Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Закон о защите персональных данных 2022 152-ФЗ с пояснениями». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Законодательство РФ предусматривает 3 вида ответственности:
- гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
- административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
- уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.
24.03.2021. Новые правила работы с персональными данными.
Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:
- при осуществлении правосудия;
- при заключении договора потребительского кредитования;
- при заключении трудового договора;
- при защите прав и интересов гражданина;
- если при заключении гражданско-правового договора стороны достигли согласия об этом;
- в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.
Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.
К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).
Первично согласование работ было произведено в июне 2019 года, что можно считать датой начала проекта. Все работы должны быть производиться на «живом» окружении с тысячами запросов в день. Естественно, требовалось выполнить проект, не прерывая штатный режим работы обеих систем.
Поэтому был составлен и согласован четкий план действий, разделенный на 4 этапа:
- подготовка,
- миграция,
- тестирование и проверка в реальных условиях,
- включение систем мониторинга и ограничения доступа.
На всякий случай мы предусмотрели процедуру восстановления в случае непредвиденной ситуации (DRP). По первоначальному плану работы не занимали много времени и ресурсов и должны были завершиться в июле 2019. Каждый из этапов предусматривал в конце полное тестирование сетевой доступности и функциональности систем.
Самым сложным этапом, в котором могло «что-то пойти не так», была миграция. Изначально мы планировали проводить миграцию путем переноса виртуальных машин целиком. Это был самый логичный вариант, поскольку он не требовал вовлечения дополнительных ресурсов для переконфигурирования. Казалось бы, что может быть проще vMotion.
Проведя работу над ошибками, команда поняла, что правильнее будет все же дублировать инфраструктуру в защищенной зоне и скопировать лишь файлы с данными. Было принято решение не требовать от заказчика доплаты за дополнительные серверные мощности, которые пришлось развернуть для завершения миграции.
В результате, когда кластеры в защищенной зоне были полностью продублированы, миграция прошла без проблем.
Далее требовалось лишь разделить сети защищенной и незащищенной зон. Здесь обошлось несколькими незначительными перебоями в работе. Этап тестирования всей системы в защищенной зоне без какой-либо защиты удалось запустить в штатном режиме. Собрав положительную статистику работы системы в таком режиме, мы перешли к последнему этапу: запуску систем защиты и ограничению доступа.
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
Федеральный закон от 27.07.2006 N 152-ФЗ
1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
3. Часть утратила силу. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
5. Отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими лицами, физическими лицами при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в субъекте Российской Федерации — городе федерального значения Москве, регулируются настоящим Федеральным законом, если иное не предусмотрено Федеральным законом «Об особенностях регулирования отдельных правоотношений в связи с присоединением к субъекту Российской Федерации — городу федерального значения Москве территорий и о внесении изменений в отдельные законодательные акты Российской Федерации». (в ред. Федерального закона от 05.04.2013 N 43-ФЗ)
Президент Российской Федерации
В. ПУТИН
Москва, Кремль
27 июля 2006 года
Высший уровень защиты. Требуется, когда информационная система обрабатывает специальные, биометрические или иные категории данных, несанкционированное использование которых может повлечь значительные угрозы жизни и здоровья субъекту ПДн, или финансовые последствия. Например, информация о расовой и национальной принадлежности, о политических и религиозных взглядах, состоянии здоровья и др. Требуется специальное ПО, шифрование и соблюдение большого списка требований. Например:
- Присутствие посторонних в местах обработки ПД запрещено
- Наличие списка работников, которые имеют свободный доступ к ПДн
- Использование сертифицированных средств защиты данных
- Наличие сотрудника, ответственного за надлежащее обеспечение защиты ПД
- Настройка прав доступа к электронному журналу сообщений
- Автоматическая запись в электронном журнале безопасности в случае изменений полномочий сотрудника
- Наличие собственного отдела безопасности в штате учреждения, обрабатывающего ПД
Уровень защиты, необходимый для хранения иных данных и работе с общедоступными ПДн с количеством субъектов не более ста тысяч. Из обязательных требований можно выделить следующие:
- Присутствие посторонних в местах обработки ПД запрещено
- Наличие списка работников, которые имеют свободный доступ к ПДн
- Использование сертифицированных устройств защиты данных
- Наличие сотрудника, ответственного за надлежащее обеспечение защиты ПД
Самый простой, базовый уровень защиты. Используется для хранения общедоступных персональных данных, при наличии угроз третьего типа и обработке других категорий меньше 100 тысяч человек). Для защиты ПДн обязательно наличие антивируса. Из дополнительных требований:
- Присутствие посторонних в местах обработки ПД запрещено
- Наличие списка работников, которые имеют свободный доступ к ПДн
- Использование сертифицированных устройств защиты данных
Стоит заметить, что в одной информационной системе может обрабатываться несколько категорий ПДн. Уровень защиты определяется, исходя из наиболее чувствительной к компрометации категории. Кроме того, существует классификация защищенности государственных информационных систем. Классы (К1, К2, К3) определяются уровнем значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштабом информационной системы.
Что такое ФЗ-152 о персональных данных
Силами компании бывает непросто обеспечить нужный уровень защиты персональных данных и поддерживать его в дальнейшем. Поэтому многие коммерческие и государственные организации выбирают облачные решения. В чём преимущество такого выбора?
- Экономия времени и средств на аттестацию. Для УЗ-1 и УЗ-2 размещение персональных данных в облаке упрощает длительную процедуру аттестации и сертификации защищённой ИТ-инфраструктуры. Для УЗ-3 и УЗ-4 этот вопрос и вовсе закрывается усилиями провайдера.
- Корректное определение уровня защищённости. Провайдер поможет точно определить требования к защите данных. Некоторые органы безопасности пытаются излишне защитить данные, указывая более высокий УЗ, которые не требуется по закону и вполне определённым причинам. Так, если для хранения ПДн достаточно УЗ-3, нет смысла обеспечивать УЗ-2, неся сопутствующие издержки. Организация получает тот уровень защиты, который ей действительно требуется.
- Поддержка по законодательству. Служба безопасности и юристы провайдера следят за изменениями в сфере защиты ПДн, и своевременно вносят изменения в ИТ-инфраструктуру, которые требуются в соответствии с законодательством.
- Экономия на смене УЗ. С развитием компании могут измениться и требования к защите персональных данных. Менять свою инфраструктуру или провайдера — долго и дорого. Облачную платформу, у которой есть сертификаты на защиту по УЗ-1 — УЗ-4, позволяет безболезненно сменить уровень защиты.
В целом, есть смысл выбирать провайдера с более высокими уровнями защиты. Вполне возможно, что бизнес изменится, а УЗ-3 превратится в УЗ-2. И наоборот. Жёсткая привязка провайдера к одному уровняю потребует от клиента миграции в другое облако. А миграция — это всегда боль. Поэтому лучше думать на будущее и выбирать подрядчика, способного быстро поменять уровень защиты на тот, который требуется клиенту.
В 152-ФЗ нет запрета на хранение данных в облаке. Главное условие — ЦОД выбранного облачного провайдера должен находиться в России. Уже имеющиеся данные можно хранить и обрабатывать на зарубежных серверах. Но первичное накопление и обработка должны выполняться на серверах, которые физически находятся на территории РФ.
Если обеспечить соответствие УЗ-4 и даже УЗ-3 сравнительно нетрудно, то обеспечить более высокий уровень защиты локальных физических серверов по силам далеко не всем. Потребуется специализированное оборудование, сертифицированный софт, а также компетентные сотрудники, которые способны настроить систему должным образом и следить за её работоспособностью. Чтобы получить нужный уровень защиты быстро и за разумные деньги, стоит воспользоваться облачными услугами.
Не все облачные провайдеры могут обеспечить такой уровень защиты. Поэтому в обязательном порядке запрашивайте у подрядчика сертификаты и аттестаты, подтверждающие заявленный уровень защищённости. Нередки случаи, когда провайдер обещает УЗ-1 для хранения ПДн клиента по ФЗ-152, а по факту его инфраструктура находится на уровне УЗ-3. Или УЗ-2, что уже лучше, но всё равно недостаточно.
Обратите на это внимание: из крупных облачных провайдеров в России на уровне УЗ-1 аттестовано не более 5 провайдеров, чуть больше —на уровне УЗ-2. Так что обязательно нужно запрашивать сертификаты.
Важный критерий защищенности облака — наличие у облачного провайдера аттестата соответствия 152-ФЗ. Этот аттестат гарантирует, что инфраструктура облака действительно соответствует требованиям приказов ФСТЭК, а данные надёжно защищены. Поэтому на этапе выбора рекомендуем отдавать предпочтение провайдерам, имеющим аттестацию и лицензии ФСТЭК и ФСБ. Если данные лежат в аттестованном облаке, то это свидетельствует о достаточном уровне защиты.
Для уровней УЗ-4 и УЗ-3 требования по защите легко выполняются, если вы размещаете информационную систему в уже аттестованном ЦОД. При этом вам достаточно выполнить минимальный набор организационных и технических мер.
-
Арбитражный процессуальный кодекс РФ
-
Бюджетный кодекс РФ
-
Водный кодекс Российской Федерации РФ
-
Воздушный кодекс Российской Федерации РФ
-
Градостроительный кодекс Российской Федерации РФ
-
ГК РФ
-
Гражданский кодекс часть 1
-
Гражданский кодекс часть 2
-
Гражданский кодекс часть 3
-
Гражданский кодекс часть 4
-
Гражданский процессуальный кодекс Российской Федерации РФ
-
Жилищный кодекс Российской Федерации РФ
-
Земельный кодекс РФ
-
Кодекс административного судопроизводства РФ
-
Кодекс внутреннего водного транспорта Российской Федерации РФ
-
Кодекс об административных правонарушениях РФ
-
Кодекс торгового мореплавания Российской Федерации РФ
-
Лесной кодекс Российской Федерации РФ
-
НК РФ
-
Налоговый кодекс часть 1
-
Налоговый кодекс часть 2
-
Семейный кодекс Российской Федерации РФ
-
Таможенный кодекс Таможенного союза РФ
-
Трудовой кодекс РФ
-
Уголовно-исполнительный кодекс Российской Федерации РФ
-
Уголовно-процессуальный кодекс Российской Федерации РФ
-
Уголовный кодекс РФ
-
ФЗ об исполнительном производстве
-
Закон о коллекторах
-
Закон о национальной гвардии
-
О правилах дорожного движения
-
О защите конкуренции
-
О лицензировании
-
О прокуратуре
-
Об ООО
-
О несостоятельности (банкротстве)
-
О персональных данных
-
О контрактной системе
-
О воинской обязанности и военной службе
-
О банках и банковской деятельности
-
О государственном оборонном заказе
-
Закон о полиции
-
Закон о страховых пенсиях
-
Закон о пожарной безопасности
-
Закон об обязательном страховании гражданской ответственности владельцев транспортных средств
-
Закон об образовании в Российской Федерации
-
Закон о государственной гражданской службе Российской Федерации
-
Закон о защите прав потребителей
-
Закон о противодействии коррупции
-
Закон о рекламе
-
Закон об охране окружающей среды
-
Закон о бухгалтерском учете
-
Приказ Управления делами Президента РФ от 28.07.2011 N 451
«О защите персональных данных федеральных государственных гражданских служащих Управления делами Президента Российской Федерации» (вместе с «Положением об организации работы с персональными данными федерального государственного гражданского служащего Управления делами Президента Российской Федерации», «Списком должностей федеральных государственных гражданских служащих Управления делами Президента Российской Федерации, уполномоченных на обработку персональных данных») (Зарегистрировано в Минюсте
-
Указ Президента РФ от 25.11.2021 N 675
«О директоре Федеральной службы исполнения наказаний»
-
Указ Президента РФ от 25.11.2021 N 674
«О Калашникове А.П.»
Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных
-
Распоряжение Правительства РФ от 24.11.2021 N 3308-р
«О внесении изменений в распоряжение Правительства РФ от 22.02.2019 N 265-р»
-
Распоряжение Правительства РФ от 23.11.2021 N 3302-р
«О внесении изменений в распределение субвенций на социальные выплаты безработным гражданам»
-
Распоряжение Правительства РФ от 23.11.2021 N 3301-р
«О внесении изменений в распределение субвенций на выплату единовременного пособия при всех формах устройства детей, лишенных родительского попечения, в семью бюджетам субъектов Российской Федерации и бюджету города Байконур на 2021 год и плановый период 2022 и 2023 годов»
-
Положение о межрегиональных и всероссийских официальных спортивных соревнованиях по капоэйра на 2021 год. Номер-код вида спорта: 1230001411Я
(утв. Минспортом России 16.03.2021, Общероссийской общественной организацией «Федерация капоэйра России») (ред. от 19.11.2021)
-
Положение о межрегиональных и всероссийских официальных спортивных соревнованиях по сквошу на 2021 год. Номер-код вида спорта: 1390002511Я
(утв. Минспортом России 22.12.2020, Общероссийской физкультурно-спортивной общественной организацией «Федерация сквоша России») (ред. от 18.11.2021)
-
Единая товарная номенклатура внешнеэкономической деятельности Содружества независимых государств (ТН ВЭД СНГ) (на основе 7-го издания Гармонизированной системы описания и кодирования товаров, вступающая в силу 1 января 2022 года)
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
Общо? — Очень! Но так мыслил законодатель, принимая и изменяя рассматриваемый закон.
Вообще, в полицейско-правовом отношении физическое лицо идентифицируется тремя параметрами: полным именем, датой рождения и местом рождения. Они именуются краткими установочными данными.
Всё остальное — номер паспорта, номер пенсионного страхового свидетельства, индивидуальный номер налогоплательщика, различные документальные удостоверения, отпечатки пальцев, радужная оболочка глаза и прочее — это дополнительные идентификаторы.
Он касается так называемых операторов — государственных и муниципальных учреждений, юридических и физических лиц, которые производят обработку персональных данных.
Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Следует обратить внимание на то, что под обработкой понимается не только автоматизированная (компьютерная) обработка, но и любая другая, включая, например, картотеки или журналы на бумажных носителях.
Федеральный закон от 27 07 2006 № 152-ФЗ «О персональных данных»
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов этих данных о своем намерении осуществлять такую обработку. О том, что это за орган, будет сказано далее.
Такое уведомление не требуется, когда данные:
- обрабатываются в соответствии с трудовым законодательством;
- получены в связи с заключением договора, стороной которого является физическое лицо, если его данные не распространяются и не предоставляются третьим лицам, а используются оператором исключительно для исполнения указанного договора;
- относятся к членам общественного объединения и обрабатываются соответствующим общественным объединением, действующими в соответствии с законодательством Российской Федерации, при условии, что данные не будут распространяться или раскрываться третьим лицам;
- сделаны самим владельцем персональных данных общедоступными;
- включают в себя только фамилию, имя и отчество субъекта;
- необходимы в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в государственные автоматизированные информационные системы для защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации;
- обрабатываются в целях транспортной безопасности.
Сняты ли все вопросы? — Нет. Например, является ли интернет-магазин оператором персональных данных? — Изначально, вроде, нет, так как данные клиента используются только «в связи с заключением договора, стороной которого является субъект». Но ведь при отправке заказа почтой или транспортной компанией сведения о клиенте предоставляются третьей стороне.
Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:
- основание и цель сбора персональных данных;
- наименование, контактные данные и адрес;
- информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
- виды данных для обработки и источники их получения;
- сроки обработки и хранения персональных данных;
- способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
- информация о передаче данных за пределы России.
Всю эту информацию можно изложить в свободной форме. Требование одно — субъект должен понимать, куда отправляются его персональные данные, как их используют и охраняют.
В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:
- наименование оператора персональных данных;
- место и дата составления документа;
- фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.
Далее идет информационная часть согласия. В ней прописывается:
- каких именно персональных данных касается документ;
- в каких целях и что именно допустимо с ними делать;
- срок действия согласия и возможность его отзыва.
Все материалы сайта Министерства внутренних дел Российской Федерации могут быть воспроизведены в любых средствах массовой информации, на серверах сети Интернет или на любых иных носителях без каких-либо ограничений по объему и срокам публикации.
Это разрешение в равной степени распространяется на газеты, журналы, радиостанции, телеканалы, сайты и страницы сети Интернет. Единственным условием перепечатки и ретрансляции является ссылка на первоисточник.
Никакого предварительного согласия на перепечатку со стороны Министерства внутренних дел Российской Федерации не требуется.
Персональные данные: в чём суть закона?
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. К конфиденциальной информации относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Первый уровень защищенности персональных данных устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа (угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе) и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа (угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.) и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Только Dr.Web Enterprise Security Suite может быть использован для обеспечения 1-го уровня защищенности персональных данных, а также систем, содержащих документы с уровнем «Совершенно секретно».
Работодатель обязан соблюдать определенные требования по обработке этих данных.
Обработка персональных данных в силу ст. 3 Закона № 152-ФЗ – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.
Обратите внимание:
Обработка персональных данных осуществляется с согласия работника (п. 1 ст. 6, ст. 9 Закона № 152-ФЗ). Причем согласие должно быть конкретным, информированным и сознательным и составленным в письменной форме.
Основные требования к работодателю, осуществляющему обработку персональных данных работников, установлены в ст. 86 ТК РФ. И самое первое заключается в том, что такая обработка может осуществляться работодателем исключительно в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов;
- содействия работникам в трудоустройстве, получении образования и продвижении по службе;
- обеспечения личной безопасности работников, контроля количества и качества выполняемой работы;
- обеспечения сохранности имущества.
При обработке персональных данных работодатель
Обязан
Не имеет права
Получать персональные данные у самого работника. Если их можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие
Получать и обрабатывать сведения о работнике, относящиеся в соответствии со ст. 10 Закона № 152-ФЗ к специальным категориям персональных данных
За счет своих средств обеспечивать защиту персональных данных работника от неправомерного их использования или утраты
Получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности
Ознакомить работников и их представителей под подпись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области
При принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронным путем
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов, в частности Закона № 152-ФЗ.
Итак, одно из самых главных правил при обработке персональных данных – работодатель сразу при трудоустройстве работника должен запросить у него письменное согласие на такую обработку. Причем следует запрашивать согласие и лиц, которые только еще претендуют на должность и также предоставляют свои персональные данные при собеседовании, заполнении анкет и других подобных документов.
Особое внимание следует уделять и передаче персональных данных работников третьим лицам. Ее правила установлены в ст. 88 ТК РФ. В частности, работодатель обязан:
- не сообщать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, что данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
- осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, причем они должны иметь право получать лишь те данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми данными работника, которые необходимы для выполнения указанными представителями их функций.
К случаям, когда согласие работника на передачу персональных данных не требуется, относится передача определенных сведений о работнике в ФСС, ПФР, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, банк, обслуживающий банковские карты работников, и др.
В заключение рекомендуем работодателям еще раз проверить, пока изменения не вступили в силу, от всех ли работников получено согласие на обработку персональных данных, ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области, должным ли образом осуществляется хранение и защита персональных данных, соответствует ли документация об их обработкетребованиям законодательства и т. д.
Причем привлечь к административной ответственности могут за нарушения, допущенные при обработке и передаче персональныхданных не только работников, но и граждан, которым организация оказывает различные услуги. Как работники, так иэти лица могут обратитьсяв суд с гражданским иском.
Также не следует забывать, что в случаях, когда действия должностных лиц принарушении в обработке персональных данных привели к серьезным последствиям, может наступить и уголовная ответственность.
Е. В. Давыдова , эксперт журнала
«Отдел кадров коммерческой организации» № 6, июнь, 2017 год.
Сфера действия постановления — контроль над личной информацией, которой обладают следующие виды структур:
- госорганы;
- власти конкретных субъектов РФ;
- учреждения местного самоуправления;
- юридические лица;
- физлица, совершающие обработку личной информации.
Нормы ФЗ №152 контролируют во всех государственных и коммерческих организациях конфиденциальность ПДн, принадлежащих конкретному физическому лицу. Однако под действие закона не попадают следующие категории:
- использование информации гражданами для личных целей при отсутствии нарушения прав обладателя;
- недействительные документы, находящиеся на хранении в Архивном фонде РФ;
- ПДн, отнесенные под категорию «государственная тайна».
Таким образом, ФЗ №152 обязует хранителей персональной информации поддерживать неразглашение личных сведений физлица.
В 3 части ФЗ говорится: «Любые сведения, которые относятся к конкретному физическому лицу, являются персональными».
В этом перечне данные:
- касающиеся национальности, религиозных и политических пристрастий;
- связанные с физиологическими особенностями организма;
- о личности.
Причем вне зависимости от общественной доступности, важно лишь то, что информация касается определенного индивида.
Действия, которые попадают под определения обработки персональных данных — это работа с личной информацией клиента в автоматизированном либо ручном режиме. Сюда относятся:
- сбор;
- запись;
- анализ и хранение;
- актуализация;
- применение и предоставление доступа;
- блокировка, удаление.
Все эти действия выполняются оператором исключительно конфиденциально.
Согласно закону ФЗ 152 от 27.07 2006 года, а именно 7 и 8 параграфу, оператором считается государственная или частная организация, которая проводит хотя бы одну операцию, попадающую в перечень.
Если госорган или юридическое лицо признаны оператором, то они заключают соглашение на обработку с владельцем. В противном случае действия организации окажутся нарушением, что повлечет за собой наказание со стороны контролирующих органов.
Под действие Федерального закона попадают организации, признанные операторами ПД. При этом личная информация делится на следующие типы:
- сведения о сотрудниках;
- клиентская база;
- информация о пользователях интернет-источников.
Если общество имеет хотя бы одну из перечисленных категорий, то оно попадает под действие закона.
Статьи под номерами 5 и 6 в ФЗ-152 гласят о возможных принципах и условиях обработки частных сведений. Постановление предусматривает перечень ситуаций, при которых используют личную информацию, а также регулирует правила обработки.
Согласно законопроекту о персональных данных оператор в своей работе придерживается следующих принципов:
- частные сведения используются только для заранее оговоренных двумя сторонами задач;
- составление базы из личной информации невозможно;
- на использование сведений должны быть основания;
- обрабатывать исключительно те сведения, которые требует достижение поставленной цели;
- обрабатываться должна только действующая информация;
- объемы сведений не превышают разрешенного соглашением показателя;
- хранение информации не превышает временной промежуток, необходимый для достижения цели;
- устаревшие сведения подлежат немедленному уничтожению.
Любому владельцу бизнеса, не зависимо от масштабов предприятия, знать Закон 152-ФЗ просто необходимо. Неважно, юридическое лицо или индивидуальный предприниматель — все компании получают доступ к чужим персональным данным. Главное, уметь правильно с ними обходится, не нарушая закон и требования Роскомнадзора.
Заключение контрактов или договоров с контрагентами, прием сотрудников на работу, обслуживание клиентов, даже приём денежных средств в счёт оплаты товаров или услуг — всё это взаимодействие с персональными данными.
Закон 152-ФЗ — единственный документ, который устанавливает требования и правила обработки персональных данных граждан ко всем организациям, государственным и муниципальным структурам, частным компаниям, которые собирают, обрабатывают и хранят персональные сведения своих сотрудников и клиентов.
Но несмотря на это, с конца 2017 года 152-ФЗ не изменялся, в отличие от хакерских программ, Интернет-шпионов и иных вирусов.
Фантазия мошенников в реальной жизни также не стоит на месте, и они каждый день изобретают новые и новые способы обмана как граждан, так и организаций с помощью полученных персональных данных.
Важнейшей гарантией прав граждан является обязанность операторов и третьих лиц, получивших доступ к их данным, обеспечивать конфиденциальность и безопасность. На конституционном уровне гарантируется право россиян на защиту своих неимущественных прав, включая защиту личных сведений, в том числе с правом на возмещение убытков, причиненного ущерба или компенсацию морального вреда.
И, вопреки изложенному, а также ряду судебных прецедентов, ФЗ «О персональных данных» не дорабатывается и не совершенствуется. В 2020 году каких-либо принятых Госдумой изменений в текст закона вноситься не планируется.
Персональные данные
— это любая информация, позволяющая как точно идентифицировать физическое лицо (субъекта персональных данных), так и составить о нём чёткий образ или предположить, что в конкретном случае речь идёт именно об определенном человеке, а не о каком-либо абстрактном.
К такой информации относится:
- ФИО;
- сведения о дате и месте рождения;
- адреса проживания и регистрации;
- образование, доход, профессия (должность);
- паспортные данные, ИНН, СНИЛС;
- семейное, социальное или имущественное положение.
Постановлением Правительства РФ от 13.09.019 N 1197 перечень данных, относящихся к персональным, был дополнен:
- абонентский номер телефона (подвижной радиотелефонной связи)
- адрес электронной почты.
Похожие записи:
-