Закон о персональных данных граждан РФ

Советы юриста

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Закон о персональных данных граждан РФ». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание
1. Федеральный закон от 27.07.2006 г. № 152-ФЗ
2. Федеральный закон от 27.07.2006 N 152-ФЗ
3. Закон «О персональных данных»
4. Всё, что нужно знать о персональных данных
5. Закон о персональных данных — что это такое?
6. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
7. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
8. Глава 2. Принципы и условия обработки персональных данных
9. Глава 3. Права субъекта персональных данных
9.1. Персональные данные

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) пункт утратил силу. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

5) пункт утратил силу. (в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации». (в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

Федеральный закон от 27.07.2006 г. № 152-ФЗ

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

5. Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом. (в ред. Федерального закона от 08.12.2020 N 429-ФЗ)

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Федеральный закон от 27.07.2006 N 152-ФЗ

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
(часть 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) утратил силу. — Федеральный закон от 25.07.2011 N 261-ФЗ;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) утратил силу. — Федеральный закон от 29.07.2017 N 223-ФЗ.

3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
(часть 3 введена Федеральным законом от 29.07.2017 N 223-ФЗ)

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.1) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
(п. 1.1 введен Федеральным законом от 30.12.2020 N 519-ФЗ)

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

Закон «О персональных данных»

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
(часть 2.1 введена Федеральным законом от 25.07.2011 N 261-ФЗ)

3. Утратил силу. — Федеральный закон от 25.07.2011 N 261-ФЗ.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

5. Отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими лицами, физическими лицами при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в субъекте Российской Федерации — городе федерального значения Москве, регулируются настоящим Федеральным законом, если иное не предусмотрено Федеральным законом «Об особенностях регулирования отдельных правоотношений в связи с присоединением к субъекту Российской Федерации — городу федерального значения Москве территорий и о внесении изменений в отдельные законодательные акты Российской Федерации».
(часть 5 введена Федеральным законом от 05.04.2013 N 43-ФЗ)

Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации.

Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности.

Законодательство РФ предусматривает 3 вида ответственности:

  • гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
  • административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
  • уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.

Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:

  • при осуществлении правосудия;
  • при заключении договора потребительского кредитования;
  • при заключении трудового договора;
  • при защите прав и интересов гражданина;
  • если при заключении гражданско-правового договора стороны достигли согласия об этом;
  • в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.

Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.

Всё, что нужно знать о персональных данных

  • ФЗ об исполнительном производстве

  • Закон о коллекторах

  • Закон о национальной гвардии

  • О правилах дорожного движения

  • О защите конкуренции

  • О лицензировании

  • О прокуратуре

  • Об ООО

  • О несостоятельности (банкротстве)

  • О персональных данных

  • О контрактной системе

  • О воинской обязанности и военной службе

  • О банках и банковской деятельности

  • О государственном оборонном заказе

  • Закон о полиции

  • Закон о страховых пенсиях

  • Закон о пожарной безопасности

  • Закон об обязательном страховании гражданской ответственности владельцев транспортных средств

  • Закон об образовании в Российской Федерации

  • Закон о государственной гражданской службе Российской Федерации

  • Закон о защите прав потребителей

  • Закон о противодействии коррупции

  • Закон о рекламе

  • Закон об охране окружающей среды

  • Закон о бухгалтерском учете

    • Приказ Управления делами Президента РФ от 28.07.2011 N 451

      «О защите персональных данных федеральных государственных гражданских служащих Управления делами Президента Российской Федерации» (вместе с «Положением об организации работы с персональными данными федерального государственного гражданского служащего Управления делами Президента Российской Федерации», «Списком должностей федеральных государственных гражданских служащих Управления делами Президента Российской Федерации, уполномоченных на обработку персональных данных») (Зарегистрировано в Минюсте

    • Указ Президента РФ от 08.09.2021 N 515

      «О федеральных государственных унитарных предприятиях, находящихся в ведении Федеральной службы исполнения наказаний»

    • Указ Президента РФ от 08.09.2021 N 514

      «О внесении изменений в состав Комиссии по экспортному контролю Российской Федерации, утвержденный Указом Президента Российской Федерации от 16 мая 2017 г. N 211»

    • Постановление Правительства РФ от 06.09.2021 N 1496

      «О некоторых мерах по управлению федеральным имуществом»

    • Распоряжение Правительства РФ от 06.09.2021 N 2462-р

      «Об определении федерального государственного бюджетного учреждения культуры «Российская государственная детская библиотека» единственным исполнителем осуществляемой Минцифры России в 2021 году закупки услуг по организации и проведению в г. Москве XXXVII Международного конгресса по детской книге»

    • Распоряжение Правительства РФ от 06.09.2021 N 2464-р

      «О выделении в 2021 году Росприроднадзору из резервного фонда Правительства Российской Федерации бюджетных ассигнований»

    • Приказ Росстата от 30.07.2021 N 462 (ред. от 02.09.2021)

      «Об утверждении форм федерального статистического наблюдения для организации федерального статистического наблюдения за деятельностью предприятий»

    • Приказ Росстата от 30.07.2021 N 460 (ред. от 27.08.2021)

      «Об утверждении форм федерального статистического наблюдения для организации федерального статистического наблюдения за ценами и финансами»

    • Положение о межрегиональных и всероссийских официальных спортивных соревнованиях по рыболовному спорту на 2021 год. Номер-код вида спорта: 0920005411Г

      (утв. Минспортом России 14.12.2020, Общероссийской общественной организацией «Федерация рыболовного спорта России») (ред. от 19.08.2021)

    Все материалы сайта Министерства внутренних дел Российской Федерации могут быть воспроизведены в любых средствах массовой информации, на серверах сети Интернет или на любых иных носителях без каких-либо ограничений по объему и срокам публикации.

    Это разрешение в равной степени распространяется на газеты, журналы, радиостанции, телеканалы, сайты и страницы сети Интернет. Единственным условием перепечатки и ретрансляции является ссылка на первоисточник.

    Никакого предварительного согласия на перепечатку со стороны Министерства внутренних дел Российской Федерации не требуется.

    Закон о персональных данных — что это такое?

    Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

    Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

    По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

    Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

    Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

    Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

    Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

    С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

    Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

    На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

    К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

    Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

    К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

    С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

    При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

    К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

    Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

    Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

    Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

    Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

    В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

    Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

    Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

    Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

    Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

    Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

    Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

    Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

    • в течение трех рабочих дней с момента обращения;

    • или в срок, указанный в постановлении суда;

    • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

    Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

    К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

    В июле 2016 года было введено в действие соглашение о защите конфиденциальности между ЕС и США EU-U.S. Privacy Shield. Данное соглашение является фреймворком, который определяет подходы коммерческих компаний к защищенному обмену ПДн между Евросоюзом и Северной Америкой. Цель такого соглашения — привести в соответствие нормы GDPR по защите ПДн в ЕС и методы обеспечения их безопасности в США. Предшественником данного фреймворка было соглашение Safe Harbor Privacy Principles («Принципы Безопасной Гавани для защиты личных данных»), которое действовало с 2000 по 2015 годы и подтверждало, что методы обеспечения безопасности ПДн в США соответствуют нормам Европейской Директивы 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». Указанное соглашение было подвергнуто критике из-за выявленных фактов целенаправленного постоянного доступа к ПДн европейских граждан со стороны правительства США, в частности, Агентства Национальной Безопасности. Это было учтено Европейским судом, который вынес в октябре 2015 года решение о недействительности Принципов Безопасной Гавани. Таким образом, в настоящее время компании из США, желающие обрабатывать ПДн граждан Евросоюза, должны соответствовать требованиям EU-U.S. Privacy Shield. Подтверждение соответствия осуществляется в виде добровольной самостоятельной сертификации в Министерстве торговли США. Компания-оператор должна выполнять следующие базовые требования, подтверждающие адекватный уровень защиты ею ПДн граждан Евросоюза:

    • информирование субъектов об обработке их ПДн, что включает в себя указание на защиту ПДн в соответствии с Privacy Shield в политике компании по защите личных данных (Privacy Policy), уведомление субъектов ПДн об их правах и напоминание об обязанностях самой компании в случае получения законного запроса на предоставление ПДн со стороны государственных органов;
    • предоставление бесплатного и доступного инструмента для разрешения споров, что означает обязанность компании в течение 45 дней ответить на жалобы субъекта, предоставить бесплатный правовой механизм оперативной обработки обращений субъектов, участвовать в процедурах рассмотрения жалоб, поступивших от европейских Data Protection Authorities (регуляторов по вопросам защиты данных);
    • взаимодействие с Министерством торговли США в части предоставления ответов на запросы, касающихся соблюдения норм Privacy Shield;
    • поддержание целостности данных и ограничений на их использование путем лимитирования объема обрабатываемых ПДн до релевантного целям обработки, а также путем соответствия принципам ограничения сроков хранения ПДн;
    • обеспечение ответственности за передачу ПДн третьим лицам, что подразумевает:
      1. в случае третьего лица, выступающего в роли оператора, — соответствие принципам уведомления субъектов и их осознанного согласия (т.н. Notice and Choice Principles), внесение в договор с третьим лицом пунктов об обеспечении им защиты передаваемых ему ПДн (что означает ограничение на использование ПДн, обеспечение адекватного уровня защиты ПДн, уведомление в случае нарушения данных требований);
      2. в случае третьего лица, выступающего в роли агента, т.е. обработчика, — выполнение требований по передаче ему ПДн только для достижения ограниченных и конкретных целей по защите ПДн на уровне не ниже, чем это осуществляется оператором, по проверке выполнения обработчиком данных требований, по необходимости — уведомления обработчиком оператора в случае невозможности выполнения требований и по прекращению обработки ПДн обработчиком в случае выявленных нарушений;
    • открытая публикация отчетов Федеральной торговой комиссии США по оценке и соответствию компании нормам Privacy Shield;
    • соблюдение норм защиты полученных компанией ПДн даже в том случае, если она принимает решение выйти из соглашения Privacy Shield.
    • Как мы видим, требования, предъявляемые в рамках Privacy Shield, гармонизированы с европейскими нормами защиты ПДн, а также в определенной степени напоминают принципы, задекларированные в отечественном 152-ФЗ.

    Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

    Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

    Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

    23 статья Конституции регулирует право гражданина:

    • на личную тайну (затрагивающую одно физическое лицо)
    • семейную тайну (имеется ввиду круг лиц, являющихся родственниками)
    • профессиональную тайну (связанную с определенным спектром профессий)
    • тайну связи, включающую в себя переписку и все виды разговоров, осуществляемые через технические устройства, в т.ч. телефон, телеграф, почту, интернет
    • контроль распространяемой информации о себе
    • защиту чести
    • защиту доброго имени (имеется ввиду защита своей репутации от фальсификаций, связанных с ней, клеветы и наговоров)
    • защиту данных о себе (сбор, хранение и использование персональных данных без согласия лиц, к которым эти данные относятся, запрещены)
    • неприкосновенность жилища

    Все это можно отнести к частной жизни человека, охраняемой государством.

    Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

    В Указе № 188 опубликован перечень данных, которые можно отнести к конфиденциальным. Согласно ему, вся информация о личной и частной жизни (факты, события, отношения и обстоятельства), а также сведения о профессиональной и коммерческой деятельности, подробности судопроизводственных и следственных процедур, служебная тайна и информация об открытиях и изобретениях до публикации в СМИ, должна оставаться конфиденциальной, т.е. не поддающейся разглашению, при условии соблюдения законодательства и Конституции РФ.

    152 Федеральный закон «О защите персональных данных» основывается на Конституции РФ по правам человека, а также внешних договорах РФ с другими государствами. Согласно ему, все персональные данные должны храниться и обрабатываться сертифицированными системами и методами для защиты их сохранности и конфиденциальности. Операторами ПД можно считать любые органы и представительства, физических и юридических лиц, чья деятельность прямо или косвенно связана с обработкой и хранением данных о гражданах.

    Правила обработки ПД не распространяются отношения, где информация используется для семейных и личных нужд, архивных и судебных документов, для работы с реестром ИП, или, если информация связана с государственной тайной. Во всех этих случаях хранение и использование данных может проходить в установленном другими нормативными актами порядке.

    Согласно ФЗ №152, данные должны предоставляться и обрабатываться в том объеме, который требуется для достижения цели сбора этих данных. Слияние двух информационных баз не возможно, если их обработка осуществляется в не связанных целях. В основном, все вопросы обработки данных касаются автоматизированных систем, но есть пункт закона, регулирующий специфические условия хранения и использования информации без автоматизации, согласно которому данные могут обрабатываться при регулировании специальными нормативными актами.

    Федеральный закон предусматривает открытые источники информации, в которых будет размещена персональная информация о человеке, обусловленная целью создания открытого источника (например, справочника). Гражданин имеет право отказаться от распространения любых данных о нем, может не сообщать некоторую часть от общего объема запрашиваемой информации, а также может потребовать исключения из общего перечня своих персональных данных.

    Персональные данные по 152 Федеральному закону делятся на 4 категории, согласно которым данные классифицируются по степени открытости в отношении взглядов и частной жизни человека

    4 Категория включает в себя обезличенные данные

    3 Категория – личные данные, предоставляющие возможность идентификации

    2 Категория – личные данные, предоставляющие возможность идентификации с правом получения дополнительной информации, не включенной в первую категорию

    1 Категория – личные данные, касающиеся расовой и национальной принадлежности, взглядов, интимной жизни и состояния здоровья

    Также выделяют еще один тип информации о человеке – биометрические данные, т.е. информация об особенностях физиологического строения конкретного гражданина. Биометрическими данными пользуются во время следственно-розыскных работ, международных переездов граждан, а также в случаях, предусмотренных УК РФ.

    Базы данных также подразделяются на группы по объему данных, обрабатываемых в системе

    1 группа – до 1000 человек

    2 группа – 1000-100000 человек

    3 группа – от 100000 человек

    Федеральный закон также регулирует деятельность операторов ПД, права и обязанности граждан в отношении персональных данных, жизненные циклы идентификационной информации, уровни безопасности и конфиденциальности ПД.

    Работодатель обязан соблюдать определенные требования по обработке этих данных.

    Обработка персональных данных в силу ст. 3 Закона № 152-ФЗ – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

    Обратите внимание:

    Обработка персональных данных осуществляется с согласия работника (п. 1 ст. 6, ст. 9 Закона № 152-ФЗ). Причем согласие должно быть конкретным, информированным и сознательным и составленным в письменной форме.

    Основные требования к работодателю, осуществляющему обработку персональных данных работников, установлены в ст. 86 ТК РФ. И самое первое заключается в том, что такая обработка может осуществляться работодателем исключительно в целях:

    • обеспечения соблюдения законов и иных нормативных правовых актов;
    • содействия работникам в трудоустройстве, получении образования и продвижении по службе;
    • обеспечения личной безопасности работников, контроля количества и качества выполняемой работы;
    • обеспечения сохранности имущества.

    При обработке персональных данных работодатель

    Обязан

    Не имеет права

    Получать персональные данные у самого работника. Если их можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие

    Получать и обрабатывать сведения о работнике, относящиеся в соответствии со ст. 10 Закона № 152-ФЗ к специальным категориям персональных данных

    За счет своих средств обеспечивать защиту персональных данных работника от неправомерного их использования или утраты

    Получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности

    Ознакомить работников и их представителей под подпись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области

    При принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронным путем

    Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов, в частности Закона № 152-ФЗ.

    Итак, одно из самых главных правил при обработке персональных данных – работодатель сразу при трудоустройстве работника должен запросить у него письменное согласие на такую обработку. Причем следует запрашивать согласие и лиц, которые только еще претендуют на должность и также предоставляют свои персональные данные при собеседовании, заполнении анкет и других подобных документов.

    Особое внимание следует уделять и передаче персональных данных работников третьим лицам. Ее правила установлены в ст. 88 ТК РФ. В частности, работодатель обязан:

    • не сообщать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;
    • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
    • предупредить лиц, получающих персональные данные работника, что данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
    • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись;
    • разрешать доступ к персональным данным работников только специально уполномоченным лицам, причем они должны иметь право получать лишь те данные работника, которые необходимы для выполнения конкретных функций;
    • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
    • передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми данными работника, которые необходимы для выполнения указанными представителями их функций.

    К случаям, когда согласие работника на передачу персональных данных не требуется, относится передача определенных сведений о работнике в ФСС, ПФР, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, банк, обслуживающий банковские карты работников, и др.

    В заключение рекомендуем работодателям еще раз проверить, пока изменения не вступили в силу, от всех ли работников получено согласие на обработку персональных данных, ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области, должным ли образом осуществляется хранение и защита персональных данных, соответствует ли документация об их обработкетребованиям законодательства и т. д.

    Причем привлечь к административной ответственности могут за нарушения, допущенные при обработке и передаче персональныхданных не только работников, но и граждан, которым организация оказывает различные услуги. Как работники, так иэти лица могут обратитьсяв суд с гражданским иском.

    Также не следует забывать, что в случаях, когда действия должностных лиц принарушении в обработке персональных данных привели к серьезным последствиям, может наступить и уголовная ответственность.

    Е. В. Давыдова , эксперт журнала

    «Отдел кадров коммерческой организации» № 6, июнь, 2017 год.

    Глава 2. Принципы и условия обработки персональных данных

    Статья 1. Сфера действия настоящего Федерального закона

    1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

    2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

    1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

    2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

    3) утратил силу. — Федеральный закон от 25.07.2011 N 261-ФЗ;

    4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

    5) утратил силу. — Федеральный закон от 29.07.2017 N 223-ФЗ.

    3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

    Статья 2. Цель настоящего Федерального закона

    Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

    Статья 3. Основные понятия, используемые в настоящем Федеральном законе

    Статья 14. Право субъекта персональных данных на доступ к его персональным данным

    1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

    2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

    3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

    4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

    5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

    6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

    7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

    1) подтверждение факта обработки персональных данных оператором;

    2) правовые основания и цели обработки персональных данных;

    3) цели и применяемые оператором способы обработки персональных данных;

    4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

    5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

    6) сроки обработки персональных данных, в том числе сроки их хранения;

    7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

    8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

    9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

    10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

    Статья 18. Обязанности оператора при сборе персональных данных

    1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

    2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

    3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

    1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

    2) цель обработки персональных данных и ее правовое основание;

    3) предполагаемые пользователи персональных данных;

    4) установленные настоящим Федеральным законом права субъекта персональных данных;

    5) источник получения персональных данных.

    4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

    1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

    2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

    3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;

    4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

    5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

    5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

    Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

    1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

    1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

    2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

    3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

    4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

    5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

    6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

    Статья 25. Заключительные положения

    1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

    2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

    2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

    3. Утратил силу. — Федеральный закон от 25.07.2011 N 261-ФЗ.

    4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

    5. Отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими лицами, физическими лицами при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в субъекте Российской Федерации — городе федерального значения Москве, регулируются настоящим Федеральным законом, если иное не предусмотрено Федеральным законом «Об особенностях регулирования отдельных правоотношений в связи с присоединением к субъекту Российской Федерации — городу федерального значения Москве территорий и о внесении изменений в отдельные законодательные акты Российской Федерации».

    Глава 3. Права субъекта персональных данных

    Любому владельцу бизнеса, не зависимо от масштабов предприятия, знать Закон 152-ФЗ просто необходимо. Неважно, юридическое лицо или индивидуальный предприниматель — все компании получают доступ к чужим персональным данным. Главное, уметь правильно с ними обходится, не нарушая закон и требования Роскомнадзора.

    Заключение контрактов или договоров с контрагентами, прием сотрудников на работу, обслуживание клиентов, даже приём денежных средств в счёт оплаты товаров или услуг — всё это взаимодействие с персональными данными.

    Закон 152-ФЗ — единственный документ, который устанавливает требования и правила обработки персональных данных граждан ко всем организациям, государственным и муниципальным структурам, частным компаниям, которые собирают, обрабатывают и хранят персональные сведения своих сотрудников и клиентов.

    Но несмотря на это, с конца 2017 года 152-ФЗ не изменялся, в отличие от хакерских программ, Интернет-шпионов и иных вирусов.

    Фантазия мошенников в реальной жизни также не стоит на месте, и они каждый день изобретают новые и новые способы обмана как граждан, так и организаций с помощью полученных персональных данных.

    Важнейшей гарантией прав граждан является обязанность операторов и третьих лиц, получивших доступ к их данным, обеспечивать конфиденциальность и безопасность. На конституционном уровне гарантируется право россиян на защиту своих неимущественных прав, включая защиту личных сведений, в том числе с правом на возмещение убытков, причиненного ущерба или компенсацию морального вреда.

    И, вопреки изложенному, а также ряду судебных прецедентов, ФЗ «О персональных данных» не дорабатывается и не совершенствуется. В 2020 году каких-либо принятых Госдумой изменений в текст закона вноситься не планируется.

    Персональные данные

    — это любая информация, позволяющая как точно идентифицировать физическое лицо (субъекта персональных данных), так и составить о нём чёткий образ или предположить, что в конкретном случае речь идёт именно об определенном человеке, а не о каком-либо абстрактном.

    К такой информации относится:

    • ФИО;
    • сведения о дате и месте рождения;
    • адреса проживания и регистрации;
    • образование, доход, профессия (должность);
    • паспортные данные, ИНН, СНИЛС;
    • семейное, социальное или имущественное положение.

    Постановлением Правительства РФ от 13.09.019 N 1197 перечень данных, относящихся к персональным, был дополнен:

    • абонентский номер телефона (подвижной радиотелефонной связи)
    • адрес электронной почты.

    — любое физическое или юридическое лицо, включая государственные или муниципальные органы, организующие или осуществляющие сбор, хранение и обработку персональных данных граждан.

    Если гражданин заключает договор об оказании услуг по установке у себя в квартире ПВХ-окон, он предоставляет компании-установщику свои личные персональные данные, и компания становится оператором обработки персональных данных.

    ✎ Обратившись в МФЦ для оформления документов, потребуется заполнение согласия на обработку персональных данных, поскольку МФЦ становится оператором, получившим от вас конфиденциальную информацию.

    Оператор персональных данных несет полную ответственность за хранение всех полученных сведений и обязанность использовать данные только в тех целях, для которых они предоставлялись. Оператор будет привлечен к ответственности за их распространение или публичную огласку.

    Цель обработки персональных данных прописывается в уведомление уполномоченного органа (Роскомнадзора) о начале обработки персональных данных и о внесении изменений в ранее представленные сведения в соответствии с методическими рекомендациями, утв. Приказом Роскомнадзора от 30.05.2017 N 94.

    Если исключить момент о том, что субъект персональных данных предоставил все сведения о себе самостоятельно, то без согласия субъекта получить его данные можно только в следующих случаях:

    • по запросу правоохранительных и судебных органов;
    • по адвокатскому запросу;
    • из общедоступных источников (поисковики, социальные сети, базы данных и т.д.).

    Незаконно полученные сведения, в т.ч. личные персональные данные человека, нельзя использовать, какая бы цель не преследовалась. В противном случае придется понести ответственность за нарушение частной жизни, вплоть до уголовной.

    Закон «О персональных данных» указывает случаи, когда согласие на обработку персональных данных обязательно:

    • создание общедоступных источников информации (соцсети, справочники и т.д.);
    • использование специальных данных (в СМИ, медицине и т.д.);
    • использование биометрических данных;
    • трансграничная передача (за границу) данных в некоторые страны (те, которые не обеспечивают «адекватную» защиту персональных данных, по мнению Роскомнадзора);
    • если обработка данных порождает юридические последствия (заключение договоров, долговые обязательства и т.д.).

  • Приказ Минпромторга России от 19.05.2014 N 944 (ред. от 06.09.2021)
  • Постановление ЦИК России от 20.07.2021 N 26/225-8 (ред. от 03.09.2021)
  • Постановление ЦИК России от 14.07.2021 N 20/169-8 (ред. от 03.09.2021)
  • Письмо ФТС России от 13.11.2019 N 14-40/69821 (ред. от 03.09.2021)
  • Письмо ФТС России от 13.11.2019 N 14-40/69824 (ред. от 03.09.2021)
  • Письмо ФТС России от 17.01.2019 N 14-40/01812 (ред. от 03.09.2021)
  • Приказ Росстата от 30.07.2021 N 462 (ред. от 02.09.2021)
  • Письмо ФТС России от 17.05.2018 N 14-40/28427 (ред. от 02.09.2021)
  • Письмо ФТС России от 20.08.2014 N 14-40/39460 (ред. от 02.09.2021)
  • Порядок составления некредитными финансовыми организациями в электронной форме информации, предусмотренной статьями 7, 7.5 Федерального закона О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма

Сфера действия постановления — контроль над личной информацией, которой обладают следующие виды структур:

  • госорганы;
  • власти конкретных субъектов РФ;
  • учреждения местного самоуправления;
  • юридические лица;
  • физлица, совершающие обработку личной информации.

Нормы ФЗ №152 контролируют во всех государственных и коммерческих организациях конфиденциальность ПДн, принадлежащих конкретному физическому лицу. Однако под действие закона не попадают следующие категории:

  • использование информации гражданами для личных целей при отсутствии нарушения прав обладателя;
  • недействительные документы, находящиеся на хранении в Архивном фонде РФ;
  • ПДн, отнесенные под категорию «государственная тайна».

Таким образом, ФЗ №152 обязует хранителей персональной информации поддерживать неразглашение личных сведений физлица.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован.