Внимание, статья будет очень длинной. По сути, это почти полное содержание федерального закона «О персональных данных» № 152-ФЗ, но переведённый с юридического на обычный разговорный. Вы можете обращаться к нему, когда сложно понять текст законодателя, но очень важно, чтобы перед вами был открыт оригинал необходимой статьи закона. Проверяйте всю информацию, для удобства буду оставлять ссылки.
Закон регулирует обработку персональных данных (ОПД) с использованием средств автоматизации (в том числе в интернет), а также без использования таких средств, если осуществляется поиск персональных данных или доступ к ним на материальном носителе в картотеках и др.:
• федеральными органами государственной власти;
• органами государственной власти субъектов РФ;
• иными госорганами;
• органами местного самоуправления (ОМСУ);
• иными муниципальными органами;
• юрлицами;
• физлицами.
Настоящий ФЗ не распространяется в случаях, если:
• ОПД осуществляется физлицами исключительно для личных и семейных нужд без нарушения прав субъекта;
• хранение, комплектование, учёт и использование документов касается Архивного фонда РФ;
• ОПД отнесена к сведениям гостайны.
Обеспечение защиты прав и свобод человека и гражданина при ОПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Персональные данные (ПД) — это любая информация, которая прямо или косвенно относится к конкретному владельцу ПД (физлицу, субъекту).
Оператор — это все те, кто перечислен в ст. 1, если они самостоятельно или совместно с другими лицами осуществляют ОПД.
ОПД — это любое действие или совокупность действий, совершаемых с ПД с использованием средств автоматизации или без использования таких средств, включая:
• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.
Автоматизированная ОПД — это обработка с помощью средств вычислительной техники (компьютеры и ноутбуки, серверы, мониторы, клавиатура, мышь, жёсткие диски и др.).
Распространение ПД — это их раскрытие неопределенному кругу лиц.
Предоставление ПД — это их раскрытие определенному лицу или определенному кругу лиц.
Доступ к ПД — это, исходя из норм ст. 14 настоящего ФЗ, получение сведений о ПД. Он может быть ограничен, если нарушает права и законные интересы третьих лиц.
Часто люди задаются вопросом: если ОПД включает в себя столько операций и для её выполнения в некоторых случаях, перечисленных в ст. 6 настоящего ФЗ, согласие не требуется, значит ли это, что сюда же входит передача (распространение, предоставление, доступ) и оператор вправе осуществлять данную операцию без согласия субъекта?
Нет, не вправе.
Обработка включает в себя различные действия, но не все из них разрешены, если оператор не получил письменное согласие от субъекта ПД. Следует толковать нормы настоящего ФЗ системно и логически, не вырывая часть из целого. Из норм статей 6, 7, 8, 9, 10.1 и 14 далее мы увидим, что для передачи (распространения, предоставления, доступа) ПД третьим лицам наличие согласия субъекта обязательно.
СТАТЬЯ 4. ЗАКОНОДАТЕЛЬСТВО РФ В ОБЛАСТИ ПД
На основании и во исполнение федеральных законов государственные органы, а также Банк России, ОМСУ могут принимать нормативные правовые акты (НПА) по отдельным вопросам ОПД. Такие НПА не могут ограничивать права субъектов ПД.
Особенности ОПД без использования средств автоматизации установлены постановлением Правительства РФ от 15.09.2008 № 687.
1. ОПД должна осуществляться на основе закона;
2. ОПД должна ограничиваться заранее определёнными, конкретными, законными целями;
3. Не допускается обработка, несовместимая с целями сбора ПД;
4. Не допускается объединение баз данных, где ПД обрабатываются в целях, несовместимых между собой;
5. Обработке подлежат только те ПД, которые отвечают целям их обработки;
6. Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки;
7. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки;
8. Хранение ПД должно осуществляться в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют цели ОПД;
9. ПД подлежат уничтожению либо обезличиванию по достижении целей ОПД.
Уничтожение ПД — это уничтожение материальных носителей ПД, а также действия, в результате которых становится невозможным восстановить ПД в информационной системе.
Обезличивание ПД — это когда определить принадлежность ПД конкретному субъекту возможно с использованием дополнительной информации.
ОПД допускается, если:
1. Есть согласие субъекта на обработку его ПД;
2. Необходима для достижения целей международного договора РФ или закона;
3. Необходима для выполнения оператором функций, полномочий и обязанностей, возложенных на него законодательством РФ;
4. Осуществляется в связи с участием субъекта в судебных процессах;
5. Необходима для исполнения судебного акта;
6. Необходима для предоставления государственных и муниципальных услуг, предусмотренных 210-ФЗ от 27.07.2010. Сюда же включается регистрация субъекта на едином портале госуслуг, или региональном портале госуслуг, однако стоит заметить, что такая регистрация происходит с добровольного согласия, не принудительная;
7. Необходима для исполнения договора с участием субъекта ПД.
Договор не может:
• ограничивать права и свободы субъекта ПД;
• устанавливать ОПД несовершеннолетнего без законных на то оснований;
• допускать бездействие субъекта в качестве условия заключения договора;
8. Необходима для защиты жизни, здоровья субъекта, но согласие получить не имеется возможности;
9. Необходима для осуществления прав и законных интересов оператора или третьих лиц, но при условии, что не нарушаются права и свободы субъекта;
10. Необходима для осуществления деятельности журналиста, СМИ, научной, литературной или иной творческой деятельности. Но при условии, что не нарушаются права и законные интересы субъекта;
11. Осуществляется в статистических, исследовательских целях при условии обязательного обезличивания ПД. Исключение — обработка в целях продвижения товаров, услуг, политической агитации — в этом случае необходимо согласие субъекта ПД;
12. Ведется обработка обезличенных ПД с целью повышения эффективности государственного и муниципального управления, а также в рамках экспериментальных ФЗ № 123-ФЗ от 24.04.2020 (о проведении эксперимента для внедрения ИИ в Москве) и № 258-ФЗ от 31.07.2020 (об экспериментальном правовом режиме в цифровых инновациях РФ);
13. ПД подлежат опубликованию или обязательному раскрытию в соответствии с ФЗ.
Обработка специальных категорий ПД (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни) допускается, если (ст. 10 настоящего ФЗ):
1. Субъект дал письменное согласие;
2. Субъект дал согласие на распространение ПД с соблюдением ст. 10.1 настоящего ФЗ;
3. Она необходима в связи с реализацией международных договоров РФ о реадмиссии (согласие государства на обратный приём своих граждан);
4. Осуществляется в соответствии с законом о переписи населения (участие в переписи добровольное);
5. Осуществляется в соответствии с законодательством о социальной помощи, трудовым и пенсионным законодательством;
6. Необходима для защиты жизни, здоровья субъекта и других лиц, но согласие получить не имеется возможности;
7. Осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг лицом, профессионально занимающимся медицинской деятельностью и при условии, что сохраняется врачебная тайна. Здесь стоит упомянуть, что медицинские вмешательства допускаются с дачи информированного добровольного согласия гражданина или его законного представителя. Исключение — экстренная помощь;
8. Осуществляется общественным объединением или религиозной организацией в отношении своих членов (участников) для достижения целей, которые указаны в их учредительных документах. При условии, что ПД не будут распространяться без письменного согласия субъектов;
9. Необходима для осуществления правосудия;
10. Осуществляется в соответствии с законодательством об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительном производстве;
11. Осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
12. Осуществляется в связи с обязательным страхованием;
13. Осуществляется государственными и муниципальными органами в целях устройства детей, оставшихся без попечения родителей;
14. Осуществляется в соответствии с законодательством о гражданстве РФ.
Обработка ПД, касающихся состояния здоровья, полученных в результате обезличивания, допускается:
1. В целях повышения эффективности государственного или муниципального управления;
2. В целях, предусмотренных ФЗ от 24.04.2020 № 123-ФЗ (о проведении эксперимента для внедрения ИИ в Москве) и ФЗ от 31.07.2020 № 258-ФЗ (об экспериментальном правовом режиме в цифровых инновациях РФ).
В случаях обработки специальных категорий ПД, перечисленных выше, она должна быть незамедлительно прекращена, однако только тогда, когда была устранена причина из-за которой проводилась эта обработка.
Обработка ПД о судимости осуществляется государственными и муниципальными органами, а также иными лицами в порядке, определённым ФЗ.
Биометрические ПД (ст. 3 и ст. 11 настоящего ФЗ) — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Сюда относятся дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес, фотографии и видеозаписи человека, запись голоса, походка, характерные жесты, почерк и иное.
Биометрические ПД могут обрабатываться:
1. При наличии письменного согласия субъекта;
2. В связи с реализацией международных договоров РФ о реадмиссии (согласие государства на обратный приём своих граждан);
3. В связи с осуществлением правосудия и исполнением судебных актов;
4. В связи с проведением обязательной государственной дактилоскопической регистрации;
5. В связи с проведением обязательной государственной геномной регистрации;
6. В случаях, предусмотренных законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из РФ и въезда в РФ, о гражданстве РФ, законодательством РФ о нотариате.
Предоставление биометрических ПД не может быть обязательным, за исключением вышеперечисленных случаев. Оператор не вправе отказывать в обслуживании, если субъект отказывается предоставить биометрические ПД и (или) отказывается дать согласие на ОПД в тех случаях, когда такое согласие не является обязательным (эти случаи перечислены выше в данной 6 статье).
Оператор вправе поручить ОПД другому лицу на основании заключаемого с этим лицом договора, контракта, однако только с согласия субъекта ПД. Это лицо обязано соблюдать принципы и правила ОПД, соблюдать конфиденциальность. Отдельно получать согласие от субъекта это другое лицо не обязано, достаточно того, что субъект дал согласие оператору. При поручении оператором обработки другому лицу ответственность перед субъектом несёт сам оператор. Лицо же несёт ответственность перед оператором. Если оператор поручил ОПД иностранному физлицу или юрлицу, то ответственность перед субъектом ПД несут и оператор и эти лица. Поручить ОПД иностранному физлицу или юрлицу оператор сможет только при согласии субъекта.
СТАТЬЯ 7. КОНФИДЕНЦИАЛЬНОСТЬ ПД
Операторам и иным лицам, получившим доступ к ПД, запрещено раскрывать третьим лицам и распространять ПД без согласия субъекта, если иное не предусмотрено федеральным законом.
СТАТЬЯ 8. ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПД
Для информационного обеспечения могут создаваться общедоступные источники ПД (например, справочники, адресные книги). Для включения в общедоступные источники фамилии, имени, отчества, года и места рождения, адреса, абонентского номера, сведений о профессии и иных ПД необходимо письменное согласие субъекта ПД. По требованию субъекта, либо по решению суда и других уполномоченных госорганов, сведения из общественных источников должны быть исключены в любое время.
СТАТЬЯ 9. СОГЛАСИЕ СУБЪЕКТА НА ОБРАБОТКУ ЕГО ПД
Субъект принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на ОПД должно быть:
• конкретным;
• предметным;
• информированным;
• сознательным;
• однозначным.
Согласие на ОПД может быть дано субъектом или его представителем в любой форме, которая позволяет подтвердить факт получения согласия. В случае получения согласия от представителя субъекта полномочия данного представителя проверяются оператором.
Согласие на ОПД должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.
Согласие на ОПД может быть отозвано субъектом. В случае отзыва оператор вправе продолжить ОПД без согласия субъекта ПД, но только при наличии оснований, которые были перечислены выше, в ст. 6.
Доказывать получение согласия на ОПД или наличие оснований, перечисленных в ст. 6 чтобы обрабатывать без согласия, должен оператор.
ОПД, не относящаяся к случаям, перечисленным в ст. 6, осуществляется только с согласия субъекта ПД в письменной форме. Согласие в форме электронного документа, подписанного электронной подписью (например, код из СМС при входе в личный кабинет), признаётся равнозначным согласию на бумажном носителе с собственноручной подписью.
Обратите внимание, что должно содержать в себе согласие на ОПД:
1. ФИО, адрес субъекта ПД, номер документа, удостоверяющего его личность, дата выдачи указанного документа и кто его выдал;
2. Если согласие даёт представитель, то ФИО, адрес представителя субъекта ПД, номер документа, удостоверяющего его личность, дата выдачи указанного документа и кто его выдал, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
3. Наименование или ФИО, адрес оператора, кому даётся согласие;
4. Цель ОПД;
5. Перечень ПД, на которых даётся согласие;
6. Наименование или ФИО, адрес лица, осуществляющего ОПД по поручению оператора, если ОПД поручена другому лицу;
7. Перечень действий с ПД, описание способа обработки;
8. Срок на который даётся согласие, способ его отзыва;
9. Подпись субъекта ПД.
Если субъект ПД недееспособен согласие на ОПД даёт его законный представитель.
В случае смерти субъекта согласие на ОПД дают наследники, если субъект такое согласие не дал при жизни.
Если ОПД осуществляется в рамках оснований, перечисленных в ст. 6 настоящего ФЗ, то ПД могут быть получены оператором не от самого субъекта.
Требования к содержанию согласия на ОПД, разрешенных для распространения, устанавливает Роскомнадзор (Приказ Роскомнадзора от 24.02.2021 № 18).
СТАТЬЯ 10. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПД (изложена выше, в ст. 6).
СТАТЬЯ 10.1. ОСОБЕННОСТИ ОПД, РАЗРЕШЁННЫХ СУБЪЕКТОМ ДЛЯ РАСПРОСТРАНЕНИЯ
Согласие на обработку разрешенных для распространения ПД оформляется отдельно от других согласий. Оператор обязан обеспечить субъекту возможность определить перечень ПД, распространение которых он разрешает.
Если субъект раскрыл свои ПД неопределённому кругу лиц, но согласия на распространение ПД оператору не давал, то обязанность доказать законность последующего распространения или иной обработки лежит на каждом лице, осуществившем эти действия.
Если вследствие правонарушения, преступления или форс-мажора ПД были раскрыты неопределённому кругу лиц, то обязанность доказать законность последующего распространения или иной обработки лежит на каждом лице, осуществившем эти действия.
Если из согласия на обработку разрешенных для распространения ПД не следует, что субъект явно согласился с распространением ПД, то оператор выполняет обработку без права распространения.
В согласии на обработку разрешенных для распространения ПД субъект вправе установить запреты на передачу ПД (кроме предоставления доступа), а также запреты или условия (кроме получения доступа) неограниченному кругу лиц. Отказ оператора не допускается. Если человек дал согласие на обработку своих ПД для их распространения, но при этом не написал никаких запретов или условий, или не уточнил, какие именно данные можно обрабатывать и с какими ограничениями, то эти данные может обрабатывать только тот оператор, которому они были предоставлены, без права передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
Молчание или бездействие субъекта ПД ни при каких обстоятельствах не может считаться согласием на распространение ПД.
Действие согласия на обработку разрешенных для распространения ПД прекращается с момента поступления оператору соответствующего требования.
Требования данной статьи не применяются, если ОПД проводится государственными и муниципальными органами (а также подведомственными им организации) для исполнения на них функций, полномочий и обязанностей, возложенных законодательством, предусмотренными ст. 6 настоящего ФЗ.
СТАТЬЯ 11. БИОМЕТРИЧЕСКИЕ ПД (изложена выше, в ст. 6)
СТАТЬЯ 12. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПД
Трансграничная передача ПД — это передача данных на территорию иностранного государства (ст. 3 настоящего ФЗ):
• органу власти иностранного государства;
• иностранному юрлицу;
• иностранному физлицу.
При намерении осуществлять трансграничную передачу ПД оператор должен уведомить об этом Роскомнадзор отдельно от уведомления о намерении осуществлять ОПД. При этом ведомство давало разъяснение, что ОПД посредством, например, Google Analytics (статистика посетителей на сайте) тоже является трансграничной передачей. При осуществлении трансграничной передачи ПД отдельного письменного согласия субъекта не требуется. Оператору необходимо руководствоваться общими принципами ОПД, установленными ч. 1 ст. 6 настоящего ФЗ.
СТАТЬЯ 13. ОСОБЕННОСТИ ОПД В ГОСУДАРСТВЕННЫХ И МУНИЦИПАЛЬНЫХ СИСТЕМАХ ПД
Информационная система персональных данных (ИС ПД) — это совокупность ПД и обрабатывающих их информационных технологий и технических средств (ст. 3 настоящего ФЗ).
Государственные и муниципальные органы создают в соответствии с федеральными законами государственные или муниципальные ИС ПД (ГИС и ФИС). В ГИС и ФИС федеральными законами могут быть установлены особенности учёта ПД, разные способы указать, кому принадлежат определённые данные (например, ФИО, номер телефона, адрес проживания и т. д.). При этом не допускается применять способы, которые оскорбляют чувства граждан или унижают человеческое достоинство.
Права, свободы человека и гражданина не могут быть ограничены из-за выбора способа обработки его ПД.
С целью реализации прав субъектов ПД, связанных с ОПД в ИС ПД, федеральным законом может быть создан регистр населения. То есть, если такой регистр не связан с реализацией прав субъектов, его создание нецелесообразно (пример — скандальный ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении РФ» от 08.06.2020 № 168-ФЗ).
СТАТЬЯ 14. ПРАВО СУБЪЕКТА НА ДОСТУП К ЕГО ПД
Субъект ПД имеет право на получение информации, касающейся обработки его ПД.
Это право может быть ограничено только федеральными законами и если:
1. ОПД осуществляется в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности в целях обороны страны, безопасности государства и охраны правопорядка;
2. ОПД осуществляется органами при задержании субъекта по подозрению в совершении преступления, при обвинении по уголовному делу, при применении меры пресечения до предъявления обвинения;
3. ОПД осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4. Если доступ к ПД нарушает права и интересы третьих лиц;
5. ОПД осуществляется в соответствии с законодательством о транспортной безопасности, в целях устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Субъект ПД вправе требовать от оператора уточнения его ПД, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Блокирование ПД — временное прекращение ОПД (ст. 3 настоящего ФЗ).
Сведения должны быть предоставлены субъекту оператором в доступной форме, и в них не должны содержаться ПД других субъектов, если на это нет законных оснований. Сведения предоставляются субъекту или его представителю оператором в течение 10 рабочих дней с момента обращения, либо получения запроса от субъекта (его представителя). Срок может быть продлён не более чем на 5 рабочих дней, если оператор направил субъекту мотивированное уведомление с указанием причины продления.
Запрос субъекта должен содержать:
• номер основного документа, удостоверяющего личность субъекта или его представителя;
• сведения о дате выдачи документа и выдавшем его органе;
• сведения, подтверждающие наличие отношений субъекта с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения, либо сведения, иным образом подтверждающие факт ОПД оператором, подпись субъекта или представителя).
Запрос может быть направлен в форме электронного документа и подписан электронной подписью (например, код из СМС при входе в личный кабинет). Оператор предоставляет сведения в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
ОПД в целях продвижения товаров, работ, услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПД. Пока оператор не докажет, что было получено согласие субъекта, такая ОПД признаётся как проводимая без согласия.
По требованию субъекта о прекращении обработки, связанную с целями, перечисленными выше, оператор обязан немедленно прекратить ОПД.
Запрещается принятие решений об обработки ПД исключительно автоматизированным способом, если эти решения порождают юридические последствия для субъекта или иным образом затрагивают его права и законные интересы.
Такие решения могут быть приняты только:
• при наличии письменного согласия субъекта;
• на основании федеральных законов, устанавливающих меры по обеспечению соблюдения прав и законных интересов субъекта.
Оператор обязан разъяснить субъекту ПД:
• порядок принятия решения на исключительно автоматизированной ОПД;
• возможные юридические последствия такого решения;
• предоставить возможность заявить возражение против такого решения;
• разъяснить порядок защиты субъектом ПД своих прав и законных интересов.
СТАТЬЯ 17. ПРАВО НА ОБЖАЛОВАНИЕ ДЕЙСТВИЙ ИЛИ БЕЗДЕЙСТВИЯ ОПЕРАТОРА
Если субъект ПД считает, что оператор обрабатывает его ПД с нарушениями настоящего ФЗ или иным образом нарушает его права и свободы, то он вправе обжаловать действия или бездействие оператора в Роскомнадзор или в судебном порядке. Субъект ПД имеет право на защиту своих прав и законных интересов, на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
СТАТЬЯ 18. ОБЯЗАННОСТИ ОПЕРАТОРА ПРИ СБОРЕ ПД
Если предоставление ПД и получение согласия на ОПД является обязательными оператор обязан разъяснить субъекту ПД юридические последствия отказа.
При сборе ПД оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ.
Исключения:
• если обработка необходима для достижения целей, предусмотренных международным договором РФ или законом;
• если обработка необходима для осуществления возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
• если обработка осуществляется в связи с участием лица в судебных процессах;
• если обработка необходима для предоставления государственных и муниципальных услуг, предусмотренных 210-ФЗ от 27.07.2010. Сюда же включается регистрация субъекта на едином портале госуслуг, или региональном портале госуслуг, однако стоит заметить, что такая регистрация происходит с добровольного согласия, не принудительная;
• если обработка необходима для осуществления деятельности журналиста, СМИ, научной, литературной или иной творческой деятельности. Но при условии, что не нарушаются права и законные интересы субъекта.
Оператор должен выполнять обязанности, предусмотренные настоящим ФЗ и принятыми в соответствии с ним НПА. Он сам определяет состав и перечень мер для достижения этой цели. Документы и локальные акты оператора не могут ограничивать права субъектов ПД.
Оператор обязан обеспечить неограниченный доступ к документу, который определяет политику его ОПД и к реализуемым требованиям в отношении защиты ПД. Если оператор собирает ПД через интернет, то такие документы должны быть размещены на его сайте.
Оператор обязан сообщить субъекту ПД (или его представителю) информацию о наличии его ПД, предоставить возможность ознакомления с этими ПД при обращении субъекта или его представителя в течение 10 рабочих дней с даты получения запроса субъекта (представителя). В случае отказа оператора в предоставлении информации он обязан дать письменный мотивированный ответ.
Оператор обязан на безвозмездной основе предоставить субъекту или его представителю возможность ознакомиться с его ПД. В течение 7 рабочих дней после получения от субъекта (или его представителя) сведений о неполноте, неточности или неактуальности данных оператор обязан внести в них необходимые изменения. Оператор обязан уничтожить ПД в течение 7 рабочих дней, если субъект (или его представитель) представил сведения, подтверждающие, что данные получены незаконно или не нужны для заявленной цели обработки. Оператор обязан уведомить владельца ПД или его представителя о любых изменениях и принять разумные меры для уведомления третьих лиц, которым ПД этого субъекта были переданы.
В случае выявления неправомерной ОПД при обращении субъекта ПД, или его представителя, или Роскомнадзора, оператор, с момента такого обращения, обязан осуществить блокирование неправомерно обрабатываемых ПД субъекта, либо обязан обеспечить их блокирование, если ОПД осуществляется другим лицом, действующим по поручению оператора.
Если выявлена неправомерная ОПД, то оператор обязан прекратить эту обработку или обеспечить прекращение такой обработки лицом, которому поручил обработку в течение 3 рабочих дней с даты выявления нарушения.
Если оператор не может обеспечить правомерную ОПД, то в течение 10 рабочих дней с даты выявления нарушения обязан уничтожить ПД или обеспечить их уничтожение лицом, действующим по его поручению, и уведомить об устранении нарушений или об уничтожении ПД владельца или его представителя, а если поступил запрос от Роскомнадзора — то уведомить этот орган.
Если цель ОПД была достигнута, оператор обязан прекратить ОПД или обеспечить её прекращение, если обработка осуществлялась другим лицом по поручению оператора, а также обязан уничтожить ПД или обеспечить их уничтожение лицом, действующим по поручению оператора. Вышеуказанные действия должны быть выполнены в течение 30 дней с даты достижения целей ОПД, если иное не установлено в договоре или соглашении между оператором и субъектом ПД, или если оператор не вправе обрабатывать данные без согласия субъекта на основаниях ст. 6 настоящего ФЗ, например:
• если ОПД необходима для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
• если ОПД необходима для исполнения договора, подписанного с субъектом ПД.
Если субъект ПД отозвал своё согласие на ОПД, оператор обязан прекратить обработку или обеспечить прекращение другим лицом, который осуществлял обработку по поручению оператора. Если сохранение ПД для реализации целей ОПД более не требуется, то оператор обязан их уничтожить или обеспечить уничтожение другим лицом, которому поручал обработку в срок не более 30 дней с даты отзыва согласия, если иное не установлено в договоре или соглашении между оператором и субъектом ПД, или если оператор не вправе обрабатывать данные без согласия субъекта на основаниях ст. 6 настоящего ФЗ.
Если субъект ПД обратился к оператору с требованием прекратить ОПД, оператор обязан в течение 10 рабочих дней удовлетворить данное требование или обеспечить прекращение ОПД лицом, обрабатывающим данные по поручению оператора.
Исключения:
1. Если обработка необходима для достижения целей международного договора РФ или закона;
2. Если обработка необходима для выполнения оператором функций, полномочий и обязанностей, возложенных на него законодательством РФ;
3. Если обработка осуществляется в связи с участием субъекта в судебных процессах;
4. Если обработка необходима для исполнения судебного акта;
5. Если обработка необходима для предоставления государственных и муниципальных услуг, предусмотренных 210-ФЗ от 27.07.2010. Сюда же включается регистрация субъекта на едином портале госуслуг, или региональном портале госуслуг, однако стоит заметить, что такая регистрация происходит с добровольного согласия, не принудительная;
6. Если обработка необходима для исполнения договора с участием субъекта ПД. Договор не может ограничивать права и свободы субъекта ПД, устанавливать ОПД несовершеннолетнего без законных на то оснований, допускать бездействие субъекта в качестве условия заключения договора;
7. Если обработка необходима для защиты жизни, здоровья субъекта, но согласие получить не имеется возможности;
8. Если обработка необходима для осуществления прав и законных интересов оператора или третьих лиц, но при условии, что не нарушаются права и свободы субъекта;
9. Если обработка необходима для осуществления деятельности журналиста, СМИ, научной, литературной или иной творческой деятельности. Но при условии, что не нарушаются права и законные интересы субъекта;
10. Если обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПД. Исключение — обработка в целях продвижения товаров, услуг, политической агитации — в этом случае необходимо согласие субъекта ПД;
11. Если обработка обезличенных ПД с целью повышения эффективности государственного и муниципального управления, а также в рамках экспериментальных ФЗ № 123-ФЗ от 24.04.2020 (о проведении эксперимента для внедрения ИИ в Москве) и № 258-ФЗ от 31.07.2020 (об экспериментальном правовом режиме в цифровых инновациях РФ);
12. Если ПД подлежат опубликованию или обязательному раскрытию в соответствии с ФЗ;
13. Обработка специальных категорий ПД (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни) без согласия допускается, если:
• субъект дал согласие на распространение ПД с соблюдением ст. 10.1 настоящего ФЗ;
• она необходима в связи с реализацией международных договоров РФ о реадмиссии (согласие государства на обратный приём своих граждан);
• осуществляется в соответствии с законом о переписи населения (участие в переписи добровольное);
• осуществляется в соответствии с законодательством о социальной помощи, трудовым и пенсионным законодательством;
• необходима для защиты жизни, здоровья субъекта и других лиц, но согласие получить не имеется возможности;
• осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг лицом, профессионально занимающимся медицинской деятельностью и при условии, что сохраняется врачебная тайна. Здесь стоит упомянуть, что медицинские вмешательства допускаются с дачи информированного добровольного согласия гражданина или его законного представителя. Исключение — экстренная помощь;
• осуществляется общественным объединением или религиозной организацией в отношении своих членов (участников) для достижения целей, которые указаны в их учредительных документах. При условии, что ПД не будут распространяться без письменного согласия субъектов;
• необходима для осуществления правосудия;
• осуществляется в соответствии с законодательством об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительном производстве;
• осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
• осуществляется в связи с обязательным страхованием;
• осуществляется государственными и муниципальными органами в целях устройства детей, оставшихся без попечения родителей;
• осуществляется в соответствии с законодательством о гражданстве РФ.
14. Обработка биометрических ПД может осуществляться без согласия:
• в связи с реализацией международных договоров РФ о реадмиссии (согласие государства на обратный приём своих граждан);
• в связи с осуществлением правосудия и исполнением судебных актов;
• в связи с проведением обязательной государственной дактилоскопической регистрации;
• в связи с обязательной государственной геномной регистрации;
• в случаях, предусмотренных законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из РФ и въезда в РФ, о гражданстве РФ, законодательством РФ о нотариате.
Подтверждение уничтожения ПД осуществляется в соответствии с требованиями Роскомнадзора (Приказ Роскомнадзора от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»).
СТАТЬЯ 22.1. ЛИЦА, ОТВЕЧАЮЩИЕ ЗА ОРГАНИЗАЦИЮ ОПД В ОРГАНИЗАЦИИ
Оператор, являющийся юрлицом, назначает ответственного за организацию ОПД.
Ответственный за ОПД обязан:
1. Осуществлять внутренний контроль за тем, как руководство и персонал соблюдают законодательство РФ о ПД, в том числе за соблюдением требований к защите ПД;
2. Доводить до сведения работников оператора положения законодательства РФ о ПД, локальных актов по вопросам ОПД, требований к защите ПД;
3. Организовывать прием и обработку обращений и запросов субъектов ПД или их представителей, контролировать этот процесс.
СТАТЬЯ 23. УПОЛНОМОЧЕННЫЙ ОРГАН ПО ЗАЩИТЕ ПРАВ СУБЪЕКТА (РОСКОМНАДЗОР)
Роскомнадзор рассматривает обращения субъекта ПД о соответствии содержания ПД и способов их обработки целям обработки, а также принимает соответствующее решение.
Роскомнадзор вправе:
1. Запрашивать у физлиц и юрлиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2. Осуществлять проверку сведений, содержащихся в уведомлении об ОПД оператора, или привлекать для проверки иные гос. органы в пределах их полномочий;
3. Требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем ПД;
4. Ограничивать доступ к информации, обрабатываемой с нарушением законодательства РФ в области ПД в порядке, установленном в ст. 15.5 ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
5. Принимать меры по приостановлению или прекращению ОПД, которая осуществляется с нарушением настоящего ФЗ;
6. Обращаться в суд с исковыми заявлениями в защиту прав субъектов ПД, неопределённого круга лиц, представлять интересы субъектов ПД в суде;
7. направлять в ФСБ России и ФСТЭК России описание мер, предусмотренных статьями 18.1 и 19 настоящего ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
8. Роскомнадзор вправе направлять заявление в Роскомнадзор (так странно и написано) для принятия мер по приостановлению или аннулированию действия лицензии деятельности оператора, если оператор нарушает условие лицензии, которая запрещает передавать персональные данные третьим лицам без письменного согласия субъекта данных;
9. Направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПД;
10. Вносить в Правительство РФ предложения о совершенствовании нормативного правового регулирования защиты прав субъектов ПД и деятельности по ОПД;
11. Привлекать к административной ответственности лиц, виновных в нарушении настоящего ФЗ.
Роскомнадзор при осуществлении своей деятельности по защите прав субъектов ПД должен обеспечивать конфиденциальность ПД.
Роскомнадзор обязан:
1. Организовывать защиту прав субъектов ПД;
2. Рассматривать жалобы и обращения граждан или юрлиц по вопросам, связанным с ОПД, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3. Вести реестр операторов;
4. Совершенствовать защиту прав субъектов ПД;
5. Принимать по представлению ФСБ России, ФСО России или ФСТЭК России меры по приостановлению или прекращению ОПД;
6. Информировать гос. органы, субъектов ПД по их обращениям или запросам о положении дел в области защиты прав субъектов ПД;
7. Выполнять иные предусмотренные законодательством РФ обязанности.
Права и обязанности Роскомнадзора, установленные в частях 3 и 4 настоящей статьи, осуществляются им непосредственно и не могут быть переданы иным органам государственной власти.
Решения Роскомнадзора могут быть обжалованы в судебном порядке.
Роскомнадзор ежегодно направляет отчёт о своей деятельности Президенту РФ, в Правительство РФ и в Федеральное Собрание РФ (Государственная дума и Совет Федерации). Отчёт подлежит опубликованию в СМИ.
Финансируется Роскомнадзор осуществляется за счет средств федерального бюджета.
Роскомнадзор ведёт реестр, в котором фиксирует случаи неправомерной или случайной передачи (предоставление, распространение, доступ) ПД, которые привели к нарушению прав граждан.
СТАТЬЯ 24. ОТВЕТСВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЗ
Лица, виновные в нарушении требований настоящего ФЗ несут ответственность, предусмотренную законодательством РФ:
• дисциплинарная ответственность. Подпункт «в» п. 6 ч. 1 ст. 81, ст.90, ст. 192 ТК РФ;
• административная ответственность. Ст. 5.39, 13.11, 13.12, 13.14 КоАП РФ;
• уголовная ответственность. Ст. 137, ст. 140, ст. 272 УК РФ;
• гражданско-правовая ответственность. Ст. 15, ст. 24 ГК РФ.
Моральный вред, причиненный субъекту вследствие:
• нарушения его прав;
• нарушения правил ОПД;
• нарушения требований к защите ПД (постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите ПД при их обработке в ИС ПД»)
подлежит возмещению в соответствии с законодательством РФ (ГК РФ (часть 2), § 4. «Компенсация морального вреда»). Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков.
Подпишитесь на обновления, чтобы нам не потеряться
Раз в месяц будет приходить письмо с подборкой пользы. Вне очереди — если что-то очень важное в сфере семейного образования
Может быть полезно:
