Персональные данные содержащиеся в банках данных подлежат

Важные детали закона

В соответствии с действующим законодательством на территории России постоянно усиливаются требования, предъявляемые к различным государственным или частным компаниям, а также физическим лицам, занимающимся сбором, хранением, обработкой и передачей персональных данных. В соответствии с установленными органами все эти лица относятся к категории операторов персональной информации.

Статья 2. Цель настоящего Федерального закона

Нормы действующего законодательства не распространяются на те отношения, которые появляются в случае:

  • обработки персональной информации физическими лицами с целью удовлетворения каких-либо семейных или личных нужд без нарушения прав субъектов этой информации;
  • организации хранения, комплектации, учета и последующего применения документов Архивного фонда, в которых содержится персональная информация, а также прочей архивной документации в соответствии с нормами, установленными законом об архивном деле в России;
  • обработке личной информации, которая в соответствии с действующим законодательством относится к категории данных, составляющих государственную тайну;
  • обработке информации о физических лицах, которая должна быть зарегистрирована в государственном реестре частных предпринимателей, если данная процедура осуществляется в полном соответствии с нормами законодательства, регулирующими ведение физическими деятельностями в качестве частных предпринимателей;
  • предоставления уполномоченными сотрудниками государственных органов сведений о деятельности судов на территории России в соответствии с нормами Федерального закона №262, который был принят 22 декабря 2008 года.

Статья 4. Законодательство Российской Федерации в области персональных данных

В соответствии с указанными нормами закона, а также рядом подзаконных актов и документов, регулирующих работу государственных органов, операторы личной информации должны выполнять целый ряд требований, связанных с обеспечением защиты личной информации физических лиц (включая не только посетителей или клиентов, но и собственных сотрудников и прочих лиц), которая обрабатывается информационными системами компании, а также предпринять следующие меры:

  • отправить уведомление об обработке персональной информации в государственный орган в соответствии с нормами Федерального закона №152;
  • получить письменные согласия со стороны субъектов личной информации на обработку этих данных;
  • отправить уведомление субъекту личной информации о том, что его данные перестали обрабатываться и были уничтожены.

Статья 5. Принципы обработки персональных данных

Стоит отметить тот факт, что уведомление, в котором будет указываться факт обработки персональных данных, а также получение письменного согласия со стороны субъекта в соответствии с действующим законодательством не является обязательным в том случае, если обе стороны находятся в трудовых или каких-либо других договорных отношениях.

Главные понятия

Начиная с июля текущего года, в связи с различными нововведениями, внесенными в Федеральный закон №152, существенно увеличился риск получения всевозможных штрафных санкций со стороны Роскомнадзора для тех компаний, которые тем или иным образом нарушают правила обработки персональных данных пользователей.

Статья 6. Условия обработки персональных данных

Стоит отметить тот факт, что сама по себе данная тема является достаточно актуальной для современной политике, и на основании этого произошло довольно неприятное для многих организаций событие в виде упрощения процедуры наложения штрафов вместе с существенным усилением ответственности.

Статья 8. Общедоступные источники персональных данных

В соответствии с действующим законодательством Роскомнадзор может выписывать операторам частной информации штрафы, не привлекая сотрудников прокуратуры, причем размеры этих санкций могут быть достаточно крупными, и в особенности это затронуло лиц, которые работают, оформившись как частный предприниматель или юридическое лицо.

К примеру, если осуществляется сбор адресов электронной почты без согласия их собственников, юридическим лицам придется заплатить до 75 000 рублей, в то время как физические лица могут отделаться всего несколькими тысячами.

Таким образом, физические лица несут менее серьезную ответственность, но к многим крупным сайтам может возникнуть множество вопросов, связанных с незаконным ведением предпринимательской деятельности, если данный ресурс будет монетизирован. Таким образом, Роскомнадзор одновременно осуществляет выявление незаконных предпринимателей с наложением на них соответствующих штрафных санкций.

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

Ключевой вопрос для преимущественного большинства предпринимателей в данном случае заключается в том, что именно относится к категории персональных данных, которые будут подпадать под этот закон: номер телефона, ФИО, адрес регистрации и паспортные данные или же просто адрес электронной почты, имя или, возможно, даже никнейм.

Скачать 152-ФЗ «О персональных данных»

Данный вопрос на сегодняшний день является достаточно актуальным практически к любому вебмастеру, работающему в рунете, так как в преимущественном большинстве случаев сайты собирают имена, куки и адреса электронной почты.

Проблема заключается в том, что на сегодняшний день отсутствует однозначная трактовка, что и создает определенную путаницу, так как есть свобода действий в той ситуации, если сотрудники Роскомнадзора захотят наложить штраф на большое количество собственников сайтов.

В то же время многих людей представители Роскомнадзора успокоили, выпустив отдельное обращение, в котором указывалось, что к этой информации относятся только те данные, которые позволяют безошибочно идентифицировать личность определенного гражданина, то есть отдельно взятый номер телефона или же адрес электронной почты к данной категории не относятся.

Статья 10. Специальные категории персональных данных

Таким образом, эксперты указывают на то, что, пока конкретной трактовки действующего законодательства нет, предпринимателям стоит минимизировать свои риски и, как минимум, устранить те нарушения, за которые могут быть взысканы самые крупные суммы штрафов.

Детали содержания

Для того, чтобы избавиться от преимущественного большинства проблем, которые могут возникнуть при обработке персональной информации, стоит разобраться во всех деталях содержания нового законодательства.

Кто попадает под его действие

В статье 1 Федерального закона №152 определяется область, в которой будет действовать данный закон.

В частности, там указано, что данная норма закона будет регулировать отношения, касающиеся обработки частной информации, которая осуществляется:

  • субъектными и федеральными органами государственной власти;
  • другими государственными службами;
  • органами местного самоуправления, которые не входят в государственную систему органов местного самоуправления;
  • физическими и юридическими лицами, которые используют средства автоматизации.
  • физическими и юридическими лицами, которые не используют средства автоматизации, если проведение необходимых операций, связанных с обработкой личной информации без применения такого оборудования, соответствует характеру операций, которые проводятся с персональными данными в случае использования данных средств.

Статья 11. Биометрические персональные данные

Таким образом, под требования Федерального закона на сегодняшний день подходят любые коммерческие и государственные компании, которыми осуществляется обработка в информационных системах персональной информации физических лиц вне зависимости от их формы собственности и размера.

Условия обработки данных

Процедура обработки личной информации в соответствии с действующим законодательством может осуществляться операторами только после того, как ими будет получено соответствующее согласие со стороны субъектов этих данных, за исключением тех ситуаций, которые предусмотрены в статье 6 Федерального закона 152.

Таким образом, согласие субъекта личных данных не является обязательным в следующих ситуациях:

  • процедура обработки личной информации граждан осуществляется в соответствии с федеральным законодательством, регулирующим цель ее проведения, условия получения данных сведений и круг субъектов, чья информация будет обрабатываться, а также определяющим полномочия оператора;
  • процедура обработки личной информации граждан осуществляется с целью реализации условий договора, когда в качестве одной из сторон выступает рассматриваемый субъект;
  • процедура обработки личной информации граждан осуществляется для получения статистических или же каких-либо других научных данных при условии обязательного обезличивания собранных сведений;
  • обработка личной информации требуется для того, чтобы защитить здоровье, жизнь или же какие-либо жизненно важные интересы субъекта этих сведений, если нет возможности получить согласие со стороны указанного лица;
  • процедура обработки личной информации граждан осуществляется для того, чтобы обеспечить нормальную доставку почтовых отправлений соответствующими компаниями, для реализации операторами электронной связи расчетов с пользователями за предоставленные им услуги связи, а также для рассмотрения каких-либо претензий, поданных пользователями;
  • процедура обработки личной информации граждан осуществляется для ведения профессиональной журналистской деятельности, а также в научной, литературной или же какой-либо другой творческой деятельности при условии отсутствия всевозможных нарушений прав и свобод рассматриваемого субъекта;
  • обрабатывается личная информация, которая публикуется в соответствии с действующим федеральным законодательством, включая персональные данные лиц, которые замещают те или иные государственные должности, а также личные данные кандидатов, планирующих занять всевозможные муниципальные или государственные должности.

Особенности обработки специализированной персональной информации, а также биометрических данных регулируются нормами, прописанными в статьях 10 и 11 Федерального закона №152.

Если в соответствии с составленным соглашением оператор поручает обработку личной информации пользователей другому лицу, в тексте этого документа должна обязательно присутствовать обязанность обеспечения этим лицом конфиденциальности обрабатываемых сведений и безопасности персональных данных в процессе обработки.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

Основные права субъектов

Субъект персональных данных имеет полное право на то, чтобы получать всю необходимую информацию об операторе, включая его месторасположение, наличие у него персональных сведений, которые относятся к соответствующему субъекту, а также на то, чтобы получить возможность ознакомиться со всей этой информацией.

Помимо этого, субъект может потребовать у оператора уточнить свою личную информацию, заблокировать ее или уничтожить в том случае, если она является неполной, недостоверной, устаревшей или же полученной незаконным путем, а также предпринимать любые меры, направленные на защиту своих прав в соответствии с действующим законодательством.

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

Субъект персональных данных должен получить всю необходимую информацию об их наличии у оператора в доступной форме, причем в полученных сведениях должна отсутствовать персональная информация, которая относится к каким-либо другим субъектам.

Субъект персональных данных должен по первому требованию получить доступ к этим сведениям, подав соответствующее обращение самостоятельно или с помощью законного представителя.

В запросе должен присутствовать номер ключевого документа, которым удостоверяется личность рассматриваемого субъекта персональных данных или же его законного представителя, а также сведения о том, когда был выдан указанный документ, каким органом осуществлялось оформление, а также личную подпись субъекта. Направление запроса может осуществляться в электронной форме с указанием электронной цифровой подписи.

Если используются исключительно автоматизированные средства обработки персональной информации, запрещается принятие каких-либо решений, которые порождают всевозможные юридические последствия, затрагивающие субъекта этих сведений, или же каким-либо другим образом затрагивающие его законные интересы и права, за исключением ситуаций, предусмотренных действующим законодательство.

Статья 18. Обязанности оператора при сборе персональных данных

Сделать это можно будет только в том случае, если субъект предоставит соответствующее согласие в письменном виде, или же если ситуация предусматривается нормами федерального законодательства.

Оператор должен подробно объяснить субъекту персональных данных порядок, в соответствии с которым применяются решения при использовании только автоматизированных средств обработки, а также возможные юридические последствия вынесенного решения.

Помимо этого, пользователю должна предоставляться возможность возражения против этого решения, а также разъясняться порядок, в соответствии с которым будет обеспечиваться защита прав и законных интересов со стороны указанного лица. В случае отправки возражения оператор должен будет рассмотреть его в соответствии с установленными требованиями на протяжении семи рабочих дней с даты получения, после чего уведомить отправителя о результатах.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Если субъект личной информации посчитал, что оператор обрабатывает указанные данные с нарушением норм, установленных действующим законодательством, или же каким-либо другим образом нарушает его свободы и права, ему предоставляется возможность обжаловать действия организации или частного лица в уполномоченном государственном органе, который занимается обеспечением защиты прав граждан, или же в судебных органах.

Помимо этого, у субъекта персональной информации есть право на то, чтобы обеспечивать защиту своих законных интересов и прав, включая компенсацию морального вреда или убытков путем проведения судебного разбирательства.

Порядок использования

В соответствии с действующим законодательством руководитель компании, имеющей статус оператора персональных данных, обязательно должен утвердить порядок, в соответствии с которым регулируется использование личной информации.

Требуемые нормы прописаны в локальном документе компании, регулирующем защиту данных. Они должны соответствовать требованиям, прописанным в правовых актах, а также Федеральном законе №152.

Оператор личных данных представляет собой муниципальный или правительственный орган, а также физическое или юридическое лицо, которым осуществляется обработка личных данных, а также определение целей использования этой информации.

Обязанности оператора включают в себя:

  • в процессе сбора личных данных оператор должен предоставить по просьбе гражданина информацию о том, чья информация была получена, а также данные, прописанные в части 7 статьи 14 Федерального закона №152;
  • если гражданин должен предоставлять свои личные данные в соответствии с действующим законодательством, оператор должен будет подробно ему объяснить, что в случае отказа он может сталкиваться с определенными юридическими последствиями своего решения;
  • если личная информация, полученная оператором с целью обработки, не была предоставлена собственником, компания должна будет предоставить пользователю: собственные адрес и ФИО, цель обработки личной информации, перечень нормативных актов, на основании которых осуществляется данная процедура, права гражданина, чья информация была получена, а также источник, с помощью которого были получены нужные сведения.

В соответствии с нормами Федерального закона №152 оператор должен назначить лицо, несущее ответственность в определенной компании, занимающейся организацией обработки полученных материалов. Уполномоченное лицо получает указания, связанные с последующими действиями оператора.

Последние изменения

Так как законодательные акты достаточно часто подвергаются определенным корректировкам, некоторые такие изменения затронули Федеральный закон №152. По причине того, что в законную силу вступил Федеральный закон №230, что произошло 3 июля 2016 года, перетерпели изменения условия, на которых осуществляется анализ личных данных.

В первую очередь, изменилась статья 3 этого закона, которая описывает основные понятия, использующиеся в акте, включая оператора, персональные данные, обработку личной информации, а также предоставление и распространение личных данных. В последней редакции указанная статья не была подвержена корректировкам.

В статье 5 закона указываются принципы, на основании которых осуществляется анализ персональных данных. Отдельное внимание уделяется тому, что обработка личной информации может осуществляться только в соответствии с действующим законодательством и объединять базы данных с личной информацией отдельных граждан на сегодняшний день запрещено. В последней редакции в эту статью не было внесено каких-либо корректировок.

В статье 7 Федерального закона №152 говорится о том, что операторы и прочие лица, которые получили доступ к личной информации и несут ответственность за ее хранение, не должны ни в коем случае распространять эти данные без согласия владельцев. Изменений в статью внесено не было.

В статье 9 говорится информация о том, что субъект должен предоставлять письменное согласие на обработку своей личной информации, а также указываются сведения о том, каким образом составляется этот документ. В последней редакции не была изменена. В статье 19 указываются меры, требующиеся для обеспечения защиты личных данных в процессе их обработки.

Как снизить риск штрафа

Чтобы сократить возможные риски, нужно:

  • хранить всю собираемую информацию только на территории России (определяется географическое месторасположение сервера), то есть выбрать хостинг, расположенный в РФ;
  • оповещать всех пользователей обо всех мерах безопасности, которые будут использоваться для обеспечения защиты при хранении личных данных;
  • сделать так, чтобы ссылка на страницу, на которой указывается политика конфиденциальности, могла использоваться с любой другой страницы сайта;
  • обязательно сделать так, чтобы пользователь перед тем, как отправить личные данные через любую форму, подтверждал свое согласие с политикой конфиденциальности;
  • не собирать какие-то лишние данные с помощью всевозможных форм;
  • обеспечить надежное хранение информации.

Информационная безопасность становится все более актуальной темой, однако разобраться в ее тонкостях по-прежнему непросто. В предыдущей статье, ознакомиться с которой можно на странице www.kommersant.ru/doc/2961443, мы рассказали о том, почему виртуальные сервера позволяют обеспечить наиболее полную защиту данных.

Но остался нераскрытым вопрос, кто именно считается оператором персональных данных и с какого момента необходимо получать лицензию на обработку такой информации?

С какими данными не разрешается работать без лицензии?

Персональные данные клиентов, так или иначе, запрашиваются практически во всех сферах — например, даже для записи в парикмахерскую клиенту необходимо предоставить свой номер телефона. Однако если такая простейшая личная информация передается компании лишь на хранение, то получать какие-либо лицензии здесь необязательно.

Но вот если речь идет об обработке более важной информации — к примеру, паспортных данных клиента в компании мобильной связи — то компании уже необходимо признать себя оператором персональных данных. Для этого достаточно уведомить Роскомнадзор об этом аспекте своей деятельности.

Особенно нужно подчеркнуть два момента. Во-первых, клиент всегда должен быть осведомлен о том, что предоставляет личную информацию, поскольку за ним всегда остается право потребовать удаления всех сведений о себе из любой базы данных. А во-вторых, если компания, работающая с личной информацией, осуществляет ее хранение и обработку через некое третье юридическое лицо (например, использует сторонний виртуальный сервер), то это лицо также должно обладать необходимыми лицензиями.

В любом случае, ответственность за сохранность личных данных всегда остается на той организации, которой клиент непосредственно их предоставил.

Конфиденциальные данные — особый уровень защиты

Существует особая категория персональных данных — конфиденциальные. Любая компания, работающая с такой информацией, должна обеспечить ее всестороннюю защиту, а также получить дополнительные лицензии от ФСТЭК и в некоторых случаях от ФСБ.

Крупные компании хранят данные преимущественно на vds- и vps-серверах. Однако им необходимо помнить, что сертифицированная защита должна быть установлена не только на физическом оборудовании, но и отдельно на виртуальных машинах, используемых для непосредственной работы с данными.

Для работы с персональными данными необходима лицензия

С 2007 г. действует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», и все организации при обработке персональных данных работников или иных физлиц (например, контрагентов) должны действовать в строгом соответствии с ним. До 1 июля 2011 г. компании должны привести свои информационные системы данных в соответствие с требованиями закона. Это, в частности, означает, что нужно получить лицензию на осуществление деятельности по технической защите данных либо возложить эти функции на специализированную организацию, имеющую такую лицензию. В противном случае могут привлечь к ответственности.

Чем объясняется необходимость лицензии

Персональные данные гражданина на основании Указа Президента РФ от 06.03.97 № 188 включены в перечень сведений конфиденциального характера. Обеспечение же защиты прав и свобод человека и гражданина при обработке его персональных данных декларировано как цель Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

В Законе № 152-ФЗ не говорится, что для работы с персональными данными необходима лицензия. В отношении лицензии в нем лишь упоминается, что орган по защите прав субъектов персональных данных (физических лиц) имеет право инициировать приостановление действия или аннулирование лицензии (п. 6 ч. 3 ст. 23).

О том, что лицензия при работе с персональными данными действительно нужна, свидетельствуют положения Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности». Согласно подп. 11 п. 1 ст. 17 данного закона подлежит лицензированию деятельность по технической защите конфиденциальной информации.

С 1 июля начинает действовать новый Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», который также содержит требование о необходимости лицензировать техническую защиту информации (п. 5 ч. 1 ст. 12 вступает в силу с 3 ноября 2011г.)

Техническая защита данных

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе по техническим каналам, а также от специальных воздействий на такую информацию в целях уничтожения, искажения или блокирования доступа к ней. Об этом говорится в Положении о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства РФ от 15.08.2006 № 504.

Требованиями и одновременно условиями осуществления деятельности по технической защите являются:

наличие:

  • специалистов в области технической защиты информации;
  • помещений для данной линцензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации;
  • производственного, испытательного и контрольно-измерительного оборудования, прошедшего метрологическую поверку (калибровку), маркирование и сертификацию;
  • нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации (перечень установлен Федеральной службой по техническому и экспортному контролю);

использование:

  • автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, аттестованных и (или) сертифицированных по требованиям безопасности информации;
  • предназначенных для данной лицензируемой деятельности программ для ЭВМ и баз данных на основании договора с их правообладателем.

Лицензирование указанной деятельности осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России).

Использование персональных данных с учетом требований Закона № 152-ФЗ о конфиденциальности обязывает принимать названные меры по их технической защите.

Итак, лицензия нужна. Но есть альтернатива.

Привлечение сторонней организации

В данной ситуации есть выход: не получать лицензию, а заключить договор на обработку персональных данных с организацией, у которой лицензия уже имеется. Такую возможность предоставляет п. 1.3 Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом ФСТЭК России от 05.02.2010 № 58. Для выбора и реализации методов и способов защиты данных в информационной системе можно привлечь организацию, имеющую оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Подобное положение содержится в ч. 4 ст. 6 Закона № 152-ФЗ, где предусмотрено, что лицо, занимающееся обработкой персональных данных, вправе на основании договора поручить это другому лицу. Существенным условием такого договора будет обязанность соответствующей организации обеспечить конфиденциальность персональных данных и их безопасность при обработке.

Ответственность за отсутствие лицензии

За осуществление деятельности без лицензии компанию и ее должностных лиц могут привлечь к ответственности, причем не только к административной, но и к уголовной.

Право привлекать к административной ответственности за нарушение Закона № 152‑ФЗ принадлежит Роскомнадзору (уполномоченный орган по защите прав субъектов персональных данных). Кроме того, он уполномочен направлять в правоохранительные органы, в том числе прокуратуру, другие материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью (п. 7, 9 ч. 3 ст. 23 Закона № 152-ФЗ).

Административная ответственность по ст. 13.11 КоАП РФ предусматривает штраф для должностных лиц от 500 до 1000 руб., юридических — от 5000 до 10 000 руб.

К уголовной ответственности за работу с персональными данными без лицензии могут привлечь должностных лиц организации, если в результате работы причинен существенный вред правам и законным интересам владельца этих данных. В этой ситуации применяется ст. 171 «Незаконное предпринимательство» УК РФ.

Данной нормой предусмотрена ответственность, в частности, за осуществление предпринимательской деятельности без лицензии в случаях, когда она обязательна, если деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере. В качестве наказания налагается штраф в размере до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательные работы на срок от 180 до 240 часов, либо арест на срок до шести месяцев.

Порядок проведения проверок

Проверки соответствия обработки персональных данных требованиям законодательства в области персональных данных проводятся согласно

Административному регламенту, утвержденному приказом Роскомнадзора от 01.12.2009 № 630. Назовем его основные положения.

Роскомнадзор и его территориальные органы проводят плановые и внеплановые проверки. Плановые проводятся согласно графику на текущий календарный год. Основанием для их проведения является госрегистрация в качестве юридического лица или индивидуального предпринимателя.

О плановой проверке организацию должны уведомить не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Роскомнадзора или ее территориального органа почтовым отправлением с уведомлением о вручении или иным доступным способом.

Внеплановые проверки, например, проводятся:

  • по истечении срока исполнения ранее выданного по итогам плановой проверки предписания об устранении выявленного нарушения;
  • при поступлении в органы Роскомнадзора заявлений о фактах возникновения вреда или угрозы жизни, здоровью граждан, о каком-либо нарушении прав и законных интересов граждан при обработке их персональных данных.

О внеплановой выездной проверке организацию должны уведомить не менее чем за 24 часа до начала ее проведения любым доступным способом. Исключение составляет случай, когда причинен или причиняется вред жизни, здоровью граждан. Тогда компанию предварительно не уведомляют.

График плановых проверок вместе с информацией о порядке их проведения размещается на официальном сайте Роскомнадзора www.rsoc.ru.

Концепция концепцией, а лицензию никто не отменял

У представителей бизнеса появилась дополнительная проблема. Заметим, что это не вполне согласуется с проводимой в России уже не первый год административной реформой, в рамках которой правительство декларирует сокращение административных барьеров для развития предпринимательства. О стремлении к этой цели свидетельствует замена лицензирования для отдельных видов деятельности обязательным страхованием ответственности. Об этом, в частности, говорится в Концепции долгосрочного социально-экономического развития Российской Федерации на период до 2020 г. (утверждена распоряжением Правительства РФ от 17.11.2008 № 1662-р).

Не исключено, что проблему с помощью подобных механизмов решат на законодательном уровне. Но пока направленных на это законопроектов в Госдуму не поступало.

Соблюдаем правила

Обрабатывая персональные данные, нужно соблюдать определенные правила:

  • Получить согласие от субъекта персональных данных, если данные вы получаете непосредственно от пользователя.
  • Использовать данные только в целях, указанных в согласии на обработку.
  • Разместить на сайте Политику обработки персональных данных.
  • Уведомить Роскомнадзор о начале обработки, если вы не попадаете под исключения, предусмотренные законом.
  • Выполнить необходимые организационные и технические меры по защите персональных данных.

Согласие на обработку персональных данных – один из самых важных документов в обеспечении правомерной обработки персональных данных.

Согласие субъекта персональных данных на их обработку, составленное в письменной форме, должно содержать сведения, которые прямо предусмотрены законом.

Помимо всего прочего должна быть указана цель обработки, полный перечень данных, способы обработки ПДн, а также срок, в течение которого будет обрабатываться массив данных.

Одной из распространенных ошибок является использование усеченной формы согласия на обработку ПДн. Например: «Я даю согласие на обработку личных данных». Кем, каких данных и на сколько – непонятно, а значит, такая форма не соответствует законодательству.

Согласие может быть составлено в письменной форме, но для онлайн-бизнеса такой вариант не подходит.

В этом случае возможно получение согласия путем использования простой электронно-цифровой подписи. К ней можно отнести проставление чек-бокса либо введение кода, полученного по SMS.

Стоит обратить внимание, что наличие автоматически проставленной галочки запрещено, так как в этом случае пользователь не совершает никаких действий и его согласие доказать не удастся.

А вот получения согласия на обработку ПДн по телефону закон не предусматривает (это подтвердил и Роскомнадзор в одном из своих разъяснений).

Если ваша организация получает ПДн не от субъекта, а от третьего лица (как, например, во взаимоотношениях курьерской компании и интернет-магазина, который передает данные покупателя для доставки товара), необходимо получить от третьего лица подтверждение правомерности передачи данных.

Если у вас остались вопросы, вы всегда можете написать нам, и мы обязательно ответим.

Реклама. Как продвинуть проект и не получить штраф?
Судебная практика. Дело о защите патентных прав

Согласие работника на обработку персональных данных

Основная часть персональных данных передается работником во время оформления на работу, их обработка (получение, передача, хранение и т.д.) регулируется трудовыми отношениями (N 152-ФЗ «О персональных данных»).

Когда нет необходимости брать согласие:

  • Обработка данных осуществляется в ходе исполнения трудовых обязательств (например, при предложении вакантной должности);
  • Если работа предполагает периодические медицинские осмотры, то данные о здоровье работника также считаются открытыми;
  • Если нет возможности получить согласие при непосредственной угрозе жизни человека (например, он находится без создания).

В остальных случаях обработку персональных данных возможно выполнять только в рамках письменного согласия-заявления, которое содержит пункты:

  1. ФИО субъекта, его адрес, номер паспорта, дату его выдачи и сведения о выдавшем его органе;
  2. ФИО и адрес оператора;
  3. Перечень получаемых данных с указанием цели, для которой происходит их сбор и обработка;
  4. Срок действия согласия.

Проверить контрагента по кредитной истории

Персональные данные содержащиеся в банках данных подлежат

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *