Закон о сохранении персональных данных 2021

      Комментариев к записи Закон о сохранении персональных данных 2021 нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Закон о сохранении персональных данных 2021». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

Новое в Законе «О персональных данных» 2021. Что нас ждет?

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

С первым случаем все понятно, со вторым пока не понятно. Потому что Роскомнадзор еще не придумал такую систему. Когда придумает и запустит — не понятно. Если к 1 марта 2021 года не придумает, то единственным способом остается прямая передача согласия субъектом оператору. Это понятно, кэп?

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

Роскомнадзор все придумает, напишет и нам расскажет. Когда — непонятно.

Ответственность за не обезличивание персональных данных теперь несут не только государственные и муниципальные органы власти, но и все операторы.

По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека.

В новом КоАП предполагается распространить ответственность за не обезличивание персональных данных с государственных и муниципальных органов власти на всех операторов. Все операторы будут обязаны обезличивать ПДн, которые обрабатывают.

Невыполнение подобных требований влечет предупреждение или наложение административного штрафа для всех операторов ПДн в размере от 3 до 6 тысяч рублей. Штрафы небольшие, но можно предположить, что это только начало.

Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.

Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.

  • Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
  • Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
  • Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
  • Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
  • Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
  • Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
  • Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
  • Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
  • Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
  • Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
  • Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.

Изменились правила обработки персональных данных

Утечка ПДн может обернуться для компании не только финансовыми убытками, но и потерей репутации на рынке и разрывом отношений с партнерами. Поэтому важно изучить законодательство и вовремя принять меры. И здесь есть два пути:

  • делать все самостоятельно (силами организации);
  • доверить выполнение требований закона компаниям, которые могут провести независимый аудит по обработке ПДн и решить выявленные проблемы.

Установлены особенности обработки персональных данных (ПД), разрешенных их владельцем для распространения.

Запрещено использовать ПД без согласия владельца, а он сам может потребовать от оператора прекратить распространение сведений о себе без необходимости доказывать, что это незаконно.

Прописана процедура обязательного согласования обработки ПД любым оператором данных. Нельзя получать согласие «автоматом» — по умолчанию или при бездействии субъекта ПД.

Если согласие дано, владелец данных вправе в любой момент его отозвать, после чего оператор обязан приостановить выдачу сведений.

В соглашении на обработку ПД, разрешенных для распространения, может содержаться запрет на передачу данных неограниченному кругу лиц и обработку ими этих сведений.

Каждый сайт обязан спрашивать пользователей, какие данные о них можно опубликовывать и передавать третьим лицам. Невыполнение этого требования повлечет штраф за нарушение обработки ПД.

Закон вступает в силу с 1 марта 2021 г., за исключением нормы о предоставлении оператору согласия на обработку ПД, разрешенных для распространения, через информсистему уполномоченного органа. Данное положение применяется с 1 июля 2021 г.

Действующий Федеральный закон № 152-ФЗ от 27.07.2006 не предусматривает процедуры отзыва согласия на обработку персональных данных. После вступления в силу поправок появится возможность прекратить передачу разрешенных для распространения персональных данных в любое время по требованию их владельца. Для этого субъект персданных направит оператору заявление об отзыве согласия на обработку. Оно будет включать такую обязательную информацию:

  • Ф.И.О. субъекта персданных (отчество — при наличии);
  • номер телефона и электронную почту субъекта;
  • почтовый адрес;
  • персональные данные, обработку которых необходимо прекратить.

Форму и формат документа Роскомнадзор утвердит дополнительно до вступления поправок в силу. Прекратить обработку своих персональных данных человек теперь вправе потребовать от любого лица, которое их обрабатывает, даже при отсутствии ранее данного письменного согласия.

В случае несоблюдения новых правил субъект сможет потребовать прекратить передачу персданных принудительно и привлечь оператора к ответственности или обратиться в суд для изъятия своих данных из обработки.

Компаниям следует подготовиться к выполнению новых требований, установленных законом, и учитывать их в дальнейшей работе, в частности:

  • принять необходимые меры по обновлению локальных актов компании, регламентирующих порядок обработки ПДн, разработать новые либо скорректировать существующие формы согласий на обработку ПДн;
  • если деятельность компании связана с обработкой распространяемых ПДн, организовать деятельность компании и ее работников в соответствии с новыми требованиями законодательства, в частности, при необходимости пересмотреть существующие бизнес-процессы.

Новое в Законе «О персональных данных»

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес к персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

В случае если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит, он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

В случае если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных. Такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

В случае если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

С первым случаем все понятно, со вторым пока непонятно. Потому что Роскомнадзор еще не придумал такую систему. Когда придумает и запустит — непонятно. Если к 1 марта 2021 года не придумает, то единственным способом остается прямая передача согласия субъектом оператору. Это понятно, кэп? )

Внесены изменения в закон о персональных данных

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

Роскомнадзор все придумает, напишет и нам расскажет. Когда — непонятно.

(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ, от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ, от 23.12.2010 N 359-ФЗ, от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ, от 05.04.2013 N 43-ФЗ, от 23.07.2013 N 205-ФЗ, от 21.12.2013 N 363-ФЗ, от 04.06.2014 N 142-ФЗ, от 21.07.2014 N 216-ФЗ, от 21.07.2014 N 242-ФЗ, от 03.07.2016 N 231-ФЗ, от 22.02.2017 N 16-ФЗ, от 01.07.2017 N 148-ФЗ, от 29.07.2017 N 223-ФЗ, от 31.12.2017 N 498-ФЗ, от 27.12.2019 N 480-ФЗ, от 24.04.2020 N 123-ФЗ, от 08.12.2020 N 429-ФЗ, от 30.12.2020 N 515-ФЗ)

Принят
Государственной Думой
8 июля 2006 года

Одобрен
Советом Федерации
14 июля 2006 года

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) пункт утратил силу. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

5) пункт утратил силу. (в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации». (в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

5. Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом. (в ред. Федерального закона от 08.12.2020 N 429-ФЗ)

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Новое в законе о персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи. (в ред. Федерального закона от 24.04.2020 N 123-ФЗ)

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные сделаны общедоступными субъектом персональных данных; (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии; (в ред. Федерального закона от 25.11.2009 N 266-ФЗ)

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»; (в ред. Федерального закона от 27.07.2010 N 204-ФЗ)

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации; (в ред. Федеральных законов от 25.07.2011 N 261-ФЗ, от 21.07.2014 N 216-ФЗ)

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно; (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия; (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации; (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора; (в ред. Федерального закона от 23.07.2013 N 205-ФЗ)

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Любому владельцу бизнеса, не зависимо от масштабов предприятия, знать Закон 152-ФЗ просто необходимо. Неважно, юридическое лицо или индивидуальный предприниматель — все компании получают доступ к чужим персональным данным. Главное, уметь правильно с ними обходится, не нарушая закон и требования Роскомнадзора.

Заключение контрактов или договоров с контрагентами, прием сотрудников на работу, обслуживание клиентов, даже приём денежных средств в счёт оплаты товаров или услуг — всё это взаимодействие с персональными данными.

Закон 152-ФЗ — единственный документ, который устанавливает требования и правила обработки персональных данных граждан ко всем организациям, государственным и муниципальным структурам, частным компаниям, которые собирают, обрабатывают и хранят персональные сведения своих сотрудников и клиентов.

Но несмотря на это, с конца 2017 года 152-ФЗ не изменялся, в отличие от хакерских программ, Интернет-шпионов и иных вирусов.

Фантазия мошенников в реальной жизни также не стоит на месте, и они каждый день изобретают новые и новые способы обмана как граждан, так и организаций с помощью полученных персональных данных.

Важнейшей гарантией прав граждан является обязанность операторов и третьих лиц, получивших доступ к их данным, обеспечивать конфиденциальность и безопасность. На конституционном уровне гарантируется право россиян на защиту своих неимущественных прав, включая защиту личных сведений, в том числе с правом на возмещение убытков, причиненного ущерба или компенсацию морального вреда.

И, вопреки изложенному, а также ряду судебных прецедентов, ФЗ «О персональных данных» не дорабатывается и не совершенствуется. В 2020 году каких-либо принятых Госдумой изменений в текст закона вноситься не планируется.

Изменения в Закон РФ «О персональных данных»

Персональные данные

— это любая информация, позволяющая как точно идентифицировать физическое лицо (субъекта персональных данных), так и составить о нём чёткий образ или предположить, что в конкретном случае речь идёт именно об определенном человеке, а не о каком-либо абстрактном.

К такой информации относится:

  • ФИО;
  • сведения о дате и месте рождения;
  • адреса проживания и регистрации;
  • образование, доход, профессия (должность);
  • паспортные данные, ИНН, СНИЛС;
  • семейное, социальное или имущественное положение.

Постановлением Правительства РФ от 13.09.019 N 1197 перечень данных, относящихся к персональным, был дополнен:

  • абонентский номер телефона (подвижной радиотелефонной связи)
  • адрес электронной почты.

— любое физическое или юридическое лицо, включая государственные или муниципальные органы, организующие или осуществляющие сбор, хранение и обработку персональных данных граждан.

Если гражданин заключает договор об оказании услуг по установке у себя в квартире ПВХ-окон, он предоставляет компании-установщику свои личные персональные данные, и компания становится оператором обработки персональных данных.

✎ Обратившись в МФЦ для оформления документов, потребуется заполнение согласия на обработку персональных данных, поскольку МФЦ становится оператором, получившим от вас конфиденциальную информацию.

Оператор персональных данных несет полную ответственность за хранение всех полученных сведений и обязанность использовать данные только в тех целях, для которых они предоставлялись. Оператор будет привлечен к ответственности за их распространение или публичную огласку.

Цель обработки персональных данных прописывается в уведомление уполномоченного органа (Роскомнадзора) о начале обработки персональных данных и о внесении изменений в ранее представленные сведения в соответствии с методическими рекомендациями, утв. Приказом Роскомнадзора от 30.05.2017 N 94.

К персональным данным нельзя отнести любую информацию, по которой идентифицировать человека невозможно:

  • псевдоним (никнейм);
  • голос, измененный с помощью редактора;
  • ретушированное изображение (на котором не видно лица или определенных физических особенностей, а также номеров, идентифицирующих транспортные средства);
  • истории из жизни, которые могли случиться если не с большинством, то со многими людьми.

Что важно знать! — по степени информативности персональные данные разделяются: сами по себе ФИО не определяют человека, если граждан, с такими ФИО несколько.

Например, если опубликовать новость о том, что гражданин Иванов Федор Сергеевич сегодня совершил ограбление — это неразглашение персональных данных, в том смысле, в котором их понимает закон. А вот есть написать:«Сегодня Иванов Федор Сергеевич после тяжелого трудового дня на ООО «Криогенмаш» в городе Липецк по дороге домой совершил ограбление»— это уже идентификация человека.

Если исключить момент о том, что субъект персональных данных предоставил все сведения о себе самостоятельно, то без согласия субъекта получить его данные можно только в следующих случаях:

  • по запросу правоохранительных и судебных органов;
  • по адвокатскому запросу;
  • из общедоступных источников (поисковики, социальные сети, базы данных и т.д.).

Незаконно полученные сведения, в т.ч. личные персональные данные человека, нельзя использовать, какая бы цель не преследовалась. В противном случае придется понести ответственность за нарушение частной жизни, вплоть до уголовной.

Закон «О персональных данных» указывает случаи, когда согласие на обработку персональных данных обязательно:

  • создание общедоступных источников информации (соцсети, справочники и т.д.);
  • использование специальных данных (в СМИ, медицине и т.д.);
  • использование биометрических данных;
  • трансграничная передача (за границу) данных в некоторые страны (те, которые не обеспечивают «адекватную» защиту персональных данных, по мнению Роскомнадзора);
  • если обработка данных порождает юридические последствия (заключение договоров, долговые обязательства и т.д.).

Федеральный закон от 27.07.2006 N 152-ФЗ

Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации.

Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности.

Закон о защите персональных данных № 152-ФЗ регламентирует несколько направлений защиты конфиденциальной информации о гражданах:

  • законодательные меры — государство обязывает оператора совершать определенные действия, в то же время вводит запрет на ряд операций;

  • технические — оператор предпринимает ряд мер, которые делают невозможным или существенно затрудняют доступ третьих лиц к сведениям о гражданах.

Существует несколько технических способов защиты личных сведений граждан, к которым можно отнести замену цифровых данных, сокращение сведений, распределенное (в нескольких местах) хранение информации.

Обратите внимание!

В 2015 году закон о защите персональных данных претерпел существенные изменения. Суть поправок сводится к тому, что персональные данные граждан РФ должны храниться исключительно на территории РФ. Это требование применяется как к документам, содержащим подобные сведения, так и к информации в электронном виде.

Законодательство РФ предусматривает 3 вида ответственности:

  • гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
  • административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
  • уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.

Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:

  • при осуществлении правосудия;
  • при заключении договора потребительского кредитования;
  • при заключении трудового договора;
  • при защите прав и интересов гражданина;
  • если при заключении гражданско-правового договора стороны достигли согласия об этом;
  • в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.

Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.

О персональных данных (с изменениями на 30 декабря 2020 года)

В 3 части ФЗ говорится: «Любые сведения, которые относятся к конкретному физическому лицу, являются персональными».

В этом перечне данные:

  • касающиеся национальности, религиозных и политических пристрастий;
  • связанные с физиологическими особенностями организма;
  • о личности.

Причем вне зависимости от общественной доступности, важно лишь то, что информация касается определенного индивида.

Действия, которые попадают под определения обработки персональных данных — это работа с личной информацией клиента в автоматизированном либо ручном режиме. Сюда относятся:

  • сбор;
  • запись;
  • анализ и хранение;
  • актуализация;
  • применение и предоставление доступа;
  • блокировка, удаление.

Все эти действия выполняются оператором исключительно конфиденциально.

Согласно закону ФЗ 152 от 27.07 2006 года, а именно 7 и 8 параграфу, оператором считается государственная или частная организация, которая проводит хотя бы одну операцию, попадающую в перечень.

Если госорган или юридическое лицо признаны оператором, то они заключают соглашение на обработку с владельцем. В противном случае действия организации окажутся нарушением, что повлечет за собой наказание со стороны контролирующих органов.

Под действие Федерального закона попадают организации, признанные операторами ПД. При этом личная информация делится на следующие типы:

  • сведения о сотрудниках;
  • клиентская база;
  • информация о пользователях интернет-источников.

Если общество имеет хотя бы одну из перечисленных категорий, то оно попадает под действие закона.

Статьи под номерами 5 и 6 в ФЗ-152 гласят о возможных принципах и условиях обработки частных сведений. Постановление предусматривает перечень ситуаций, при которых используют личную информацию, а также регулирует правила обработки.

Согласно законопроекту о персональных данных оператор в своей работе придерживается следующих принципов:

  • частные сведения используются только для заранее оговоренных двумя сторонами задач;
  • составление базы из личной информации невозможно;
  • на использование сведений должны быть основания;
  • обрабатывать исключительно те сведения, которые требует достижение поставленной цели;
  • обрабатываться должна только действующая информация;
  • объемы сведений не превышают разрешенного соглашением показателя;
  • хранение информации не превышает временной промежуток, необходимый для достижения цели;
  • устаревшие сведения подлежат немедленному уничтожению.

Процесс обработки персональных данных заключается в сборе, хранении, систематизации и удалении информации.

Какие положения регулирует данный закон:

  • сбор, хранение и обработка персональных данных должна осуществляться в добровольном порядке. Гражданину должно быть предоставлено право выбора, соглашаться на обработку данных или нет;
  • исполнение данного постановления должно быть направлено на защиту и свободу граждан России, отхождения недопустимы;
  • обработка и хранение персональных данных следует осуществлять в рамках действующего законодательства. Должны быть соблюдены сроки и требования.

Какие положения не регулируются законодательством:

  • обработка данных не используется для личных целей физических лиц;
  • обработка и хранение информации, связанной с государственной тайной;
  • данные, полученные в результате проведения судебного разбирательства;
  • информация, которая относится к деятельности органов судебной власти.

Цель Федерального закона №152 прописана в ст. 2 и заключается в регулировании сферы обработки персональных данных человека, например, в средствах массовой информации и телекоммуникации.

Он призван защищать права и свободы каждого гражданина, проживающего на территории Российской Федерации, а также не допустить проникновение в личную и частную жизнь третьих лиц.

Стоит знать о том, что персональные данные подразделяются на несколько категорий, которые подлежат сбору в соответствии с постановлением, сюда можно отнести следующие:

  1. расовые;
  2. религиозные;
  3. национальные;
  4. политические,
  5. философские и другие убеждения.

При этом необходимо заметить, что их сбор должен проводиться исключительно с согласия гражданина.

Каким-либо образом узнать дополнительные категории весьма затруднительно. В большинстве случаев это частная информация, которая касается непосредственного физического лица: военных, государственных служащих, работников, трудящихся на государственных предприятиях и компаниях.

Все те аспекты информации, которые гражданин держит в тайне, находятся под защитой закона №152.

Что входит в перечень ПД:

  • фамилия, имя и отчество гражданина;
  • актуальные паспортные данные;
  • фактический адрес проживания и регистрации;
  • данные о составе семьи;
  • паспорт здоровья или медицинская книжка;
  • документы, относящиеся к пенсионному страхованию;
  • сведения, где и когда гражданин проходил военную службу;
  • дипломы об образовании;
  • информация о трудовой деятельности человека. Как правило, используется трудовая книжка. В некоторых случаях делается запрос на бывшее место работы.

Процесс обработки персональных данных заключается в сборе, хранении и систематизации информации о каждом гражданине.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *