Что значит обработка персональных данных: кем и по каким правилам осуществляется

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Мы все в самых разных ситуациях вынуждены делиться сведениями о себе, а практически в каждой компании вынуждены их обрабатывать.

Порядок использования данных о физических лицах определён в федеральном законе № 152 «О персональных данных». Он был принят в июле 2016 года. С тех пор в этот закон было внесено немало поправок и дополнений.

Ознакомиться с его текстом можно в «Российской газете», месте официальной публикации правовых актов. И конечно, он имеется во всех популярных правовых информационных системах.

Многие из наших клиентов, разместивших свои информационные системы в облаке 1cloud, так или иначе обрабатывают чьи-то личные данные: клиентов, работников или кого-то ещё. Однако несмотря на уже продолжительный период действия закона о персональных данных, регулярно возникают вопросы о порядке их обработки по нормам российского законодательства.

Мы решили подготовить краткий обзор нормативных документов по этой теме. В том числе, с учётом особенностей размещения информационных систем в публичном облаке. Этому посвящены три статьи: 1) обзор закона; 2) меры защиты; 3) особенности защиты в публичном облаке.

О каких данных идёт речь?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Общо? — Очень! Но так мыслил законодатель, принимая и изменяя рассматриваемый закон.

Вообще, в полицейско-правовом отношении физическое лицо идентифицируется тремя параметрами: полным именем, датой рождения и местом рождения. Они именуются краткими установочными данными.

Всё остальное — номер паспорта, номер пенсионного страхового свидетельства, индивидуальный номер налогоплательщика, различные документальные удостоверения, отпечатки пальцев, радужная оболочка глаза и прочее — это дополнительные идентификаторы.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Кого касается закон?

  • Он касается так называемых операторов — государственных и муниципальных учреждений, юридических и физических лиц, которые производят обработку персональных данных.
  • Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
  • Следует обратить внимание на то, что под обработкой понимается не только автоматизированная (компьютерная) обработка, но и любая другая, включая, например, картотеки или журналы на бумажных носителях.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Кого этот закон не касается?

Действие закона о персональных данных не распространяется на ситуации, когда:

  • данные обрабатывает физическое лицо исключительно для личных и семейных нужд (если при этом не нарушаются права других лиц);
  • данные обрабатывают в официальных архивах;
  • данные отнесены к государственной тайне.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Согласие на обработку персональных данных

В ряде случаев согласие на обработку таких данных не требуется, например, если:

  • обработка нужная для журналистской, научной, литературной или иной творческой деятельности при условии, что это не нарушаются права и законные интересы других лиц;
  • обработка производится в судах;
  • обработка необходима для исполнения договора, в котором владелец персональных данных является стороной;
  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получить его согласие невозможно.

При необходимости согласия оно должно включать в себя следующие сведения:

  • фамилию, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование и адрес оператора, получающего согласие;
  • цель обработки;
  • перечень данных, на обработку которых даётся согласие;
  • перечень действий с данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки данных;
  • срок, в течение которого действует согласие, а также способ его отзыва;
  • личную подпись.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Уведомление об обработке персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов этих данных о своем намерении осуществлять такую обработку. О том, что это за орган, будет сказано далее.

Такое уведомление не требуется, когда данные:

  • обрабатываются в соответствии с трудовым законодательством;
  • получены в связи с заключением договора, стороной которого является физическое лицо, если его данные не распространяются и не предоставляются третьим лицам, а используются оператором исключительно для исполнения указанного договора;
  • относятся к членам общественного объединения и обрабатываются соответствующим общественным объединением, действующими в соответствии с законодательством Российской Федерации, при условии, что данные не будут распространяться или раскрываться третьим лицам;
  • сделаны самим владельцем персональных данных общедоступными;
  • включают в себя только фамилию, имя и отчество субъекта;
  • необходимы в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в государственные автоматизированные информационные системы для защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации;
  • обрабатываются в целях транспортной безопасности.

Сняты ли все вопросы? — Нет. Например, является ли интернет-магазин оператором персональных данных? — Изначально, вроде, нет, так как данные клиента используются только «в связи с заключением договора, стороной которого является субъект». Но ведь при отправке заказа почтой или транспортной компанией сведения о клиенте предоставляются третьей стороне.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Кто контролирует исполнение норм?

В настоящее время уполномоченным органом по защите прав субъектов персональных данных назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Непосредственно этим направлением занимается одно из её подразделений — Управление по защите прав субъектов персональных данных.

Деятельность Роскомнадзор направлена на организационно-документальную сторону дела. Технические аспекты защиты персональных данных курирует Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Если в технических средствах защиты информации используется криптография (шифрование), к регулированию подключается Федеральная служба безопасности РФ (ФСБ).

Общая схема обработки персональных данных

Для упрощения восприятия порядка обработки данных, установленного в законе о персональных данных, мы решили представить его в виде схемы.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Безопасность персональных данных

Оператор персональных данных обязан обеспечить их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

Под мерами по обеспечению безопасности персональных данных при их обработке законодатель понимает следующие действия.

  1. Определение угроз безопасности.
  2. Применение организационных и технических мер по обеспечению безопасности.
  3. Применение средств защиты информации.
  4. Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы.
  5. Учёт съёмных носителей персональных данных.
  6. Обнаружение фактов несанкционированного доступа к данным.
  7. Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  8. Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.
  9. Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.

Этот список не является исчерпывающим, то есть законом допускаются иные действия, направленные на обеспечение безопасности персональных данных.

Ответственность за регламентацию уровней защиты данных разных категорий и мер защиты законодатель возложил на Правительство Российской Федерации.

Сейчас по этому вопросу действует постановление Правительства № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Подробнее организационно-технические аспекты защиты персональных данных при их автоматизированной (компьютерной) обработке мы рассмотрим в нашей следующей статье.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Нужны ли лицензии или сертификаты?

Непосредственно для обработки персональных данных никакие лицензии не нужны. Но при обеспечении их безопасности могут потребоваться сертифицированные технические средства.

Кроме того, по действующему российскому законодательству, обязательно должны быть сертифицированы средства защиты информации, если в них применяется криптография (шифрование).

Оказание услуг по защите информации является лицензируемым видом деятельности. Но если юридическое лицо или индивидуальный предприниматель применяет криптографические средства защиты для собственных нужд, наличие у него лицензии не требуется.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Заключение

Задача обеспечения безопасности и сохранности персональных данных является вполне реальной, весьма актуальной и многогранной. Она касается очень и очень многих. Поэтому нормативные акты, регламентирующие порядок и методики обработки персональных данных на государственном уровне, нужны и полезны. В этой статье мы попытались кратко осветить содержание и общую логику этих актов.

Один из главных посылов закона заключается в том, что лицо, обрабатывающее персональные данные, должно осознавать угрозы этим данным и принимать меры по предотвращению и преодолению их возможных последствий. И это — бесспорно позитивная цель!

Однако в целом этот закон весьма далёк от совершенства. В нём присутствуют неясные формулировки, недостаточно полные нормы. По очень многим важным вопросам имеются отсылки к иным правовым актам, которые, в свою очередь, ясности не добавляют.

О конкретных мерах по обеспечению безопасности данных мы расскажем в нашей следующей статье.

P. S. Ещё немного наших статей:

Читайте также:  Порядок списания и уничтожения печатей

3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

Что значит обработка персональных данных: кем и по каким правилам осуществляется

  • Юлия Беляева
  • Консультант Центра информационной безопасности компании «Инфосистемы Джет»
  • специально для ГАРАНТ.РУ

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс.

жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб.

Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

  1. Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст.

11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

  1. Что говорит Роскомнадзор?
  2. На сайте службы опубликованы разъяснения1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
  3. На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:
  • сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
  • отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019).

В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия.

Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Выводы

  • ФОРМА
  • Согласие субъекта на обработку персональных данных
  • Другие формы

Роскомнадзор не опровергает разъяснения на сайте, но на публичных мероприятиях его представители приводят критерии, по которым фотография в СКУД не относится к биометрическим персональным данным. Аналогичный подход все чаще встречается и в результате проверок регулятора. При этом, как видно из приведенного выше судебного решения, совсем недавно суд придерживался другой позиции, ссылаясь на разъяснения Роскомнадзора. Таким образом, сегодня есть риски получения предписаний и штрафов в случае отсутствия согласия в письменной форме на обработку биометрических персональных данных при использовании фотографии в СКУД. Поэтому рекомендуется получать согласие субъекта персональных данных. Согласие должно быть оформлено в соответствии с требованиями ст. 9 Закона № 152-ФЗ. Еще один вариант минимизировать риск — указать во внутренних нормативных документах (например, в регламенте о пропускном и внутриобъектовом режимах), что фотографии в СКУД обрабатываются не с целью идентификации личности, а для организации пропускного режима. Однако при таком способе есть риски получить предписание в случае проверки Роскомнадзора.

  1. Относится ли номер телефона к персональным данным?
  1. Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
  2. Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник».

Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца.

Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019).

Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было.

Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Выводы

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных.

Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных.

Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

  1. Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?
  • Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.
  • Что говорит законодательство?
  • В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:
  • для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.
  1. Что говорит Роскомнадзор?
  2. На официальном сайте Роскомнадзора2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
  3. По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:
  • персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
  • не указан перечень организаций, в которые передаются персональные данные;
  • требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией.

Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

Выводы

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

***

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы.

Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел.

Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора.

Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.  

_____________________________

1 С разъяснениями можно ознакомиться на официальном сайте: pd.rkn.gov.ru/press-service/subject1/news2729/.

2 С информацией можно ознакомиться на официальном сайте: rkn.gov.ru/treatments/p459/p468/.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Что значит обработка персональных данных, важно понимать гражданам и организациям, которые собирают и используют любую личную информацию о людях (Ф.И.О., e-mail, адрес проживания, телефон и т. д.

), так как за нарушения в этой области могут налагаться административные штрафы.

Что закон подразумевает под обработкой персональной информации и что нужно учесть, чтобы вас не привлекли к ответственности, рассказываем далее.

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

  • Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
  • Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
  • Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
  • Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
  • Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  • Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
  • Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
  • Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
  • Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

  • данные обрабатываются в рамках трудовых отношений;
  • сведения получены в результате заключения договора и не передаются иным лицам;
  • информация является общедоступной;
  • обрабатываются только фамилия, имя, отчество;
  • данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
  • данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.

Ответы Роскомнадзора на вопросы о персональных данных

В сентябре Роскомнадзор дал разъяснения по закону о персональных данных в форме вопросов и ответов. Публикуем их.

Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи.

В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 года № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

В соответствии с п. 2 ст.3 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

В соответствии с ч. 2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ)

  • 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  • 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

В соответствии с ч.1 ст.22 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч.2 комментируемой статьи, при обработке персональных данных:

  1. 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
  2. 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
  4. 4) являющихся общедоступными персональными данными;
  5. 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  6. 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации

.Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора.

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора.

Ст.24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.Административная ответственность за нарушение настоящего Федерального закона наступает за:

— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст.5.39 КоАП РФ);

— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст.13.11 КоАП РФ);

— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст.13.14 КоАП);

— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7 КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст.137, 272 УК РФ.

Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

В соответствии с ч.3 ст.10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее — Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора.

Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале.

Типовая форма акта и журнала утверждаются самим Оператором.

  • Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют:
  • — стандарты и рекомендации в области стандартизации Банка России;
  • — концепция защиты персональных данных в информационных системах персональных данных оператора связи;
  • — методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.

Источник: Информация Роскомнадзора от 25.09.2015

Ссылка на основную публикацию
Adblock
detector