от несанкционированного доступа, порядок их принятия и перечень лиц, ответственных за реализацию этих мер.
2. при их обработке персональные данные должны содержаться на отдельных носителях или в специальных разделах или на полях формы.
3. нельзя заносить ПД, цели обработки которых заведомо не совместимы, нельзя фиксировать их на одном и том же материальном носителей.
4. лица, осуществляющие обработку ПД, должны быть проинформированы об этом Оператором (работодателем) и правилах обработки согласно НПА и ЛНА.
5. типовые формы юрлица должны содержать указание на цели, с которой ПД обрабатываются, а также поле, в котором субъект ПД ставит отметку о согласии на обработку ПД (если получение письменного согласия на обработку необходимо согласно ФЗ «О ПД»).
6. типовая форма юрлица должна быть составлена так, чтобы каждый субъект ПД мог ознакомиться с содержащимися в типовой форме ПД, при этом не имя возможности ознакомиться с ПД других субъектов ПД.
7. ПД, взятые для различных целей, должны храниться отдельно.
8. в юрлице должен быть установлен перечень лиц, осуществляющих обработку ПД либо имеющих к ним доступ.
9. у юрлица должны быть средства защиты для обеспечения безопасности ПД при обработке, при этом они должны учитываться, на них должны проставляться индексы и регистрационные номера, перечень которых определяется Федеральной службой по техническому и экспортному контролю и ФСБ РФ.
10. правила пользования таким средствами защиты должны быть согласованы с Федеральной службой по техническому и экспортному контролю и ФСБ.

Интересно, это кем-нибудь в реале соблюдается или я что-то не так понял?

особенно "рады" в малом бизнесе..... :(

Цитата:

---

Сообщение от Storn

особенно "рады" в малом бизнесе..... :(

---

Спасибо за отклик.

Давайте пообсуждаем?!

Как номера учета средств защиты для обеспечения безопасности ПД и правила пользования ими, установленные у работодателя, могут быть Федеральной службой по техническому и экспортному контролю и ФСБ? (при условии, что я правильно понял соответствующие пункты постановлений).

что могут быть? :(

Я так понял у вас обработка ПД только без средств. автомат. Это сильно упрощает.

Цитата:

---

1. действовать ЛНА о правилах обработки персональных данных, применяющихся с учётом требований Положения об особенностях обработки ПД, осуществляемой без использования средств автоматизации, утверждённого Постановлением Правительства РФ от 15.09.08 №687; в этом ЛНА должен быть установлен перечень мер для хранения ПД от несанкционированного доступа, порядок их принятия и перечень лиц, ответственных за реализацию этих мер.

---

Ну это не проблема - написать пару инструкций и положений. Рельные меры в вашем случае - хранить ПД в шкафу-сейфе (под ключ), и формально вести учёт доступа к ПД.

Цитата:

---

2. при их обработке персональные данные должны содержаться на отдельных носителях или в специальных разделах или на полях формы.
3. нельзя заносить ПД, цели обработки которых заведомо не совместимы, нельзя фиксировать их на одном и том же материальном носителей.

---

Для вас это не имеет значения.

Цитата:

---

4. лица, осуществляющие обработку ПД, должны быть проинформированы об этом Оператором (работодателем) и правилах обработки согласно НПА и ЛНА.

---

Не понял.

Далее по пунктам не буду расписывать. У вас получилась каша мер для обработки ПД без. средств авт. и в инф. системах.

Цитата:

---

Интересно, это кем-нибудь в реале соблюдается или я что-то не так понял?

---

Мало кем. В ближайшие годы беспокоиться есть смысл только крупным операторам ПД, в особенности кот. осуществляют обработку ПД в автомат. системах. Именно к ним и пойдут регуляторы.

Вам же, обрабатывающими ПД, для исполнения договора, заключённого с субъектом ПД переживать нет повода.

На всякий случай введите пару положений и купите шкаф под ключ. Этого будет достаточно.

Дорогой Николаич, спасибо Вам большое.
Как Вы поняли, что у нас ПД обработываются только без средств автоматизации (т. е. их использование, уточнение, распространение, уничтожение осуществляется при непосредственном участии человека)?
Если это так, то нам действительно проще. Ведь тогда

Цитата:

---

Сообщение от Storn

что могут быть? :(

---

номера учета средств защиты для обеспечения безопасности ПД и правила пользования ими, установленные у работодателя, (могут) не должны определяться Федеральной службой по техническому и экспортному контролю и ФСБ? Это условие - только для обеспечения безопасности персональных данных при обработке в информационных системах.

Я правильно понял?

Аноним, вы много чего напутали. Давайте я не буду отвечать на ваши воросы, а просто дам некоторые пояснения иходя из моего видения ситуации (так будет продуктивней), после если что останется не ясным - вы спрсите.

Итак.
1. Вы являетесь оператором ПД.
Уведомлять Роскомнадзор о том, что вы оператор не нужно, т.к. вы обрабатываете ПД по договору с субъектом ПД.
По этой же причине вам не требуется согласие субъекта ПД на обработку. Просто укажите перечень ПД и цель их обработки в договоре.

2. Как оператор ПД вы обязаны обеспечить безопасность обработки ПД.

3. Меры по обеспечению безопасности обработки ПД зависят от того обрабатываются ли ПД в информационной системе или нет (проще говоря - храните ли вы ПД в ПК либо только на бумаге).

Если вы обрабатываете ПД в инф. сист. то меры безопасности зависят от того автоматизированная это система или нет.

По автоматизированными системами в общем понимаются: биллинговые системы, автомат. банковские и бухгалтерские системы и пр.

Но по этому поводу есть разногласия. Некоторые на основании закона и пост. правит. справедливо отмечают, что просто хранение ПД в ПК - есть автоматизированная обработка. Но это вопрос спорный, тут всё зависит от того насколько вы окажетесь убедительнее регулятора, но для вас это не актуально.

Что бы продолжить ответьте на вопрос:
1. вы обрабатываете ПД в инф. системе?
2. если да, то в автомат-ной или нет?

Аноним, здесь посмотрите, там есть и мнение заинтересованных лиц, трущихся около регуляторов
http://forum.klerk.ru/showthread.php...E0%ED%ED%FB%E5

http://forum.klerk.ru/showthread.php...E0%ED%ED%FB%E5