Закон "О персональных данных" с 01 июля

[TrService]

С 1 июля, как вы все знаете, в разы увеличиваются штрафы за нарушения закона о ПДн. И первый вопрос - какой штраф, если не подать уведомление об обработке ПДн в Роскомнадзор? Судя по конференции 25/06 это сделали только 1% турфирм http://www.tourprom.ru/news/36264/ Посмотрела я вчера это уведомление, сам черт ногу сломит его заполнять ((

По турам мы всегда брали согласие на обработку ПДн. Второй вопрос - сколько надо хранить договор с туристом и его согласие на обработку ПДн? Когда командировочным продавали только авиа/жд билеты, то честно скажу - раньше согласие не брали. Ок теперь тоже будем брать.

Но основной вопрос вот в чем - хранение ПДн. Третий вопрос - можно ли откосить от хранения? Скажем, прислали на почту туристы скан паспорта или просто свои данные для выписки билета, мы в онлайн систему по покупке тура у ТО или в систему по покупке билетов данные вбили или переслали менеджеру ТО для бронирования (то есть хранятся они теперь на сервере ТО, верно?), тур купили/билет выписали и удалили всё у себя. Или получение этих данных на почту также считается хранением? А хранящийся у нас договор с туристом, где указаны ПДн - это тоже хранение?

Четвертый вопрос - "случаи, когда уведомление Роскомнадзора не требуется при обработке ПДн, если они:
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами."
Честно, не понимаю, что имеют ввиду, но очень хочется, чтобы это относилось к нашему ТА. )) Какие средства автоматизации он имеют ввиду? ПК?

Ну и пятый вопрос - а ваше ТА относится к 1% или к 99%? Если второе, то почему?

[На Троих]

Второй вопрос - сколько надо хранить договор с туристом и его согласие на обработку ПДн?

Договор это первичный бухгалтерский документ.
Соответственно см. требования ИФНС к хранению первички

[На Троих]

Но основной вопрос вот в чем - хранение ПДн. Третий вопрос - можно ли откосить от хранения? Скажем, прислали на почту туристы скан паспорта или просто свои данные для выписки билета, мы в онлайн систему по покупке тура у ТО или в систему по покупке билетов данные вбили или переслали менеджеру ТО для бронирования (то есть хранятся они теперь на сервере ТО, верно?), тур купили/билет выписали и удалили всё у себя. Или получение этих данных на почту также считается хранением? А хранящийся у нас договор с туристом, где указаны ПДн - это тоже хранение?

Какое то время ПДН у вас хранятся. Теим более если вы храните в базе договора с туристом.

- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами."
Честно, не понимаю, что имеют ввиду, но очень хочется, чтобы это относилось к нашему ТА. )) Какие средства автоматизации он имеют ввиду? ПК?

Да.
И откосить не удасться.
Кароче, вызываете спецыально обученных людей и делаетк всю эту муйню.
Самим не получица, очень много ньюансов
Документация вам выйдет тыр в 50, соответсвующий софт тыр в 150.
Итого 200 тыр, но это было лет 5 назад. Щас, видимо ужэ побольшэ

[На Троих]

Ну и пятый вопрос - а ваше ТА относится к 1% или к 99%? Если второе, то почему?

За такие вопросы тут морду бьют

[TrService]

Но основной вопрос вот в чем - хранение ПДн. Третий вопрос - можно ли откосить от хранения? Скажем, прислали на почту туристы скан паспорта или просто свои данные для выписки билета, мы в онлайн систему по покупке тура у ТО или в систему по покупке билетов данные вбили или переслали менеджеру ТО для бронирования (то есть хранятся они теперь на сервере ТО, верно?), тур купили/билет выписали и удалили всё у себя. Или получение этих данных на почту также считается хранением? А хранящийся у нас договор с туристом, где указаны ПДн - это тоже хранение?

Какое то время ПДН у вас хранятся. Теим более если вы храните в базе договора с туристом.

Договора хранятся в распечатанном виде.

- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами."
Честно, не понимаю, что имеют ввиду, но очень хочется, чтобы это относилось к нашему ТА. )) Какие средства автоматизации он имеют ввиду? ПК?

Да.
И откосить не удасться.
Кароче, вызываете спецыально обученных людей и делаетк всю эту муйню.
Самим не получица, очень много ньюансов
Документация вам выйдет тыр в 50, соответсвующий софт тыр в 150.
Итого 200 тыр, но это было лет 5 назад. Щас, видимо ужэ побольшэ

Имеет значение - есть у ТА сайт или нет?

[На Троих]

Имеет значение - есть у ТА сайт или нет?

А какая разница?
Бухгалтерская программа у вас стоит?
Мастер-Агент или что типа того стоит?
В ТО вы ПД передаёте по сети?
Ну вот вы и попали..
Вы жэ не пером на папирусе работаете....

[TrService]

Если первичка хранится 5 лет и договор с согласием на обработку ПД тоже типа 5 лет, то тогда это вступает в противоречие с ФЗ: "Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом."

Клиент в тур слетал, значит надо всё уничтожать, а не хранить, цель обработки ПД достигнута.

[Таля]

Так в п.2 (без уведомления) есть:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Мы же заключаем договор и используем данные исключительно для исполнения этого договора.

[TrService]

Имеет значение - есть у ТА сайт или нет?

В ТО вы ПД передаёте по сети?
Ну вот вы и попали..
Вы жэ не пером на папирусе работаете....

Ну без Интернета никуда, конечно.

[На Троих]

Клиент в тур слетал, значит надо всё уничтожать, а не хранить, цель обработки ПД достигнута.

Сами жэ пишыте:

если срок хранения персональных данных не установлен федеральным законом,

А срок хранения бух. первички как раз таки установлен

[На Троих]

Так в п.2 (без уведомления) есть:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Мы же заключаем договор и используем данные исключительно для исполнения этого договора.

Ну вот придёт проверка, будете им объяснять.......

[TrService]

Так в п.2 (без уведомления) есть:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Мы же заключаем договор и используем данные исключительно для исполнения этого договора.

Тогда ключевая фраза здесь получается" если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных", то есть в согласии надо внести пункт, что субъект разрешает передавать его ПД третьему лицу - ТО для исполнения указанного договора. И тогда мы можем не уведомлять РПН. Чего они тогда икру мечут, что мы все должны их уведомить?

[TrService]

Сами жэ пишыте:

если срок хранения персональных данных не установлен федеральным законом,

А срок хранения бух. первички как раз таки установлен[/quote]

А в ФЗ есть, что согласие о ПД - это первичка?
А если прописать в том же согласии от субъекта срок, на который дано это согласие (кстати, в ст.9 написано, что, в частности, должно быть в согласии "8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;"

[На Троих]

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных,

Договор подписывает со стороны кто то один, а ехать по этому договору можэт несколько человек, например - семья. И с формальной точки зрения, если у вас был хоть один такой договор, то вы попали ( обработали ПД субъекта, не являющегося стороной договора), следовательно, вы оператор и должны уведомить РКН

[TrService]

Так в п.2 (без уведомления) есть:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Мы же заключаем договор и используем данные исключительно для исполнения этого договора.

Ну вот придёт проверка, будете им объяснять.......

Хотелось бы быть во всеоружии