Жалобы

Обработка персональных данных, в том числе автоматизированная, и система хранения: цели, правовое основание, сроки (время), принципы, правила, и что это значит?

25 октября 2019 Персональные данные

Ранее наши коллеги из компании «ИТ-ГРАД» уже рассказали, что такое персональные данные (ПНд). Теперь пришло время обсудить требования, предъявляемые законом к обработке ПДн.

О чем говорит закон

Здесь сразу стоит обратить внимание на принципы обработки ПДн, введенные в статьях 5 и 6 закона «О персональных данных»[1]. Рассмотрим наиболее значимые пункты:

  • обработка ПДн должна проводиться на законной и справедливой основе, то есть для каждого случая обработки персональных данных должно быть законное основание, или нормы, прямо предусмотренные законодательством, или согласие субъекта ПДн;
  • закон требует ограничивать обработку ПДн конкретными, заранее определенными и законными целями, при этом нельзя обрабатывать данные в целях, которые не были заявлены при сборе;

Автомобилистам известной сети заправок предложили заполнить анкеты, чтобы оформить дисконтную карту. Позже автомобилисты получили предложение от банка на аккредитацию и размещение средств. Хотя в анкете не говорилось о том, что банк обратится к клиенту с предложением услуг, в нарушение 15 статьи закона «О персональных данных» и 18 статьи закона «О рекламе». Поскольку ни один из субъектов не давал согласия на это! Можно считать классическим примером обработки ПДн, несовместимой с целями, заявленными при их сборе.

  • состав и объем обрабатываемых персональных данных должен соответствовать цели их обработки. Отклонение от указанных требований является нарушением;

Кадровый орган хранит персональные данные сотрудников, включая копии свидетельства о рождении детей, как того требует фонд социального страхования (ФСС), когда предоставляется отпуск по уходу за ребенком, и свидетельства о браке – это нужно для того, чтобы подтвердить социальный статус работника. В этих документах присутствует графа «национальность родителей», «национальность брачующихся». Она заполняется по желанию, но эти сведения относятся к специальной категории персональных данных, требующих согласия на обработку, и наличие такой копии в электронном виде в личном деле работника – два административных правонарушения: обработка ПДн специальной категории без согласия в письменной форме и незаконная обработка персональных данных, поскольку сведения о национальности для достижения целей, предусмотренных 86 статьей Трудового кодекса, работодателю совсем не нужны.

  • следующий принцип обработки – точность, достаточность и актуальность обрабатываемых данных. Если данные являются неточными, неактуальными, незаконно полученными или не соответствуют цели обработки, закон требует от оператора ПДн либо уточнить эти данные, либо уничтожить. Во многих случаях это оказывает влияние на решение, принимаемое в отношении субъектов ПДн, и затрагивает их законные права;
  • Последний принцип, на котором надо остановиться, закон разрешает хранить ПДн только до того момента, когда будет достигнута цель обработки или минует надобность для достижения этой цели. После этого данные должны быть уничтожены или обезличены.

Условия обработки персональных данных

Обработка персональных данных, в том числе автоматизированная, и система хранения: цели, правовое основание, сроки (время), принципы, правила, и что это значит?

Следующий важный момент касается условий обработки персональных данных. Для лучшего понимания мы подготовили перечень, который позволит определить, насколько законной является обработка ПДн.

  • наличие согласия субъекта ПДн. Помните, что наличие согласия субъекта персональных данных – это всегда правильно и хорошо. Причем оно должно быть сознательным, информированным и конкретным. В некоторых случаях одного согласия может быть недостаточно, в дополнение требуется определить цель, которая будет достигаться, и действия, которые будут выполняться с ПДн;
  • обработка ПДн допускается, если это предусмотрено в международном договоре или законе. Это особенно важно понимать, поскольку в России существует масса законов, прямо предписывающих организацию обработки ПДн, начиная от Трудового кодекса, закона «О связи», заканчивая законами «О кредитных историях», «О банках и банковской деятельности»;
  • наличие договора, в котором субъект ПДн выступает выгодоприобретателем/поручителем, или наличие инициативы субъекта заключить такой договор. Предположим, человек ищет работу и отправляет свое резюме или анкету в компанию. В этом случае получать согласие от соискателя на вакантную должность не требуется, поскольку, предоставив резюме, человек выражает стремление заключить трудовой договор и тем самым дает согласие на обработку ПДн. Однако в последнее время Роскомнадзор поясняет что, если сбор резюме производится через веб-сайт, это требует получения от субъекта согласия на обработку ПДн;
  • без согласия могут обрабатываться ПДн, полученные из общедоступных источников, которые подлежат опубликованию или обязательному раскрытию. Несмотря на кажущуюся простоту и очевидность рассматриваемого вопроса, подходить к этому пункту стоит с особой осторожностью. Дело в том, что было несколько громких дел, когда решение верховного и арбитражного судов сводилось к тому, что без согласия доказываемого субъекта ПДн данные, размещенные на общедоступном источнике для неограниченного доступа пользователей, было запрещено обрабатывать. С этим можно соглашаться или не соглашаться, но решение суда для ряда конкретных случаев вступило в законную силу.

Согласие субъекта – тонкости и особенности

Обработка персональных данных, в том числе автоматизированная, и система хранения: цели, правовое основание, сроки (время), принципы, правила, и что это значит?

Важно понимать, что согласие субъекта дается свободно, своей волей и в своем интересе. Согласие должно быть конкретным, информированным, сознательным и полученным в любой доказанной форме, если иное не установлено федеральным законом.

Но и здесь не обходится без нюансов.

Как показывает практика, наиболее частым способом выражения согласия являются конклюдетные действия[2], когда, к примеру, посетитель предоставляет паспорт на ресепшен и с документом производят какие-либо действия: ксерокопируют, сканируют, выписывают данные, при этом человек молчит, подтверждая тем самым согласие на обработку ПДн. Помните, что такой способ выражения согласия не предусмотрен законом.

Какие требования необходимо выполнить, если сбор ПДн осуществляется через веб-сайт?В этом случае регулятор хочет видеть дисклеймер[3], который говорит о согласии субъекта с пользовательским соглашением, определяющим порядок работы с персональными данными и политикой оператора, сведения которого реализуются для защиты этих ПДн.

Обработка персональных данных, в том числе автоматизированная, и система хранения: цели, правовое основание, сроки (время), принципы, правила, и что это значит?

В некоторых случаях закон предусматривает не просто согласие в любой доказанной форме, а согласие в письменном виде. Закон «О персональных данных» описывает пять таких ситуаций:

  • включение персональных данных в общедоступные источники;
  • обработка специальных категорий персональных данных;
  • обработка биометрических персональных данных;
  • трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов;
  • принятие решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

При этом два случая в законе «О персональных данных» явным образом не прописаны. К ним относятся:

  • распространение персональных данных членов (участников) общественного объединения или религиозной организации;
  • передача ПДн третьим лицам, если условием лицензии на осуществление деятельности оператора является запрет на такую передачу.

Остались вопросы?

Полезный вебинар о переносе ПНд в облако:

Источник.

И обязательно следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье мы рассмотрим зоны ответственности заказчика и облачного провайдера, поговорим об особенностях аутсорсинга обработки ПДн, а также расскажем, на что следует обратить внимание при выборе провайдера, предлагающего услуги по «ФЗ-152».

Каковы цели обработки персональных данных в организации

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Обработка персональных данных, в том числе автоматизированная, и система хранения: цели, правовое основание, сроки (время), принципы, правила, и что это значит?

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

  1. сбор;
  2. уточнение;
  3. систематизация;
  4. использование;
  5. удаление;
  6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Раньше к персональным данным относились только ФИО, место рождения, адрес регистрации и паспортные данные. Сейчас это любые сведения о человеке, включая его семейное положение, образование, уровень доходов.

Работодатель не вправе обрабатывать данные о политических взглядах, вероисповедании и частной жизни работника. Подробнее о том, что относится к персональным данным — читайте в этой статье https://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных — это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Читайте также:  Переход права собственности на автомобиль

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

  1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
  2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
  3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
  4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
  5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Обработка персональных данных, в том числе автоматизированная, и система хранения: цели, правовое основание, сроки (время), принципы, правила, и что это значит?

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152, к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

  • Общедоступные — основные анкетные данные, включая ФИО, пол, дату и место рождения.
  • Биометрические — информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
  • Специальные — национальность, вероисповедание, состояние здоровья, судимости, частично — сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

  1. должность руководителя и наименование организации, которую он возглавляет;
  2. ФИО руководителя;
  3. должность работника;
  4. ФИО работника;
  5. дата;
  6. место составления.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Обратите внимание

За разглашение персональных данных Трудовым кодексом предусмотрены виды ответственности. Подробнее читайте на нашем сайте здесь

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового.

Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор.

Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Задавайте вопросы в х к статье и получите ответ специалиста

Что значит обработка персональных данных: порядок, участники процесса

Персональные данные — это любые сведения личного характера, относящиеся к конкретному физическому лицу. В законе «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) отсутствует точный перечень таких сведений.

В качестве примера можно назвать следующие:

  • фамилия, имя, отчество;
  • адрес места жительства;
  • профессия и доход;
  • дата рождения, любые значимые даты (вступление в брак, рождение детей и т. д.);
  • реквизиты документов, удостоверяющих личность;
  • права на объекты недвижимого имущества;
  • биометрические данные и многие другие.

В процессе деятельности граждане практически постоянно обмениваются своими данными и вынуждены предоставлять их всюду: при устройстве на работу — работодателю, при оплате коммунальных платежей — управляющей компании и поставщикам услуг, при заключении любых договоров — контрагентам, оказывающим услуги.

Важно! Под обработкой персональных данных следует понимать любые действия и операции, которые с ними производятся.

Перечень возможных способов обработки персональных данных приведен в ст. 3 закона № 152-ФЗ и не является исчерпывающим:

  • запись;
  • хранение;
  • распространение и передача;
  • удаление;
  • изменение и др.

Эти действия могут производиться как с использованием автоматизированной техники, так и без него.

Более полную информацию по теме вы можете найти в КонсультантПлюс. Пробный бесплатный доступ к системе на 2 дня.

Пример

Гражданин обращается в медицинскую организацию для обследования и заключает договор об оказании медицинских услуг. Он предоставляет свои паспортные данные, а также личные сведения о состоянии своего здоровья, заключения, результаты обследований и т. д.

Сотрудник медицинского центра вносит данные в базу, распечатывает договор, где фигурируют эти данные, направляет по адресу электронной почты гражданину результаты его анализов.

Все эти действия представляют собой не что иное, как обработку персональных данных гражданина.

Основные условия обработки персональных данных

Так как персональные данные носят сугубо личный характер, законом № 152-ФЗ установлено, что любая обработка персональных данных, в чем бы она ни выражалась, должна производиться исключительно при соблюдении нескольких условий.

Цель обработки

Любые личные данные должны собираться и обрабатываться с конкретной целью (ч. 2 ст. 5 закона № 152-ФЗ). Цель обработки персональных данных должна быть законной и определенной заранее.

Соответственно цели определяется и объем собираемых данных (ч. 5 ст. 5 закона № 152-ФЗ).

Так, в приведенном нами примере про медицинскую организацию оправданной будет обработка ею данных о здоровье лица, перенесенных им заболеваниях, но совершенно неоправданной, например, о месте его работы и размере дохода.

Срок хранения и иных операций по обработке также должен определяться целью. Если цель достигнута, оператор обязан уничтожить персональные данные (ч. 7 ст. 5 закона № 152-ФЗ). Например, если договор на оказание услуг расторгнут, медицинский центр должен удалить данные о своем клиенте.

Точность данных

Обработка персональных данных не должна приводить к искажению информации о предоставившем ее человеке (ч. 6 ст. 5 закона № 152-ФЗ). Сведения должны храниться и передаваться точными.

Конфиденциальность

Важнейшим правилом обработки персональных данных является соблюдение строгой конфиденциальности. Это означает, что лицо, непосредственно осуществляющее действия по обработке, обязано сохранять тайну сведений и не распространять их без согласия лица.

Согласие субъекта на обработку данных

Любая обработка личных сведений может быть осуществлена только с предварительного согласия лица. Обычно такое согласие субъекту предлагают подписать в виде письменного документа на бумажном носителе. Однако допускается взятие согласия в электронном виде с электронной подписью (ч. 4 ст. 9 закона № 152-ФЗ). Согласие субъекта является правовым основанием обработки персональных данных.

Любой субъект, давший согласие, в любой момент может передумать и отозвать его, что будет означать для оператора запрет на обработку персональных данных.

В то же время в ряде случаев оператор вправе продолжить использование данных даже после отзыва согласия, например, если данные используются в связи с расследованием уголовного дела, исполнением судебного акта, оказанием государственной услуги и т. д. (пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ).

Читайте также:  Приказ о сокращении численности и штата в организации: образец в 2023 году

Уведомление об обработке персональных данных

Кроме соблюдения оператором всех вышеперечисленных условий на него возлагается также обязанность направить в Роскомнадзор уведомление об обработке персональных данных.

Уведомление составляется по форме, утвержденной приказом Роскомнадзора «Об утверждении методических рекомендаций по уведомлению…» от 30.05.2017 № 94 (приложение 1).

Оно является дополнительной гарантией прав субъектов, доверивших личную информацию о себе операторам.

Между тем в ряде случаев уведомление об обработке персональных данных не требуется (ч. 2 ст. 22 закона № 152-ФЗ):

  1. При обработке работодателями данных работников, причем как уже работающих по трудовому договору, так и потенциальных, то есть соискателей. Из буквального толкования п. 1 ч. 2 вышеназванной статьи следует, что если работодатель каким-либо образом обрабатывает информацию, не связанную непосредственно с трудовыми отношениями, то такое уведомление ему следует направить. Например, работодателю могут быть известны некоторые факты об уплате алиментов, наличии у работника судимостей и т. д.
  2. Обработке данных, полученных при заключении договора.
  3. Обработке общественными и религиозными организациями данных об их членах.
  4. Если субъект сам уже сделал свои данные общедоступными.
  5. Если получены только данные о фамилии, имени и отчестве.
  6. Данные взяты только для однократного прохода или проезда на территорию.
  7. Данные включаются в государственные автоматизированные системы.
  8. Обработка осуществляется без использования средств автоматизации.
  9. Данные предоставлены для обеспечения работы транспортной системы, например при покупке билетов.

Ответственность за незаконную обработку персональных данных

Нарушения установленного порядка обработки персональных данных влекут различные виды ответственности. Наиболее распространены случаи возникновения административной ответственности по Кодексу об административных правонарушениях РФ.

Обработка персональных данных, в том числе автоматизированная, и система хранения: цели, правовое основание, сроки (время), принципы, правила, и что это значит?

Нарушение законодательства об обработке персональных данных также может повлечь уголовную ответственность по ст. 137, 140, 272 Уголовного кодекса РФ.

Если такие нарушения привели к причинению убытков или морального вреда, то возникает и гражданско-правовая ответственность (ст. 15, 151 Гражданского кодекса РФ, ст. 24 закона № 152-ФЗ).

Работник, разгласивший личные сведения о своем коллеге, может быть привлечен к дисциплинарной ответственности в виде увольнения (подп. «в» п. 6 ч. 1 ст. 81 Трудового кодекса РФ).

***

Итак, обработка персональных данных представляет собой любые действия, производимые с ними, начиная с их получения и заканчивая распространением. Обработка данных должна совершаться строго с соблюдением определенных условий, нарушение которых влечет административную, гражданско-правовую, дисциплинарную и уголовную ответственность.

Защита персональных данных (конспект лекции)

Обработка персональных данных, в том числе автоматизированная, и система хранения: цели, правовое основание, сроки (время), принципы, правила, и что это значит?

Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»

CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2021

Федеральный Закон №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006

Содержит базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации.

Вводит понятия:

  • категории информации: общедоступная информация и информация ограниченного распространения
  • типа информации: свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с законодательством, информация ограниченного доступа/распространения и запрещенная к распространению.

Персональные данные классифицируются как информация ограниченного доступа, в соответствии с 149-ФЗ (ст.9 п.2) соблюдение конфиденциальности такой информации является обязательным, государство устанавливает обязательные нормы и правила её обработки.

Перечень нормативных актов, относящих сведения к категории ограниченного доступа.

Классификатор видов информации, доступ к которой не может быть ограничен: нормативные правовые акты, информация о деятельности государственных органов, состоянии окружающей среды и т.д.

«Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

Подписана в 1981 году, ратифицирована Российской Федерацией в 2001 году.

В ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных. Персональные данные были определены как любая информация об определенном или поддающемся определению физическом лице.

В конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных.

Государственный орган по защите прав субъектов ПДн — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству цифрового развития, связи и массовых коммуникаций РФ.

Федеральный Закон №152 «О персональных данных» от 27.07.2006

Содержит основные определения и требования, касающиеся обработки персональных данных. В 152-ФЗ вносились изменения:

  • 261-ФЗ от 25.07.2011 – существенные изменения в базовые постулаты защиты ПДн;

Правовой режим персональных данных

См.

также нормативно-методические документы ФСБ

  • Приказ ФСБ России от 10 июля 2014 года N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
  • Приказ ФСБ России от 9 февраля 2005 года N 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;
  • «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная Приказом ФАПСИ от 13 июня 2001 года N 152;

«Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (N 149/7/2/6-432 от 31.03.2015).

Федеральный закон от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

В настоящее время знание положений вышеуказанного закона актуально не только для руководителей организаций всех форм собственности, но и для категории технических работников (например, окончивших оператора ПК курсы). Именно поэтому в должностной инструкции оператора ПК указывается, что он должен знать стандарты делопроизводства, а также руководствоваться в своей деятельности законодательными актами РФ.

Необходимо особо отметить, что действие Федерального закона от 27 июля 2006 г. N 152-ФЗ не распространяется на отношения, возникающие при:

  1. обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
  2. организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ;
  3. обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
  4. предоставлении уполномоченными органами информации о деятельности судов в РФ в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в РФ».
  1. Целью Федерального закона «О персональных данных» является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  2. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Читайте также:  Можно ли вернуть в Летуаль духи, как обменять сертификат или подарочную карту на деньги и отменить заказ в интернет-магазине, а также правила возврата другого товара

Законодательство РФ в области персональных данных

Законодательство РФ в области персональных данных основывается на Конституции РФ, международных договорах РФ и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

Если международным договором РФ установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Принципы обработки персональных данных

  1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
  2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

  3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

  5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

  6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

  7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия обработки персональных данных

Обработка персональных данных допускается в следующих случаях:

    1. в интересах и с согласия субъекта персональных данных на обработку его персональных данных;
    2. для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
    3. для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица;
    4. осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
    5. осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
    6. в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона, при условии обязательного обезличивания персональных данных;
    7. подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги).

В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Порядок получения согласия субъекта персональных данных на обработку его персональных данных регламентируется ст. 9 закона.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев:

    1. персональные данные сделаны общедоступными субъектом персональных данных;
    2. обработка персональных данных необходима в связи с реализацией международных договоров РФ о реадмиссии;
    3. обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;
    4. обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФо пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
    5. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
    6. обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
    7. обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
    8. обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
    9. обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством РФ;
    10. обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
    11. обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.

Права субъекта персональных данных

    1. Право субъекта персональных данных на доступ к его персональным данным.
    2. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (только после предварительного согласия субъекта).

    3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных (запрещено принятие решений на основании исключительно автоматизированной обработки персональных данных).
    4. Право на обжалование действий или бездействия оператора.

Ответственность за нарушение требований закона «О персональных данных»

Лица, виновные в нарушении требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», несут предусмотренную законодательством РФ ответственность.

Так, ст. 13.11 КоАП РФ устанавливает, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа

    • на граждан в размере от трехсот до пятисот рублей;
    • на должностных лиц — от пятисот до одной тысячи рублей;
    • на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.