Еще раз о персональных данных...

28 января 2011

В России на данный момент действует основной закон в данной сфере — Федеральный закон «О персональных данных».
Что относится к понятию «персональные данные»?

Ст. 3 Федерального закона «О персональных данных»
персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
К “другой информации” может быть отнесены, например, серия и номер паспорта, ИНН и пр.

Кто может обрабатывать персональные данные?
Ст. 3 Федерального закона «О персональных данных»
• оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
• обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных
• использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

Как именно может происходить сбор и обработка персональных данных?
Ст. 6 Федерального закона «О персональных данных»
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Исходя из вышесказанного, случаи, когда ваше согласие на обработку персональных данных не требуется, – строго регламентируются законодательством.
В целом, обычно согласие субъект может давать, а может и не давать. Но есть ситуации, когда вы будете обязаны предоставить свои персональные данные: это происходит в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. (ст. 9 Федерального закона «О персональных данных»)

Письменное согласие на сбор персональных данных
В тех случаях, когда требуется письменное согласие, к нему также предъявляются следующие требования:
Ст. 9 Федерального закона «О персональных данных»
Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
При этом обработка некоторых персональных данных не допускается, например, обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных ч. 2 ст. 10 Федерального закона «О персональных данных»:
2. Обработка указанных в ч. 1 ст. 10 Федерального закона «О персональных данных» специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ “О Всероссийской переписи населения”;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

Права субъектов персональных данных
Субъекты персональных данных имеют определенные права: при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
Ст. 15 Федерального закона «О персональных данных»
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
(На официальном сайте Роскомнадзора имеется возможность заполнения электронного уведомления об обработке персональных данных).
Таким образом, сбор персональных данных в магазинах и ресторанах – разрешен, но только при наличии письменного согласия от гражданина, а в некоторых случаях – с согласия соответствующего государственного органа, отвечающего за контроль над обработкой персональных данных (Федеральная служба в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Исключения, когда данное уведомление необязательно, также устанавливаются законом (ст. 22 Федерального закона «О персональных данных»).
На официальном сайте Роскомнадзора можно также посмотреть реестр операторов, осуществляющих обработку персональных данных.

НУЖНО ЗНАТЬ

Кстати, в соответствии с данным законом (статья 8), Сведения о населении, содержащиеся в переписных листах, являются информацией ограниченного доступа, не подлежат разглашению или распространению и используются только в целях формирования официальной статистической информации.
Обработка сведений о населении, содержащихся в переписных листах, осуществляется в условиях, обеспечивающих их защиту от несанкционированного доступа и предотвращение их хищения, утраты, подделки или иного искажения.


БИЗНЕС И ЗАКОН "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
Как известно, 1 января 2011 года закончена отсрочка по вступлению в силу санкций за неисполнение вступившего в силу 26 января 2007 г. Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных". Практика работы с малым бизнесом показала, что подавляющее большинство субъектов самостоятельно пытаются решить весь спектр вопросов связанных с 152-ФЗ. Однако, незнание законодательства и отсрочка санкций за его неисполнение породили уверенность среди руководителей в том, что требования нормативно-правовых актов о защите персональных данных можно не исполнять.
ФЗ-152, ст. 24 – Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Ответственность за неисполнение 152-ФЗ «О персональных данных» предусмотрена Кодексом об административных правонарушениях (КоАП) в следующих статьях:
КоАП, ст. 13.11 – Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – до 10.000 руб.
КоАП, ст. 13.12 – Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации – до 20.000 руб. + конфискация.
КоАП, ст. 13.13 – Занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна) – до 20.000 руб. + конфискация.
КоАП, ст. 19.4 – Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль) - 4.000 руб.
КоАП, ст. 19.5 – Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) – до 20.000 руб. + возможная дисквалификация должностного лица до 3-х лет.
Таким образом, законодательством определены жесткие требования государства к субъектам малого и среднего бизнеса по защите персональных данных, так и столь же жесткие меры наказания за неисполнение этих требований.
Руководители малых и средних предприятий при рассмотрении предложений по исполнению требований закона о персональных данных №152-ФЗ в обязательном порядке должны иметь в виду, что все программно-технологические решения по защите персональных данных должны быть в обязательном порядке сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК России) и обеспечены сервисным сопровождением.

  Вернуться к списку новостей.