Образование. Законодательство. Реабилитация инвалидов. Льготы. Пособия. Пенсии
Вы здесь: » »

Фз о конфиденциальности персональных данных. Федеральный закон "О персональных данных": основные положения простыми словами

В последнее время Операторы связи всё чаще получают запросы на приведение деятельности оператора связи в соответствие с требованиями законодательства в области персональных данных (в первую очередь - Федеральный закон № 152-ФЗ от 27.07.2006 "О персональных данных).

Связано это со вступлением с 1 июля 2017 г. в силу поправок в Кодекс РФ об административных правонарушениях, которые ощутимо расширяют ответственность операторов за несоблюдение условий обработки персональных данных. В 2019 году всё чаще территориальные управления Роскомнадзора проводят проверки Операторов на предмет защиты персональных данных. При этом, размер максимальной ответственности повысился с 10 000 до 75 000 рублей, минимальной с 1 до 15 тысяч рублей также выросло и количество возможных нарушений в этой области. Настоящая статья поможет небольшим операторам правильно выстроить систему защиты персональных данных

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных ). Наиболее распространённые виды - паспортные данные, место жительства, мобильный телефон и адрес электронной почты. Даже фамилия, имя и отчество сами по себе могут являться персональными данными (письмо Роскомнадзора от 20.01.2017 N 08АП-6054). Лица (как физические, так и юридические), которые обрабатывают персональные данные, являются операторами персональных данных.

В Российской Федерации обработка персональных данных (требования к обеспечению её безопасности, т.е. защита) регулируется государством. 27 июля 2006 года был принят Федеральный закон "О персональных данных" N 152-ФЗ.

Фактически, обязательные требования содержатся не только в Законе "О персональных данных", но и в некоторых подзаконных актах . В частности, иные важные требования к защите персональных данных содержатся в следующих нормативно-правовых актах:

  1. Постановление Правительства РФ от 15.09.2008 N 687 (особенности обработки ПДн без средств автоматизации).
  2. Постановление Правительства РФ от 01.11.2012 N 1119 (требования к обработке ПДн в информационных системах).
  3. "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 14.02.2008)
  4. "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 15.02.2008)
  5. Приказ ФСТЭК России от 18.02.2013 N 21 (организационные и технические меры при обработке ПДн в информационных системах).

Требования к обеспечению безопасности при обработке персональных данных, установленные перечисленными актами, достаточно обширны, некоторые довольно сложны в техническом и организационном плане.

Ответственность за нарушение законодательства о персональных данных закреплена в Кодексе РФ об административных правонарушениях, в статье 13.11. Данная статья с 01 июля 2017 года насчитывает 7 составов правонарушений, размер наказаний за их совершение варьируется от 15 до 75 тыс. руб. административного штрафа. Более того, как раньше, так и после вступления в силу поправок в КоАП РФ, увеличивших штрафы и введших новые правонарушения, надзорный орган неоднократно привлекал к ответственности нарушителей законодательства в области персональных данных.

Требования законодательства в области персональных данных довольно обширны, сложны и неоднозначны, поэтому, в первую очередь, хочется узнать, за что установлена ответственность .

Ответ на данный вопрос даёт ст. 13.11. Кодекса Российской Федерации об административных правонарушениях:

Часть 1 статьи 13.11:

"Обработка персональных данных в случаях, не преду-смотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных...", - штраф от 30 до 50 т.р. На что обратить внимание:

Персональные данные могут обрабатываться в следующих случаях (достаточно одного любого условия):

  1. Есть согласие субъекта (НЕ ОБЯЗАТЕЛЬНО ПИСЬМЕННОЕ, т.е. "галочка" на сайте, вопрос по телефону - подойдут).
  2. Вы заключили или собираетесь заключить договор с субъектом (даже если это оферта на веб-сайте и для заключения не нужна подпись). В таком случае даже согласия не нужно.
  3. Вы обрабатываете персональные данные своих работников (из трудовых отношений). Здесь согласие также не нужно.
  4. В иных специфических случаях, они указаны в Законе о персональ-ных данных и достаточно редки (ст. 6, ч. 1; к примеру: для защиты жизни, здоровья или иных жизненно важных интересов субъекта).

Штраф накладывают, если вы не смогли доказать, на каком основании вы обрабатываете конкретные персональные данные конкретного субъекта. Рекомендации: при сборе персональных данных на сайте необходимо перед отправкой субъектом своих данных предусмотреть, чтобы он обязательно поставил "галочку" под текстом вроде "Согласен на обработку моих персональных данных". Если данные обрабатываются в целях заключения договора и согласия нет - не обрабатывать нехарактерные для договора персональные данные (к примеру, по договору купли-продажи не стоит обрабатывать данные об образовании, профессии и воинской обязанности лица).

Часть 2 статьи 13.11:

"Обработка персональных данных без согласия в пись-менной форме, … когда такое согласие должно быть получено … либо обработка персональных данных с нарушением … требований к составу сведений, включаемых в согласие в письменной форме …", - штраф от 15 до 75 т.р. На что обратить внимание:

Чтобы не получить штраф по данной статье необходимо придерживаться нескольких простых правил:

  1. Нельзя публиковать или иным образом вносить в общедоступные источники персональные данные субъекта без его письменного согласия (для такого согласия предусмотрена особая форма).
  2. Нельзя обрабатывать биометрические персональные данные или дан-ные, относящиеся к категории специальных, (медицинские данные, вероисповедание, философские взгляды) без письменного согласия.
  3. Нельзя передавать персональные данные на территорию иностранных государств, которые не обеспечивают адекватную защиту прав
    субъектов (трансграничная передача) без письменного согласия лица.

Часть 3 статьи 13.11:

"Невыполнение оператором предусмотренной законода-тельством Российской Федерации в области персональных данных обязанности по опуб-ликованию или обеспечению иным образом неограниченного доступа к документу, опреде-ляющему политику оператора в отношении обработки персональных данных, или сведе-ниям о реализуемых требованиях к защите персональных данных", - штраф от 15 до 30 т.р. На что обратить внимание:

Необходимо разместить на сайте Политику обработки персональных

Часть 4 статьи 13.11:

"Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных", - штраф от 20 до 40 т.р. На что обратить внимание:

Административная ответственность наступает лишь в случае непредставления оператором информации по запросу субъекта персональных данных, оформленному в соответствии с указанными в законе требованиями. В данном случае комментарии излишни - учитывая, что запрос от субъектов персональных данных большая редкость - легче один раз ответить на письмо субъекта, чем заплатить 20-40 т.р.

Часть 5 статьи 13.11:

"Невыполнение оператором в сроки … требования субъекта персональных данных или его представителя либо уполномоченного органа … об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки", - штраф от 25 до 45 т.р. На что обратить внимание:

Состав аналогичен части 4 ст. 13.11, т.е. сначала должно поступить требование субъекта / его представителя / Роскомнадзора, и если вы не исполните такое требование в срок - то только потом наступает ответственность. Опять же - легче не разбираться в ситуации, удалить недостоверные данные, уведомить об этом в письменном виде субъекта персональных данных, а не выплачивать штраф.

Часть 6 статьи 13.11:

"Невыполнение оператором … обязанности по соблюдению условий, обеспечивающих … сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния", - штраф от 25 до 50 т.р. На что обратить внимание:

Особенность данного состава в том, что штрафа не будет, если в результате нарушения не наступили какие-либо неблагоприятные последствия для субъекта персональных данных, к примеру - злоумышленник взломал базу данных вашей организации и опубликовал адреса всех сотрудников. Учитывая, что такая ситуация крайне редка для компаний среднего размера, а также то, что не всегда такие вещи может обнаружить Роскомнадзор - поводов для беспокойства мало.

На этом вся ответственность заканчивается. Более того, проверки проводит именно Роскомнадзор, как уполномоченный законом орган, а проверить технические моменты могут только ФСТЭК и ФСБ, которые по факту проверок не проводят (за очень редким исключением). Вся информация о плановых проверках содержится на сайте Роскомнадзора, включая организации, которые будут проверять в определённом году. Также за 3 дня Роскомнадзор дополнительно уведомляет о предстоящей проверке. Внеплановые же проводятся только при наличии достаточных оснований и при наличии жалобы конкретного лица (это может быть бывший работник, конкурент, просто клиент, который знает о своих правах). В таком случае Роскомнадзор уведомляет организацию за 24 часа до проверки. Исходя из этого - вероятность проверки крайне мала, а если она и есть - о проверке можно узнать заблаговременно.

Таким образом - ещё раз отмечу, что всё-таки нужно обеспечить для отсутствия претензий со стороны Роскомнадзора:

  1. Должна быть опубликована Политика в отношении обработки персональных данных, а если сбор персональных данных осуществляется с помощью сайта - то Политика должна быть опубликована именно на этом сайте (прямое требование ст. 18 Закона о персональных данных).
  2. Также под формой сбора персональных данных на сайте должно быть уведомление или "галочка" о том, что субъект согласен на обработку его персональных данных. В том случае, если ввод персональных данных субъектом подразумевает собой заключение договора (оферта) - то такой договор должен быть опубликован на сайте, согласие в этом случае не требуется. Договор предпочтительнее согласия.
  3. Не стоит обрабатывать специальные категории персональных данных, биометрические персональные данные и передавать персональные данные клиентов и работников заграницу.
  4. Всегда стоит отвечать на запросы и требования субъектов персональных данных (об уточнении, удалении, блокировании их данных). Это легче, чем оплатить штраф.
  5. Также стоит подготовить минимально необходимые внутренние документы организации, которые необходимы исходя из требований законодательства и которые может затребовать Роскомнадзор как в рамках проверки, так и в рамках систематического наблюдения (мониторинга).

Стоит отметить, что перечисленные условия - это лишь необходимый минимум и в каждом конкретном случае оператору может потребоваться большая степень обеспечения безопасности обработки персональных данных.

Наконец, следует упомянуть о том, почему оферта лучше, чем согласие и что делать с уведомлением Роскомнадзора о начале обработки персональных данных. Согласно ст. 22 Закона о персональных данных оператор персональных данных до начала обработки обязан уведомить надзорный орган о своих намерениях обрабатывать персональные данные. На основании такого уведомления Роскомнадзор вносит оператора в Реестр операторов персональных данных. Это, в свою очередь, повысит требования к оператору (систематически обновлять сведения о себе и о своей деятельности в Реестре), а также риск попасть под плановую проверку. В ч. 2 ст. 22 Закона о персональных данных предусмотрены исключения, т.е. те условия, при которых можно и не подавать уведомление, не попасть в реестр. К таким исключениям законодатель относит следующие условия:

  1. Персональные данные обрабатываются в соответствии с трудовым законодательством (данные работников)
  2. Персональные данные обрабатываются в связи с заключением договора (персональные данные клиентов и потенциальных клиентов).
  3. Персональные данные обрабатываются при непосредственном участии человека (без использования средств автоматизации - биллинга и т.п.).
  4. Некоторые специфические условия - персональные данные членов общественных объединений и религиозных организаций, только ФИО субъектов и т.д., см ч. 2 ст. 22 Закона о персональных данных.

Из указанного перечня следует, что если данные обрабатываются исключительно на основании согласия субъекта (даже не письменного) - то направлять уведомление в Роскомнадзор всё же следует. Так что если, к примеру, сайт вашей организации предусматривает две формы сбора персональных данных - заявка на подключение (ФИО, адрес подключения, паспортные данные), а также - форма обратной связи для вопросов рекомендуется осуществить следующие действия. По заявке на подключение - необходимо, чтобы на сайте была оферта, и таким образом - вводя свои персональные данные, потенциальный абонент уже заключает с вами договор. В форме обратной связи лучше всего будет оставить лишь два поля: электронный адрес и поле, куда непосредственно вводится вопрос лица: таким образом, сбор персональных данных осуществляться не будет.

С другой стороны - даже если не производить указанные выше действия и оставить согласие - сначала Роскомнадзор "любезно" пришлёт требование направить ему уведомление о начале обработки персональных данных. В ответ на него можно направить соответствующее уведомление, либо информационное письмо, в котором обосновать наличие исключений, позволяющих не "включаться" в Реестр операторов персональных данных.

В настоящее время нет большой разницы в действиях Роскомнадзора в зависимости от того, включена компания в Реестр или нет, так как требования законодательства в области персональных данных необходимо соблюдать в обоих случаях.

При выборе мер по обеспечению соблюдения требований законодательства в области персональных данных необходимо учитывать множество обстоятельств, включая размеры организации, качество внутренней документации и форм договоров, а также потенциальный уровень риска попасть в поле зрения надзорного органа.

В настоящее время контроль и надзор осуществляется административным органом в двух формах. Во-первых, в виде проверки (плановой или внеплановой). Плановые проверки проводятся в отношении лиц, сведения о которых содержатся в Реестре операторов персональных данных, который ведёт Роскомнадзор (далее - "Реестр"). Сведения об операторе заносятся в Реестр только после отправки таким оператором уведомления о начале обработки персональных данных. Вследствие того, что направление указанного уведомления существенно повышает риск попасть под проверку надзорного органа - мы не рекомендуем своим клиентам направлять уведомление, особенно ввиду того, что при грамотно составленной документации это абсолютно законно. Вместе с тем при наличии письменных запросов территориального управления Роскомнадзора, следует под угрозой штрафа включиться в Реестр.

Внеплановые проверки могут проводиться по нескольким основаниям, наиболее частым из которых, на сегодняшний день, является подача жалобы клиентом и третьим лицом.

Также возможны мероприятия систематического наблюдения, а именно: осмотр сайта на предмет соблюдения законодательства в области защиты персональных данных.

В нижеуказанной таблице отражены проверки Роскомнадзора по Персональным данным.

В 2018 уже проведено 832 плановых и 49 внеплановых проверок и 2118 мероприятий систематического наблюдения. По результатам: проверок выдано 768 предписаний, а по результатам наблюдений - 569 предписаний. За 2018 год Роскомнадзор направил в суды 6 419 протоколов об АП, Сумма штрафов по которым 3, 971 миллионов рублей (из Публичного доклада Роскомнадзора за 2018 год).

Очевидно, что чем больше клиентов, т.е. чем крупнее организация, тем больше шанс спровоцировать недовольство абонентов и вследствие этого получить жалобу. В этой связи необходимо выстроить наиболее эффективный и качественный процесс работы с физическими лицами, максимально соблюдать требования законодателя. Для таких организаций, которые работают с большим количеством абонентов, которые включены в Реестр, а также в отношении которых есть основания ожидать "интерес" со стороны административного органа, мы готовим стандартный пакет документов. В него входит ряд локальных, технических и публичных актов, которые позволяют минимизировать риски административных штрафов при детальной документарной проверке Роскомнадзора на предмет соблюдения законодательства в сфере персональных данных (список ниже).

Если шанс жалобы абонента на вашу организацию минимален и уведомление в Роскомнадзор о начале обработки персональных данных не подано - то вероятность плановой / внеплановой проверки Роскомнадзором вашей организации на порядок ниже. Зато есть большая вероятность попасть под мероприятие систематического наблюдения (мониторинг). При мониторинге у Роскомнадзора нет возможности ознакомиться с внутренним положением дел в организации, они смотрят лишь на внешнюю деятельность (в 99% случаев - веб-сайт, большинство штрафов и предписаний при мониторинге выносится за несоблюдение требований законодательства на сайте). Однако и за нарушения на сайте - выдают штраф от 15 до 30 тысяч рублей Более того, мало отделаться штрафом, Роскомнадзор также уже сейчас запрашивает у Оператора описание мер, предпринятых для устранения нарушения под угрозой штрафа в размере от 3 до 5 тысяч рублей за не исполнение предписания по ст. 19.7 КоАП РФ.

Для отсутствия штрафов необходимо подготовить пакет документов, который позволит не допустить внешние нарушения законодательства.

Наиболее частыми нарушениями, выявленными Роскомнадзором за 2018 год являются:

  • ОТСУТСТВИЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
  • НЕИЗДАНИЕ И/ИЛИ НЕОПУБЛИКОВАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ДОКУМЕНТА, ОПРЕДЕЛЯЮЩЕГО ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ; - НЕИЗДАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ЛОКАЛЬНЫХ АКТОВ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
  • НЕОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ/АУДИТА СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • НЕОЗНАКОМЛЕНИЕ РАБОТНИКОВ ОПЕРАТОРА, НЕПОСРЕДСТВЕННО ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ, С ПОЛОЖЕНИЯМИ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ, ДОКУМЕНТАМИ, ОПРЕДЕЛЯЮЩИМИ ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЛОКАЛЬНЫМИ АКТАМИ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, И/ИЛИ НЕПРОВЕДЕНИЕ ОБУЧЕНИЯ УКАЗАННЫХ РАБОТНИКОВ.

Укажем минимально необходимые действия для обеспечения защиты персональных данных. Для начала следует разобраться с тем, что же представляют собой персональные данные. В упомянутом законе определено, что персональные данные, это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Довольно широкое понятие, охватывающее всю информацию, начиная с ФИО человека, его даты рождения и заканчивая религиозными убеждениями. Закон обязывает всех, кто обрабатывает персональные данные (операторов персональных данных) обеспечивать надлежащую безопасность такой обработки. Это выражается в предъявлении требований к операторам персональных данных относительно способов обработки, гарантий нераспространения и недопущения утечек персональных данных. Роскомнадзором могут проводиться проверки соблюдения таких требований, а в случае нарушения законодательства налагаться административная ответственность.

Что же необходимо, и что требует надзорный орган на практике? Во-первых, субъект, данные которого обрабатываются, должен быть осведомлён о подобной обработке, равно как и об условиях, на которых обрабатываются данные. Это выражается в получении однозначно определённого согласия субъекта на обработку его персональных данных …Нарушения в данной области легче всего выявляются и фиксируются, путём систематического наблюдения за ресурсами организации и наказываются штрафом 15-30 тысяч рублей. Учитывая постоянные изменения законодательства в области персональных данных очень важно размещать только актуальную версию документа, так как претензии предъявляются не только к наличию самого документа, но и к его качеству.

Во-вторых, обработка персональных данных внутри организации должна быть максимально безопасной. Это означает, что в случае обработки персональных данных с использованием информационных систем (читай - на любом электронном устройстве) необходимо разработать модель потенциальных угроз в отношении персональных данных. В соответствии с моделью необходимо все эти угрозы устранить или минимизировать. Здесь и встаёт вопрос о том, как доказать Роскомнадзору соблюдение установленных законодательством требований. Учитывая специфику проведения проверки (документарная) - необходимо максимально качественно составить комплект локальной и технической документации, который не оставит надзорному органу ни малейшего шанса придраться к оператору связи.

Основываясь на многолетнем опыте и профессионализме наших сотрудников, разработан, успешно применяется и систематически обновляется уникальный пакет документов, помогающих максимально соблюсти требования законодательства и успешно пройти проверку в любом регионе Российской Федерации.

В рамках подготовки соответствия Системы защиты персональных данных Оператора связи законодательству Российской Федерации, необходимо подготовить нижеследующие документы:

  • Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
  • Положение о комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
  • План мероприятий по приведению в соответствие с требованиями законодательства в области Персональных данных.
  • Приказ об утверждении списка лиц, имеющих доступ к обработке Персональных данных.
  • Форма Обязательства о неразглашении Персональных данных.
  • Приказ о проведении внутренней проверки в области Персональных данных.
  • Перечень Персональных данных, подлежащих защите.
  • Форма согласия абонента на обработку Персональных данных.
  • Форма согласия сотрудника на обработку персональных данных.
  • Приказ о выделении помещений для обработки Персональных данных.
  • Перечень информационных систем Персональных данных.
  • Технический паспорт информационных систем Персональных данных.
  • Приказ о назначении ответственного администратора информационной безопасности.
  • Инструкция администратора информационной безопасности.
  • Приказ об утверждении Положений в области Персональных данных.
  • Положение об обработке Персональных данных (Политика).
  • Положение о защите Персональных данных.
  • Положение о хранении Персональных данных.
  • Приказ о классификации информационных систем Персональных данных.
  • Акт классификации информационных систем Персональных данных.
  • Приказ об утверждении Инструкции пользователя информационных систем Персональных данных.
  • Инструкция пользователя информационных систем Персональных данных.
  • Порядок резервирования и восстановления Персональных данных.
  • План внутренних проверок в области Персональных данных.
  • Регламент по реагированию на запросы субъектов Персональных данных.
  • Инструкция о порядке обращения с носителями Персональных данных.
  • Правила внутреннего контроля в области Персональных данных.

По поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию - на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч . Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица - 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные - это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте - можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, - это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения - это тоже обработка персональных данных.

А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников - это уже нарушение.

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор . Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более - распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП , которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды» , правила продажи, официальное уведомление, как у «М-видео» , политика конфиденциальности, как у «Рестора» , «Адидаса» или «Озона» . Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк .

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные - нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

В законе про персональные данные много непонятного. Мы разобрались и ответили на

Законодательство РФ содержит нормативные акты, гарантирующие защиту личных данных граждан. Основным источником права соответствующего типа является Федеральный закон № 152-ФЗ. В нем содержатся положения, в достаточной мере детально регламентирующие осуществление оборота персональных данных россиян. Какие из них можно назвать ключевыми? В чем заключается смысл ФЗ № 152?

Сфера действия нормативного акта

Закон "О персональных данных" № 152-ФЗ распространяется на правоотношения, которые связаны с обработкой информации главным образом личного характера. К ней можно отнести Ф.И.О., адрес, телефон, паспортные данные человека. Персональные данные, которые защищает рассматриваемый закон, могут обрабатываться как юридическими, так и физическими лицами. ПД могут быть и биометрическими, то есть представлять собой отпечатки пальцев гражданина или снимок сетчатки его глаз.

В чем смысл регулирования оборота ПД?

Основная идея ФЗ № 152 "О персональных данных" в том, что гражданин, являющийся владельцем ПД, сам может определять то, кому он разрешает пользоваться соответствующими данными и каким образом. То есть, если соответствующего разрешения не получено, другое лицо не вправе каким-либо образом обрабатывать ПД, принадлежащие другому субъекту. Закон устанавливает ряд исключений из этого правила. Далее в статье мы рассмотрим данный аспект и иные особенности применения положений закона № 152-ФЗ подробнее.

Чаще всего оборот ПД осуществляют компании-работодатели, органы власти на различных уровнях, сервисные службы. Поэтому они должны наиболее внимательно изучать закон "О персональных данных" и обеспечивать соответствие своей работы его положениям. Рассмотрим то, на какие нормы, что содержатся в указанном нормативном акте, следует обращать внимание в первую очередь.

Основные нормы ФЗ № 152

Изучая закон "О персональных данных" (152-ФЗ), следует в первую очередь разобраться в терминологии, которая в нем отражена. Так, ключевыми понятиями, которые содержит соответствующий источник права, можно считать:

  • собственно «персональные данные» - определяемые как любая информация, касающаяся физического лица;
  • «оператор персональных данных» - организация или физлицо, осуществляющие обработку ПД;
  • «информационная система» - ресурс, на котором размещаются ПД.

Можно отметить, что в законе приведена в достаточной мере широкая трактовка понятия ПД - нет каких-либо четких критериев их определения. Это, как считают многие юристы, значительно способствует повышению уровня защищенности личной информации граждан, поскольку, в силу положений закона, практически все ее виды могут быть классифицированы как персональные данные.

Операции с ПД

Законодательство о ПД регламентирует операции, которые могут быть, в принципе, осуществлены с соответствующими данными:

  • распространение;
  • предоставление;
  • блокирование;
  • обезличивание;
  • трансграничная передача;
  • уничтожение.

Закон "О персональных данных" требует от операторов ПД осуществления указанных действий при условии соблюдения:

Конфиденциальности ПД (если иное не установлено законом);

Целостности ПД.

То есть персональные данные должны быть защищены, во-первых, от несанкционированного просмотра, а во-вторых - от уничтожения или неправомерной корректировки. Изучим то, каким образом должна осуществляться собственно защита ПД в соответствии с нормами закона № 152-ФЗ.

Защита персональных данных по закону № 152-ФЗ

Выполнение главного обязательства, которое предусмотрено законом, оператор ПД должен осуществлять с помощью:

  • внедрения передовых технологических решений, позволяющих защитить данные от несанкционированного прочтения и изменения;
  • применения правовых методов защиты информации.

Решая указанные задачи, оператор ПД, как это предписывает закон "О защите персональных данных", должен:

  • классифицировать информацию, обработку которой он осуществляет, по уровням защищенности;
  • установить требования к качеству носителей персональных данных;
  • определить особые критерии защищенности биометрических данных.

Прежде чем начать обработку ПД, их оператор должен получить соответствующую информацию в распоряжение. Как он может сделать это законным способом?

Как владельцу ПД разрешить их использование?

Основной и во многих случаях единственный способ, с помощью которого владелец ПД может передать в распоряжение оператора свои персональные данные - в письменном виде дать согласие на их обработку. Как правило, оно представляет собой заявление, в котором человек перечисляет ПД, которые готов дать на обработку, указывает способы обработки ПД, которые он одобряет.

Закон "О персональных данных" в некоторых случаях не требует оформления соответствующего согласия - например, если речь идет об оформлении сотрудника на работу. Однако на практике многие компании, нанимающие работников, все же просят их предоставить согласие на обработку ПД. Это во многом связано с тем, что формально не все типы операций с кадровыми документами попадают под исключения, которые содержит закон "О защите персональных данных". Полезно будет рассмотреть их перечень отдельно.

В каких случаях ПД могут быть обработаны без согласия владельца?

Федеральный Закон 152 «О персональных данных» устанавливает, что оператору ПД не нужно запрашивать согласие у их владельца на обработку соответствующей информации, если она осуществляется:

  • в силу положений какого-либо федерального закона;
  • для исполнения договора, заключаемого между оператором ПД и их владельцем;
  • в целях сбора статистических данных или при проведении научного исследования - но при условии, что ПД будут обезличены;
  • в экстренной ситуации, когда это необходимо для оказания помощи владельцу ПД;
  • в целях отправки почты;
  • для осуществления расчетов между провайдерами и их клиентами, являющимися владельцами ПД;
  • в рамках журналистской деятельности;
  • в соответствии с законами, регулирующими деятельность государственных и муниципальных служащих.

Исполнение требований ФЗ № 152 операторами ПД может контролироваться компетентными государственными органами. Изучим данный аспект подробнее.

Контроль над исполнением положений ФЗ № 152

Закон "О персональных данных" (152-ФЗ) устанавливает, что контроль над исполнением его положений должен осуществлять компетентный орган власти. Он функционирует на федеральном уровне, и потому, ему подчинены различные региональные ведомства. Данный орган власти имеет право:

  • получать у физлиц и организаций сведения, необходимые в целях реализации установленных для него полномочий;
  • проверять сведения, включаемые в уведомления об обработке ПД;
  • обращаться к другим государственным структурам за содействием в решении поставленных задач;
  • предписывать оператору ПД корректировать, блокировать или же уничтожать данные, которые признаны недостоверными или получены в обработку незаконным путем;
  • обращаться в судебные органы с исками в пользу защиты владельцев ПД, а также представлять их интересы в процессе слушаний;
  • взаимодействовать с органами, выдающими лицензии для операторов ПД, на предмет аннулирования соответствующих разрешительных документов в тех случаях, если лицо, осуществляющее обработку ПД, нарушает требования закона;
  • взаимодействовать с прокуратурой и силовыми структурами по вопросам защиты персональных данных граждан;
  • предлагать правительству РФ меры по совершенствованию законодательства в области ПД;
  • привлекать в административном порядке к ответственности тех лиц, что нарушают нормы ФЗ № 152.

Резюме

Таким образом, закон "О персональных данных" 152-ФЗ устанавливает детальный перечень правовых норм, защищающих оборот конфиденциальной информации о гражданах. Он определяет сущность ПД, статус их владельцев и операторов. Главная задача, которую решает федеральный закон "О персональных данных" - защита личной информации граждан от использования в интересах третьих лиц.

Положения соответствующего ФЗ предполагают, что человек сам должен давать согласие на обработку своих ПД, а оператор соответствующих данных получает право запрашивать ПД только в определенных законом случаях. Кроме того, рассматриваемый закон требует от лиц, использующих персональные данные граждан, обеспечения должного уровня их защиты.

Касательно первого критерия есть исключения - их тоже содержит закон. ФЗ «О персональных данных» - в достаточной мере прогрессивный нормативно-правовой акт, позволяющий вывести правовые механизмы защиты интересов граждан на новый уровень. Санкции за его нарушения могут быть предусмотрены весьма серьезные, поэтому операторам ПД: работодателям, сервисным службам и любым другим фирмам, работающим с личными данными гражданина - следует внимательно изучать положения соответствующего закона.

Гражданство

Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.

В соответствии со ст. 85.1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года - «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, - М., 1935, с. 326 - 339. ) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7 ), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.

Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».

Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил "Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.

В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются. Соответствующая квалификация осуществляемых действий по обработке персональных данных и обеспечение ее соответствия требованиям законодательства осуществляются оператором персональных данных при обеспечении (организации обеспечения) такой обработки. Корректность упомянутой квалификации и обеспечения обработки в конкретной ситуации проверяется уполномоченным федеральным органом при проведении контрольных мероприятий.

Товары и услуги

Из совокупности положений части 5 статьи 18 Федерального закона «О персональных данных» («при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона) и пункта 2 части 1 статьи 6 Федерального закона «О персональных данных» («обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей») следует, что обработка персональных данных в целях и в соответствии с требованиями, установленными ратифицированной Российской Федерацией Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера не противоречит законодательству Российской Федерации, регулирующему отношения в области защиты персональных данных. Кроме того, часть 5 статьи 18 152-ФЗ не ограничивают трансграничную передачу персональных данных граждан Российской Федерации.

Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации. Таким образом, если для составления отчетности, либо анализа информации, содержащей персональные данные, оператору требуется осуществить упомянутые формы обработки персональных данных, то такие действия должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации.

Трактовка в части первичного сбора является неверной по следующим основаниям. Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации.

В соответствии с положениями пункта 7 части 4 статьи 16 Федерального закона №149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Принимая во внимание также положения части 5 статьи 18 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» (вступающей в силу с 1 сентября 2015 года), устанавливающих, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считаем, что обработка ПД граждан Российской Федерации на территории другого государства может осуществляться исключительно в случаях, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», для которых имеется изъятие в части 5 статьи 18 152-ФЗ. Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные. Вместе с тем, Федеральный закон не содержит указаний на общий запрет обработки персональных данных граждан Российской Федерации с использованием баз данных, не находящихся на территории Российской Федерации.

В этой связи считаем, что обработка персональных данных граждан Российской Федерации посредством сбора, записи, систематизации, накопления, хранения, уточнения, извлечения может осуществляться с использованием баз данных, не находящихся на территории Российской Федерации в следующих случаях:

  • если такая деятельность подпадает под случаи, предусмотренные пунктами 2-4, 8 части 1 статьи 6 152-ФЗ;
  • если такая деятельность не подпадает под случаи, предусмотренные пунктами 2-4, 8 части 1 статьи 6 152-ФЗ, и на территории Российской Федерации находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации (в этом случае недопустимо нахождение за пределами территории Российской Федерации персональных данных, которые одновременно не находятся в пределах территории Российской Федерации).

Трансграничная передача персональных данных не запрещена при условии соблюдения требований, установленных в статье 12 Федерального закона №152-ФЗ. При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору в случае нарушения порядка и условий, установленных для договора-поручения.

В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей.

В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей. В существующих планах законопроектной деятельности не предусмотрена разработка проекта федерального закона, корректирующего это положение.

Вышеуказанные требования закона распространяются, в том числе, и на обработку оператором полученных в результате сбора персональных данных, а именно запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение.

Понимание правильное. 152-ФЗ термин «использование персональных данных» не раскрывает. В целях толкования под «использованием персональных данных» можно понимать действия с персональными данными, не относящиеся к иным формам обработки персональных данных, в том числе принятие решений на основе персональных данных, для осуществления которых был осуществлен сбор персональных данных (цель сбора персональных данных должна соответствовать цели использования персональных данных).

Понятие «оператор» содержится в статье 3 закона №152-ФЗ, под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Принимая во внимание, что статья 3 Закона №152-ФЗ не содержит исключений в части осуществления лицом отдельных операций по обработке персональных данных, а равно иных определений, отличных от оператора, лицо, определяющее цель обработки персональных данных, либо осуществляющее отдельные действия по обработке персональных данных в контексте положений закона №152-ФЗ является оператором, осуществляющим обработку персональных данных.

— Действительно ли не требуется повторное или дополнительное уведомление об обработке персональных данных после 1 сентября 2015 года. Нужно ли дополнительно сообщать, где находятся базы данных?

Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. В Федеральный закон №242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления в силу закона операторы, руководствуясь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

— Подпадает ли первоначальный сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных под требования части 5 статьи 18 Федерального закона №152-ФЗ?

Согласно требованиям части 5 статьи 18 Федерального закона №152-ФЗ при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. Основополагающим принципом законодательства в области персональных данных является принцип, согласно которому обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. В связи с этим внесение персональных данных в информационную систему персональных данных, используемую в целях, аналогичных сбору данных на бумажных носителях, следует рассматривать как единый процесс, реализация которого должна осуществляться в строгом соответствии с требованиями части 5 статьи 18 Федерального закона №152-ФЗ. Разделение указанного единого процесса на отдельные действия законодательством Российской Федерации в области персональных данных не предусмотрено. Таким образом, отдельные виды обработки персональных данных, предусмотренные частью 5 статьи 18 Федерального закона №152-ФЗ, в том числе сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных, должны осуществляться как единый процесс в правовом поле законодательной нормы, обязывающей хранить персональные данные на территории Российской Федерации.



Рубрика: Заболевания
Поделиться