Цвет:
  • B
  • B
  • B
Шрифт:
  • A
  • A
  • A
  • Arial
  • Times
  • Open Sans
  • Абв
  • Абв
Полная версия

Защита прав субъектов персональных данных

Управление Роскомнадзора по Сибирскому федеральному округу информирует: 

 

С 1 сентября 2022 года вступили в силу изменения в закон «О персональных данных». Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации.

Формы уведомлений утверждены приказом Роскомнадзора от 28.10.2022 № 180 "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных".

 

На портале Портал персональных данных Роскомнадзора оператору предоставлена возможность сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:

1. в бумажном виде;

2. в электронном виде с использованием усиленной квалифицированной электронной подписи;

3. в электронном виде с использованием средств аутентификации ЕСИА. 

Также оператор может направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.

Дополнительно сообщаем, что федеральным законом предельный срок уведомления Роскомнадзора об обработке персональных данных, а также об изменениях сведений, указанных в данном уведомлении, не определен.

Также закон внес изменения в правила трансграничной передачи персональных данных. Новый порядок будет применяться с 1 марта 2023 года, но операторов, которые уже сейчас передают данные за границу, закон обязал направить в Роскомнадзор уведомление о трансграничной передаче до этой даты через Портал персональных данных Роскомнадзора или в письменном виде.

 

 

Цели обработки персональных данных Издательской организации

 

В соответствии с частями 1-2 статьи 5 Федерального закона обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.

Применительно к Издательским организациям целями обработки персональных данных субъектов персональных данных могут быть: содействие в трудоустройстве; соблюдение требований трудового, пенсионного, налогового законодательства;  в том числе расчет и начисление заработной платы; вопросы, связанные с организацией командировок, обеспечением сохранности имущества, соблюдением пропускного режима в организации, а также ведение переговоров, заключение, исполнение и прекращение гражданско - правовых договоров, оформление доверенностей, рассылка и получение рекламной информации и специальных предложений, в том числе персонализированных сообщений, связанных с предложением продуктов и услуг Издательской организации, проведение конкурсов, участие субъектов персональных данных в мероприятиях, организуемых Издательской организацией, рассмотрение обращений и претензий, а также другие цели.

 

Субъекты персональных данных и условия обработки персональных данных

 

Издательской организацией могут обрабатываться персональные данные следующих категорий субъектов персональных данных:

работников и бывших работников Издательской организации, членов их семей; физических лиц, состоящих с Издательской организацией в гражданско - правовых отношениях; кандидатов на вакантные должности; лиц, входящих в органы управления Издательской организации и не являющихся её работниками; физических лиц - представителей контрагентов юридических лиц; физических лиц – клиентов Издательской организации, физических лиц – выгодоприобретателей по договорам, заключаемым  третьими лицами; физических лиц, обративших в соответствии с Федеральным законом Российской Федерации от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" и Законом Российской Федерации от 07.02.1992 г. №2300-1 "О защите прав потребителей", также другие категории субъектов персональных данных, определяемые в соответствии локальными документам принятыми Издательской организацией, для обеспечения их исполнения.

Обработка персональных должна осуществляться с согласия субъекта данных на обработку его персональных данных.

Согласие субъекта персональных данные не требуется в случаях, предусмотренных пп. 2-11 ч. 1 ст.6 Федерального закона, а именно в случаях, если:

обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 3.07.2016 № 230-ФЗ "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Не допускается обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских убеждений, интимной жизни, членства в общественных объединениях - специальные категории персональных данных, за исключением случаев, предусмотренных пунктами 1-10 части 2 статьи 10 Федерального закона.

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), Издательской организацией обрабатываться не должны.

В случаях, предусмотренных Федеральным законом субъект персональных данных принимает решение о представлении его персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения (например путем заполнения специального значка на сайте в сети Интернет).

В случаях, предусмотренных Федеральным законом, обработка персональных данных возможна только с согласия в письменной форме субъекта персональных данных.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных на бумажном носителе должно включать, в частности:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных;

- наименование Издательской организации, получающей согласие на обработку персональных данных;

- цель обработки персональных данных;

- перечень персональных данных на обработку которых требуется согласие субъекта персональных данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена другому лицу;

- перечень действий с персональными данными на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законом

- подпись субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

 

Права субъекта персональных данных

 

Субъект персональных данных, в соответствии со ст. 14 Федерального закона, имеет право на получение от Издательской организации информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

 

Обязанности Издательской организации при сборе персональных данных

 

 В соответствии с требованиями ч. 5 ст.18 Федерального закона при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Издательская организация обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона.

 

Обязанности Издательской организации по обеспечению безопасности персональных данных при их обработке

 

При обработке персональных данных Издательская организация - Оператор в соответствии со ст.ст. 18, 18.1, 19 Федерального закона принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К мерам, направленным на обеспечение выполнения оператором обязанностей предусмотренных ст.18.1 Федерального закона могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Обеспечение безопасности персональных данных достигается следующими мерами:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

 - обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

 - установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

 

Уведомление уполномоченного органа об обработке персональных данных

 

В соответствии с частью 1 статьи 22 Федерального закона "О персональных данных" оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных об осуществлении (намерении осуществлять) обработку персональных данных.

Частью 2 указанной статьи предусмотрены случаи осуществления обработки персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.

Как показывает практика, деятельность Издательских организаций по обработке персональных данных, преимущественно, выходит за пределы случаев, предусмотренных ч. 2 ст. 22 Федерального закона «О персональных данных», в связи с чем данные организации должны в установленном порядке уведомлять уполномоченный орган по защите прав субъектов персональных данных об осуществлении (намерении осуществлять) обработку персональных данных.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

По адресу http://www.pd.rkn.gov.ru начал функционировать портал персональных данных. Портал создан в целях информационного сопровождения деятельности Роскомнадзора по защите прав субъектов персональных данных. На портале размещена электронная форма уведомления об обработке персональных данных, предоставляющая оператору возможность ее оперативного заполнения с последующим направлением в территориальный орган Роскомнадзора.

Электронные формы:

 

Видеоролик о защите детских персональных данных

Социальный ролик, посвященный защите персональных данных

Время публикации: 03.10.2009 03:00
Последнее изменение: 28.12.2022 10:31