Что является специальной категорией персональных данных. Понятие и виды персональных данных

Задача современного мира — обеспечить защиту персональных данных от внутреннего нарушителя частной информации.

Что представляют собой подобные сведения и как проводится их защита?

Защита и прием персональных данных проводится в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных»

Персональные данные

Персональные сведения — существенная информация, относящаяся к конкретному лицу.

Персональная информация:

  • ФИО конкретного лица.
  • Полные год, месяц , а также полная дата рождения.
  • Адрес подобного физического лица , а также положения в семье и в обществе.
  • Образование подобного лица , основная профессия и уровень доходов.
  • Другая информация , которая содержится в действующем на территории страны федеральном законодательстве.

К другой информации относятся нижеперечисленные данные:

  • Паспортные данные физического лица.
  • Разнообразные финансовые ведомости.
  • Медицинская карта человека.
  • Биометрия.
  • Иная информация , которая, так или иначе, носит какой-либо идентифицирующий характер.

Общедоступные источники предоставления информации:

  • Адресные книги.
  • Всевозможные списки.
  • Иное обеспечение.

В подобные источники включается информация о конкретном лице, но сведения о человеке вносятся только с письменного согласия самого лица.

Для внесения требуются данные:

  • ФИО человека.
  • Год и точное место рождения.
  • Полный адрес регистрации или же прописки.
  • Абонентский номер конкретного гражданина.
  • Иная информация , которую согласен предоставить человек.

Иные данные относятся к специализированной категории ограниченного доступа.

По этой причине сведения должны быть надежно защищены действующим на территории нашей страны законом.

При проведении формирования требований по безопасности систем, данные подразделяются сразу на четыре категории.

Установленные категории данных

Ниже определено количество категорий.

  • Общедоступные.
  • Специальные.
  • Категории, подвергающиеся обработке непосредственно в информационных системах.
  • Биометрические.
  • Какие-либо иные категории.

Описание категорий


Источники общих данных — адресные книги, справочники и прочие общедоступные способы получения информации.

Такая информация исключается из источников по решению суда и других уполномоченных органов.

  • Специальные данные — сведения о национальности человека, расы и взглядов на политическую деятельность.

Подобную информацию получают только в ситуации, когда человек самостоятельно подписывает согласие на проведение установленной процедуры обработки персональных сведений.

  • Личные данные, обрабатывающиеся в специализированных информационных системах .

Определяются отдельные категории:

  1. первые касаются национальной и расовой принадлежности, а также политических взглядов;
  2. вторая категория позволят провести идентификацию человека и получить о нем информацию;
  3. данные, позволяющие по каким-либо сведениям провести идентификацию субъекта;
  4. общедоступные данные.

В разнообразных системах проводится обработка личных сведений, в среднем, в одно и то же время проводится обработка данных примерно ста тысяч человек.

  • Последний тип данных – биометрический .

Биометрический тип характеризуется данными об особенностях физиологии конкретного человека. Благодаря сведениям о физиологии есть возможность легко установить личность каждого определенного человека.

Сведения должны обрабатываться только при наличии личного согласия человека на совершение такого действия. Без согласия физического лица процедуру использования сведений можно проводить только на основании вынесенного решения суда.

Сюда относятся фото и видео субъекта.

Права субъекта

В качестве субъекта выступает определенное конкретное лицо , которое идентифицируется по внесенным им данным.

Это фактическое лицо, нуждающееся в защите на основании текущего закона.

Перечень прав субъекта:

  • Субъект получает неограниченный доступ к внесенным в программы или документы данным.

Доступ заключается в том, что субъект имеет право на грамотное предоставление сведений о непосредственном операторе данных.

Человек может потребовать от оператора частичное или полностью заблокировать уточнение имеющихся в программе данных.

В программе может содержаться:


  • Обработка в ситуации , напрямую касающейся продвижения различного товара, выполнения работ или агитации, должна проводиться с согласия самого субъекта.
  • Физические лица самостоятельно принимают объективное решение в ситуации , когда их данные будут обрабатываться автоматизированным способом .

То есть, при проведении обработки персональных данных, субъект в обязательном порядке должен дать свое письменное согласие по форме на проведение действий, касающихся сведений.

Случаи, при которых письменное согласие требуется, четко оговариваются в текущем законодательстве.

  • Субъект обжалует действие или же напротив бездействие своего фактического оператора, занимающегося обработкой предоставленных ему данных.

Это право действует, когда человек по существенным причинам полагает, что оператор проводит процедуру обработки внесенных данных неправильным образом.

Человек может обратиться в профильный орган, занимающийся защитой прав существующих субъектов.

Каждый субъект имеет существенное право на возмещение убытков и компенсации фактического морального вреда, путем непосредственного обращения в суд с письменным исковым заявлением.

Оператор персональных данных

В качестве непосредственного оператора признается специализированный орган государства.

Организует требующуюся обработку, а также определяет фактические цели и содержание обработки данных.

Каждая организация, которая осуществляет сбор, хранение или уточнение имеющихся данных, является своего рода зарегистрированным оператором.

Некоторые организации, особенно, гсоударственные, по роду своей деятельности собирают и обрабатывают данные, принадлежащие их клиентам .

Оператор имеет полное право не уведомлять о проведенной обработке Роскомнадзор.

Оператор использует сведения без какого-либо уведомления:

  • Субъекта с непосредственным оператором связывают трудовые взаимоотношения.
  • Оператор получил личную информацию на основании зарегистрированного договора, одной из сторон — субъект.

Без предупреждения информация не распространяется и не передается посторонним третьим лицам.

  • Субъекты относятся к участникам общественных движений , а также религиозных организаций.
  • Данные полностью общедоступны.
  • Сведения содержат только ФИО субъекта.
  • Информация требуется только для однократного доступа субъекта на территорию, на которой находится оператор.

Обязанности оператора:

  • Контроль за безопасностью обработки данных.
  • Соблюдать уведомительный характер проведения обработки полученных персональных данных.
  • При получении личных данных, оператор должен получить письменное согласие субъекта на проведение грамотной обработки.
  • По первому требованию оператор предоставляет субъекту имеющиеся на текущий момент времени данные и вносит изменения.
  • Оператор предоставляет доказательство , что он получил согласие от субъекта на обработку данных.
  • По запросу специализированного органа, оператор дает имеющуюся информацию об определенном субъекте.

Обработка персональных данных

Основные принципы, на основании которых производится обработка принятых данных:

  • Оператор определяет цели в соответствии со своими действующими полномочиями.
  • Характер обработки соответствует поставленным целям.
  • Нельзя объединять персональные данные , представленные для целей разного направления.
  • По достижении поставленных целей персональная информация удаляется.

Два основных способа обработки персональных данных: автоматизированный и неавтоматизированный.

  • Неавтоматизированный метод обработки сведений — без использования средств автоматизации .

Запрещается фиксировать на одной и том же материальном носителе сведения, цели обработки несовместимы.

  • Второй способ обработки – автоматизированный.

Комплекс предоставляемых личных сведений подвергается обработке при помощи автоматизированных систем.

При этом операции проводятся полностью с использованием автоматизированных процессов или частично.

Распространено использование частичного способа, так как это позволяет проводить обработку самостоятельно самим оператором, а хранить ее при помощи специальных программ.

Как обеспечивается безопасность персональных сведений?

В соответствии с законодательством, оператор должен принимать необходимые меры для защиты сведений от неправомерного или же ненамеренного доступа к ним.

Установление защиты достигается:

  • Исключение умышленного доступа к имеющимся данным.
  • Исключение случайного доступа к принятым данным.

Обязанность по обеспечению безопасности хранения информации полностью ложится на плечи оператора обработки данных.

По этой причине каждый оператор должен проводить следующие ключевые мероприятия:

  • Защищать информацию от несанкционированного доступа.
  • Обнаружить факт несанкционированного доступа к принятым личным данным.
  • Восстанавливать поврежденные персональные сведения.
  • Защищать вверенные ему сведения.

Контроль и надзор за выполнением требований закона

За выполнением требований законодательства следит Роскомнадзор.

Роскомнадзор имеет право на:

Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц - мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис - ФЗ № 152 от 27.01.2006 г. Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД - физическое лицо. Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту. Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим. Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты - все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за

Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:

  1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
  2. содержатся в архивных документах;
  3. составляют гостайну;
  4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника. Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества. Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

  • обезличенные;
  • общие;
  • биометрические;
  • специальные.

Общие персональные данные

Общие персональные данные - это основная информация о человеке. К ним относят:

Обработка персональных данных в организации

Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой

  • место прописки и проживания;
  • паспортные данные;
  • образование;
  • контактные данные;
  • сведения о работе;
  • размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными . Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД - обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой .

Биометрические ПД

Биометрические данные - это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

  • адресные книжки;
  • справочники;
  • реестры;

Общедоступная информация, которая считается персональными данными, - это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data . Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

Все интересующие вопросы можно задать в комментариях к статье

Когда компания приступает к обработке данных своих клиентов или сотрудников, нужно соблюсти требования к такой обработке. В частности, в отношении различных категорий персональных данных. Какие категории выделяют в законе.

Читайте в нашей статье:

Персональные данные: категории данных

Когда речь идет об операциях с персональными данными, категории персональных данных разграничивают по характеру сведений. В зависимости от этого понадобится выполнить те или иные требования закона. Выделяют:

  1. Общедоступные данные.
  2. Специальные категории персональных данных.
  3. Биометрические данные.
  4. Иные данные.

Категория персональных данных – это понятие, которое само по себе в законе не раскрывают. Особые уточнения есть или в отношении специальных категорий, или в отношении биометрических данных. При этом с 1 ноября 2012 года действует , где изложены требования к защите сведений при их использовании в информационных системах. В п. 5 постановления указали, что существуют общедоступные, специальные и биометрические данные. Также присутствует формулировка «иные категории персональных данных» (абз. 4 п. 5 постановления № 1119). Из текста абзаца следует, что иные категории персональных данных – это группы сведений о человеке, которые нельзя отнести к общедоступным, специальным или биометрическим.

Несколько категорий персональных данных выделяли в совместном приказе ФСТЭК, ФСБ и Минкомсвязи от 13.02.2008 № 55/86/20. Однако с 11 марта 2014 года документ утратил силу. Действующие приказы ФСТЭК и ФСБ от уточнений про категории данных не содержат.

Категории персональных данных: на что обратить внимание

Какие данные относятся к категории персональных данных общего порядка, следует из текста ФЗ-152, а также подзаконных актов. К общедоступным сведениям относятся те, которые присутствуют в открытых источниках (ст. 8 закона 152-ФЗ). Например, в адресной книге или каком-либо справочнике, куда информацию внесли по согласию самого человека. Доступом к таким данным обладает неограниченный круг лиц. В числе подобных сведений могут фигурировать:

  • ФИО гражданина,
  • сведения о месте и времени рождения,
  • адрес проживания,
  • контактные данные,
  • информация о профессии и т. п.

Владелец данных может потребовать их удаления из общедоступного источника. Также данные могут исключить по решению суда или госорганов.

Если компания планирует обрабатывать биометрические данные или информацию из специальной категории, потребуется письменное разрешение их владельца . (Согласие на обработку других данных владелец вправе дать в любой удобной ему форме, которая позволит установить, что согласие было). Кроме того, получение и использование такой информации должно строго соответствовать цели использования.

К биометрическим данным относится информация о физиологических особенностях человека, на основе которой можно идентифицировать его личность. Необходимость получить разрешение на работу с такой информацией возникает, если в компании ведут видеонаблюдение или потребовалась фотосъемка. Разрешение не нужно получать, только если видео- или фотосъемку ведут во исполнение правосудия или в соответствии с положениями законодательства о безопасности, ОРД, госслужбе и т. д (ст. 11 закона 152-ФЗ).

Что входит в специальные категории персональных данных

В статье 10 закона 152-ФЗ подробно изложили правила работы с особыми категориями данных. Специальные категории персональных данных – это группы сведений, которые по общему правилу узнавать у их владельца нельзя (ч. 1 ст. 10 закона 152-ФЗ). К специальным категориям персональных данных относятся сведения:

  • о расовой и национальной принадлежности,
  • о политических, религиозных или философских воззрениях;
  • о состояния здоровья гражданина или его интимной жизни.

В ч. 2. ст. 10 есть указание, в каких случаях обработку такой информации закон допускает. Это возможно, если:

  1. Гражданин дал письменное согласие на обработку подобных сведений или сам опубликовал такие данные в открытых источниках.
  2. Обработка таких данных понадобилась во исполнение законов РФ или международных соглашений, в том числе во исполнение правосудия.
  3. Необходимость в обработке информации возникла в связи с вопросом защиты жизни и здоровья самого гражданина или других лиц, а также в медицинских или профилактических целях.
  4. Данные обрабатывает общественная или религиозная организация в рамках своей деятельности.

До недавнего времени мне казалось, что уж с классификацией всеустаканилось давно. Оказалось, как подсказали старшие товарищи из НовосибирскогоРКН, нет. После некоторых размышлений решил все собрать в одну кучу ограничившисьуровнем 152-ФЗ.

name="more">

Во-первых, в 152-ФЗ, прослеживается как минимум два подходак классификации данных:

  1. по содержанию обрабатываемых персональных данных;
  2. по видам обработки персональных данных.

При этом законодатель в зависимости от итогов классификацииустанавливает:

  1. дополнительные ограничения на основания обработки ПД;
  2. особенности обработки ПД.

Таким образом, мы можем выделить:

  • Специальные категории персональных данных – закрытый перечень приведённый в статье 10 состоящий: расу, национальность, политические взгляды, религию, философию, состояние здоровья, интимную жизнь. Обрабатывается или на основании Закона или при наличии согласия субъекта. Здесь в рамках ФЗ 152 устанавливаются ограничения на основания обработки: это письменное согласие, законное основание или общедоступные ПД.
  • Есть еще супер специальная категория , которая обрабатывается только при наличии Федерального Закона определяющего необходимость обработки, согласие в данном случае не дает основание на обработку. Я говорю о судимости (см. часть 3 статьи 10). Собственно особые требования в вынуждают меня эти ПД выделить в отдельный класс.
  • Персональные данные, сделанные общедоступными субъектом персональных данных. Здесь законодатель требует письменное согласие субъекта. Следует так же отметить, что требования статьи 19, в явной форме, для этого вида данных не отменяются.

2. по видам и целям обработки персональных данных:

  • Биометрические персональные данные – физиологические и биологические особенности человека, на основании которых можно установить его личность и используются оператором для установления личности. Ограничения, устанавливаемые законом: письменное согласие и специальная процедура хранения данных вне ИС.
  • Трансграничная передача персональных данных. Выделяется три вида трансграничной передачи: страны являющиеся сторонами Конвенции Совета Европы, страны не являющиеся сторонами Конвенции Совета Европы, но обеспечивающие адекватную защиту прав ПД и страны не являющиеся сторонами Конвенции Совета Европы и не обеспечивающие адекватную защиту прав ПД. В случае передачи в страны последней группы, надо иметь либо законное основание (закон, договор), либо согласие субъекта, либо охранять жизненно важные интересы субъекта.
  • ПД в ГИС и МИС. Обработка ведется в соответствии с профильными федеральными законами, так же вводятся ограничения на способы обозначения принадлежности ПД.
  • ПД при продвижении товаров, работ, услуг на рынке, а также в целях политической агитации. Ограничения устанавливаемые законом: даже если ПД были получены из открытых источников, необходимо доказательное согласие субъекта, можно не в письменной форме.
  • ПД в ИС с решениями принимаемыми исключительно автоматизированной обработкой. Ограничение: письменное согласие, разъяснение последствий принятия решений и способов обжалования.

Аннотация: Лекция позволяет изучить основные термины и базовые законы Российской Федерации в области защиты персональных данных.

Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ "О персональных данных" установлены три регулятора:

  • Роскомнадзор (защита прав субъектов персональных данных)
  • ФСБ (требования в области криптографии)
  • ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам).

Так как ФЗ "О персональных данных" является лишь основой правового обеспечения защиты ПД, его требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов.

2.2. Категории персональных данных

ФЗ "О персональных данных" выделяет следующие категории персональных данных.

Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес , абонентский номер, сведения о профессии и иные персональные данные , предоставленные субъектом персональных данных.

Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

Специальные категории ПД - персональные данные , касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

  • субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
  • персональные данные являются общедоступными;
  • персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  • обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;
  • обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия .

Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных , которые обрабатываются в ИСПД:

Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим. Это породило немало споров. Рассмотрим пример с фотографией. С одной стороны, она характеризует физиологические особенности человека. Но человек с течением времени может сильно измениться или злоумышленник может подделать внешние признаки под законного субъекта. Так ли однозначно в данном случае установление личности? В настоящее время представители регуляторов подтверждают, что фотография и видеоизображения относятся к биометрическим данным.

2.3. Права субъекта персональных данных

Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-№152.

  1. Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД. Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании запроса. Полученная информация может содержать следующие сведения:
    • цель обработки ПД
    • способы обработки ПД
    • сроки обработки ПД
    • перечень допущенных к обработке ПД лиц
    • перечень обрабатываемых ПД и источник их получения
    • сведения о возможных юридических последствиях обработки ПД для субъекта ПД.

    Закон определяет случаи, когда данное право субъекта ПД ограничивается, например, если речь идет о безопасности страны, нарушении конституционных прав и свобод других лиц или оперативно-розыскной деятельности.

  2. Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В данном случае обработка осуществляется только при условии предварительного согласия субъекта. При этом важно отметить, что обработка признается осуществленной без согласия субъекта, если оператор не доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.
  3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки, если не получено его согласия в письменной форме или в случаях, предусмотренных федеральными законами.
  4. Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Необходимо отметить, что субъект ПД имеет право на возмещение убытков и компенсацию материального вреда в судебном порядке.

2.4. Обязанности оператора персональных данных

Ранее мы рассмотрели понятие оператора персональных данных и действия, являющиеся обработкой персональных данных . Исходя из определения, можно сделать вывод о том, что все без исключения организации являются операторами ПД, так как они накапливают, собирают и обрабатывают информацию о своих сотрудниках в рамках Трудового кодекса РФ. Помимо этого многие организации собирают сведения о своих клиентах, подрядчиках, поставщиках и партнерах в рамках своей основной деятельности. Главными обязанностями оператора ПД является уведомление Роскомнадзора об обработке ПД и,собственно, защита ПД.

Законом предусмотрены случаи, когда оператор не обязан уведомлять Роскомнадзор об обработке ПД:

  1. если его связывают с субъектом трудовые отношения;
  2. если между оператором и субъектом существует договор и данные необходимы для исполнения обязательств по нему;
  3. если данные относятся к членам религиозных объединений и общественных организаций и обрабатываются в соответствии с учредительными документами и с законом.
  4. если данные являются общедоступными;
  5. если включают в себя только ФИО;
  6. данные необходимы для однократного пропуска на территорию оператора или аналогичных целей;
  7. если данные включены в федеральные автоматизированные информационные системы и государственные информационные системы персональных данных;
  8. если данные обрабатываются без использования средств автоматизации в соответствии с законами РФ.

Важно отметить, что оговаривается обязанность оператора не передавать персональные данные третьим лицам.

При этом многие организации допускают ошибку в том, что если они не обязаны уведомлять уполномоченный орган об обработке ПД, то можно не выполнять обязанности, возлагаемые законом на операторов ПД. Такие действия являются противозаконными, однозначно трактуются как невыполнение требований законодательства и караются мерами, предусмотренными Законом.

Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ-№152:

  1. Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
  2. Уведомительный характер обработки персональных данных. В соответствии со статьей 2 ФЗ-№152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.
  3. При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). Важно отметить, что субъект имеет право отозвать данное разрешение.
  4. Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных.

    Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПД или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

    Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.

  5. Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ.

Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем:

  1. обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
  2. оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
  3. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
  4. обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  5. обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
  6. осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Во всех других случаях оператор должен соблюдать требования российского законодательства по обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований.

Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).

В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1_го года, аресте до 6_ти месяцев и лишении права занимать должность на срок до 5_ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).

При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

Главное
Расчёт погрешностей косвенных измерений
Расчёт погрешностей косвенных измерений
К чему снится укус кошки?
К чему снится укус кошки?
Последовательность приготовления колбасы
Последовательность приготовления колбасы
Что такое кбк в платежке
Что такое кбк в платежке
Примеры модифицированных аудиторских заключений Заключение аудиторской проверки пример
Примеры модифицированных аудиторских заключений Заключение аудиторской проверки пример