Методичка: отзыв согласия на обработку персональных данных

Если ранее вами было подписано добровольное согласие на обработку персональных данных (ОПДн), то имеет смысл его отзывать ото всюду, где оно давалось. Причины станут понятны по тексту.

Оператором обработки персональных данных, согласно п. 2 ст. 3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее 152-ФЗ), является школа, детский сад, поликлиника, МФЦ, пенсионный фонд, соцзащита, ЗАГС, оператор сотовой связи, банк и любой другой «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных». То есть оператором ОПДн является та государственная или частная организация, где вы подписали согласие на ОПДн. 

Отзываете свое согласие вы именно там, где его давали. В случае, если оператор передавал (распространял, предоставлял, давал доступ) третьим лицам, то он обязан обеспечить прекращение ОПДн «другим лицом, действующим по поручению оператора» (ч. 5 ст. 21 152-ФЗ). 

Нулевой шаг в этом процессе — рассмотреть организацию со всех сторон. Предварительное знакомство. Например, зарегистрирована ли она в реестре Роскомнадзора. Для этого: 

  1. Узнаем ИНН организации, набираем в поисковой строке название организации и слово «ИНН», заходим на сайт единого государственного реестра юридических лиц (ЕГРЮЛ) и копируем ИНН организации; 
  1. Заходим на официальный сайт Роскомнадзора на страницу Реестр операторов, осуществляющих ОПДн (https://rkn.gov.ru/personal-data/register/); 
  1. Вводим в поисковую графу «ИНН» идентификационный номер налогоплательщика (ИНН) данной организации и нажимаем на кнопку «Найти»; 
  1. Изучаем информацию об организации. Тут можно обнаружить: цель обработки персональных данных (ПДн), какими нормативными правовыми актами пользуется организация при ОПДн, ознакомиться с мерами, принятыми организацией (а такие меры оператор обязан принять согласно ст. 18.1 и 19 152-ФЗ и вы можете проверить, как справилась организация со своей задачей, ознакомьтесь с данными статьями), узнать, какое лицо ответственно за обработку ОПДн, его электронный адрес (если вы решите контактировать с организацией в электронной форме), узнать сроки и условия прекращения ОПДн, способ обработки ПДн (например, при смешанной обработке оператор обрабатывает данные смешанным способом, то есть и не автоматизированным и автоматизированным с передачей через интернет или без таковой), передает ли организация ПДн трансгранично (передача ПДн иностранному государственному органу, юридическому или физическому лицу иностранного государства). 

Зная ИНН организации, можно просматривать в каких госзакупках она участвовала на сайте zakupki.gov.ru (https://zakupki.gov.ru/epz/organization/search/results.html). Какое оборудование приобреталось для соблюдения безопасности, соответствовало ли оно нормам и тому подобное. 

Далее желательно направить оператору запрос с уточнением подробностей, которые интересуют субъекта ПДн (вас). Вы уже знаете, кто является ответственным лицом, отвечающее за ОПДн и к кому, следовательно, обращаться с запросом. 

Этот шаг не обязательный, но рекомендованный. 

Право направлять запрос и получить развернутый ответ нам дают следующие нормативные правовые акты: 

а) ч. 2 ст. 24 Конституции РФ: «Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом»; 

б) ч. 2 ст. 8 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы»; 

в) ч. 5 ст. 8 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения»; 

г) ч. 7 ст. 14 152-ФЗ «О персональных данных»: «Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 

  1. подтверждение факта обработки персональных данных оператором; 
  1. правовые основания и цели обработки персональных данных; 
  1. цели и применяемые оператором способы обработки персональных данных; 
  1. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; 
  1. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 
  1. сроки обработки персональных данных, в том числе сроки их хранения; 
  1. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; 
  1. информацию об осуществленной или о предполагаемой трансграничной передаче данных; 
  1. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 
  1. иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами». 

д) ч. 1 ст. 20 152-ФЗ: «оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя». 

 

Таким образом, формируем запрос (пример): 

 

Кому ________________________________ 

От (ФИО) ____________________________ 

Вид документа_______________________ 

Номер документа_____________________ 

Дата выдачи, кем выдан_______________ 

 

Запрос 

На основании ч. 2 ст. 24 Конституции РФ, ч. 2 и 5 ст. 8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ч. 4 ст. 14 Федерального Закона от 27.07.2006 года № 152 «О персональных данных» прошу в срок установленный ФЗ. № 152 «О персональных данных», предоставить мне, как субъекту–обладателю персональных данных, доступ к моим персональным данным, находящимся во временном обладании ООО «Рога и копыта», а также следующую информацию: 

  1. подтверждение факта обработки персональных данных; 
  1. перечень обрабатываемых ПДн и источники их получения; 
  1. цели и основания обработки моих ПДн; 
  1. какие сроки обработки и хранения моих ПДн; 
  1. наименование и место нахождения оператора; 
  1. способы обработки ПДн; 
  1. наименование и место нахождения третьих лиц (или фамилию, имя, отчество и адрес третьих лиц), которым оператор предоставил доступ к моим ПДн; 
  1. реализация оператором обязанности по обеспечению безопасности ПДн; 
  1. список информационных систем, обрабатывающих мои ПДн; 
  1. наличие или отсутствие лицензирования по технической защите конфиденциальной информации (ТЗКИ) при защите ПДн; 
  1. сведения о том, какие юридические последствия для субъекта персональных данных (меня) может повлечь за собой обработка его ПДн; 
  1. подвергаются ли мои ПДн трансграничной передаче (передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу). 

/*в случае отправки запроса по Почте России: Ответ на настоящий запрос прошу направить в письменной форме по адресу: ______________________________________________________________________в установленные законом сроки. 

/* в случае подачи запроса в электронном виде: Ответ на настоящий запрос прошу направить на электронную почту: ______________________ в установленные законом сроки. 

«___» __________ 20___ г.                                  ___________/_________________/ 

 

 

 

Неправомерный отказ должностного лица в предоставлении гражданину, (адвокату в связи с поступившим от него адвокатским запросом), и (или) организации информации, несвоевременное ее предоставление, либо предоставление заведомо недостоверной информации преследуется ст. 5.39 КоАП РФ. 

Ответственность за нарушения в сфере законодательства о персональных данных также устанавливает и ст. 140 УК РФ: «Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. 

После получения отказа/отписки или если ответ вас не удовлетворил, идем в электронную приемную сайта Роскомнадзора (https://rkn.gov.ru/treatments/ask-question/) и формируем заявление. Дублируем заказным письмом в адрес территориального органа Роскомнадзора, который относится к месту вашего проживания. 

 

Примерный текст заявления в Роскомнадзор: 

  

хх хх 2011 г. мной, субъектом-обладателем персональных данных в адрес оператора ООО «Рога и копыта», во временном обладании которого находятся мои персональные данные, был направлен запрос в письменном виде на предоставление доступа к моим ПД, а также предоставления мне информации предусмотренной ч. 7 ст. 14 ФЗ от 27.07.2006 г. № 152 «О персональных данных». Копия запроса прилагается. 

хх.02.2011. я получил ответ от оператора ООО «Рога и копыта» №хх от хх.02.2011. Копия ответа прилагается. 

Настоящий ответ не удовлетворил меня по следующим причинам: 

  1. Доступ к своим персональным данным я не получил. 
  1. Никакие из запрашиваемых в письменном обращении сведения мне предоставлены не были. 
  1. Ни на один поставленный в моем обращении вопрос разъяснений я не получил. 

(Описываете, что еще вам не ответили) 

Заявленной целью обработки персональных данных оператора ООО «Рога и копыта» является в том числе «обработка персональных данных физических лиц — клиентов ОАО «Рога и копыта» при осуществлении ____ (указываете для каких целей обрабатывается). 

Из условий договора, на который ссылается в своем ответе оператор ОАО «Рога и копыта» следует, что обрабатывает согласно договору хх.хх.2011 г. Договор № ххх1 от хх.хх.2004. был полностью исполнен. 

Отсюда следует, что каких-либо договорных отношений с ООО «Рога и копыта» нет и их заключение не предполагается. Заявленная оператором цель обработки ПД «обработка персональных данных физических лиц — клиентов ООО «Рога и копыта» при осуществлении условий выполнения договора» достигнута или не соответствует заявленной. 

Считаю действия оператора ООО «Рога и копыта» по обработке моих персональных данных несоответствующими требованиям настоящего Федерального закона «О персональных данных» и нарушающими мои права и свободы. 

После изучения ответа оператора на свой запрос считаю дальнейшую переписку с оператором ООО «Рога и копыта» нецелесообразной. 

На основании вышеизложенного 

ПРОШУ: 

  1. Оказать содействие в проведении проверки деятельности оператора ПД ООО «Рога и копыта» по обработке моих персональных данных на соответствие действующему законодательству в области персональных данных. 
  1. Оказать содействие в блокировании и уничтожении моих персональных данных, находящихся во временном обладании оператора – ООО «Рога и копыта» на основании достижения цели их обработки, а также иных выявленных нарушений в ходе проверки. 
  1. В случае уничтожения персональных данных обязать оператора ООО «Рога и копыта» уведомить меня – субъекта персональных данных о результате в письменном виде. 

Ответ прошу выслать на адрес: ххххх 

*текст у всех индивидуальных, это лишь пример описания проблемы, с которой столкнулся вымышленный субъект ПДн. 

 

  1. Итак, согласно ч. 1 ст. 20 152-ФЗ вы должны получить официальный ответ с предоставленной оператором информации в течение 30 дней с момента его получения запроса. На основании ответа можно сформировать более точный и грамотный отзыв своего согласия, с указание конкретных мер (например, с каких информационных систем вы требуете удаление вашихПДн и прекращение автоматизированной обработки). В отзыве прописываем свое требование предоставить акт уничтожения ваших ПДн. 

Получить индивидуальную консультацию эксперта

- если помощь нужна здесь и сейчас
- нет времени разбираться во всех нормативных актах
- необходим персональный разбор ситуации, компетентные варианты решений
- анализ присланных ответов, составление документов, заявлений, жалоб и др.

До 60 мин аудио, текстовой переписки - 3000 р.
Подготовка документа - 2000 р.

либо напишите самостоятельно в telegram, или на e-mail zarema@info-so.ru

С момента получения вашего отзыва согласия оператор обязан прекратить обработку ваших ПДн и уничтожить их (если сохранение ПДн более не требуется для целей обработки ПДн). В случае если оператор передал ваши ПДн (предоставил доступ, распространил) третьим лицам, то он обязан обеспечить прекращение обработки ПДн третьими лицами и уничтожение ими ваших ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва — ч. 5 ст. 21 152-ФЗ. В случае, если вы отозвали согласие на автоматизированную обработку в пользу традиционной, на бумажных носителях и потребовали удаления ваших ПДн из информационных систем, оператор обязан удалить их. Настоятельно просим предоставить акт об удалении ПДн. 

Подать заявление в учреждение можно несколькими путями: 

  1. Лично в канцелярию или приемную организации секретарю. В этом случае необходимо подготовить 2 экземпляра документа, на одном из них организация при приеме поставит отметку о получении (входящий номер иметь обязательно). 
  1. Почтовой корреспонденцией — заказным письмом с уведомлением и описью содержимого. Опись необходима как доказательство, что было отправлено именно заявление об отзыве согласия на обработку ПДн, а не что-либо иное. В этом случае подтверждать получение документа организацией будет уведомление, которое вернется отправителю. 
  1. В электронной форме, на официальный email организации (согласно ст. 4 федерального закона от 02.05.2006 г. «О порядке рассмотрения обращений граждан РФ» № 59-РФ (далее 59-ФЗ) обращение гражданина считается как устное, так и «в письменной форме или в форме электронного документа»). В этом случае оформляйте заявление на бумаге, а отправляйте его скан, прикрепив документ к электронному письму. Также есть возможность подписать свое заявление электронной подписью, но не у всех она имеется, да и ее наличие уже подразумевает автоматизированную обработку ПДн. Также можно отправить обращение через электронную приемную на сайте организации, если такая имеется, но обратите внимание, что в этом случае вы даете согласие на автоматизированную обработку ПДн при отправке обращения, иначе не получится электронного взаимодействия с вами вообще, так обязывает закон о персональных данных. Нужно читать политику конфиденциальности ресурса, такая обязана быть на каждом сайте. 

Согласно ст. 12 того же федерального закона 59-ФЗ обращение «рассматривается в течение 30 дней со дня регистрации письменного обращения». В исключительных случаях данный срок может быть больше, уведомляя об этом гражданина. 

Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией. 

Внимание, важная информация. Ваше добровольное согласие на ОПДн в организации давалось не потому, что без него невозможно будет взаимодействовать с вами. Такого согласия не требуется согласно ст. 6 152-ФЗ. И ваши данные будут обрабатываться дальше, после отзыва, согласно ст. 9 152-ФЗ, но уже в рамках предоставления услуг, выполняя обязательства перед гражданином. Было подписано письменное согласие на то, чтобы ваши данные оператор смог обрабатывать автоматизированным способом, с помощью средств вычислительной техники. Занести ваши данные в информационные системы. А также это ваше согласие на то, чтобы оператор смог передавать (предоставлять, давать доступ, распространять) ваши данные неограниченному числу третьих лиц, в том числе через интернет. Часто письменное согласие берется обманом, ссылаясь на невозможность предоставления услуги без него. Поэтому в своем отзыве обращаем внимание на данные пункты и делаем запрет. 

 

Образец формы заявления об отзыве согласия на обработку ПДн в школу: 

 

Кому (директор)___________________________________ 

От (ФИО родителя) _______________________________, 

 действующего в интересах несовершеннолетнего           

ребенка (ФИО)____________________________________, 

Адрес ____________________________________________ 

 

ЗАЯВЛЕНИЕ ОБ ОТЗЫВЕ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ  

 

Я, ___________________________________ (ФИО), на основании ст. 64 Семейного кодекса РФ являюсь законным представителем несовершеннолетнего/ней 

________________________________________(ФИО) ___.___.20___г.р., уч-ся ____ класса _________________________________________________  (далее по тексту — Школа). 

На основании ч. 1 — 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Закон), отзываю у Школы ранее данное мной согласие на обработку персональных данных моего несовершеннолетнего ребенка, своих персональных данных, а также членов моей семьи, необходимость обработки которых не является обязательной в силу законодательства РФ (ст. 6 Закона). 

Согласие на обработку персональных является добровольным, дается субъектом персональных данных свободно, своей волей и в своем интересе, однако, Школа не информировала меня о вышеуказанном. Согласие было обязательным требованием для получения образовательной услуги, что трактуется как нарушение сразу нескольких норм действующего законодательства РФ и международных норм, являющихся приоритетными в нашем государстве. 

Школа располагает достаточными данными на учащегося для внутреннего использования в учебном процессе, а согласие подразумевает действия, избыточные по отношению к заявленным целям их обработки, что противоречит Закону. 

В случае, предоставления/передачи/распространения Школой персональных данных несовершеннолетнего (включая данные мои и моей семье) третьим лицам, обязать третьи лица прекратить такую обработку и уничтожить наши персональные данные, согласно ч. 5 ст. 6 Закона. Школа имеет законное право обрабатывать персональные данные без согласия в рамках возложенных на нее государством обязательств, для предоставления образовательных услуг. 

Напоминаю, что, в соответствии с ч. 5 ст. 21 Закона, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), а также уничтожить персональные данные или обеспечить их уничтожение третьим лицом, действующим по поручению оператора в срок, не превышающий 30 (тридцати) рабочих дней с даты поступления отзыва. Об уничтожении персональных данных оператор обязан уведомить субъект персональных данных. 

Тоже интересно:  Как составить индивидуальный учебный план и график промежуточной аттестации?

На основании изложенного 

ПРОШУ: 

  1. прекратить обработку и удалить из электронных баз данных (информационных систем) все персональные данные моего несовершеннолетнего ребенка, а также мои персональные данные и данные моей семьи. Вместе с письменным ответом на данный отзыв предоставить Акт удаления персональных данных. Типовую форму Акта прилагаю. В последующем обеспечить учет ведения успеваемости учащегося традиционным способом на бумажном носителе, без использования автоматизированной обработки (согласно ст. 4, 5 ,6 ФЗ «Об организации предоставления государственных и муниципальных услуг» от 27.07.2010 г. № 210-ФЗ (далее 210-ФЗ); Постановлении Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее ПП № 687)); 
  1. предоставить официальные письма от третьих лиц (Департамента образования, Департамента информационных технологий и остальных, кому оператор (Школа) поручил обработку наших персональных данных) о прекращении автоматизированной обработки и уничтожении персональных данных моего несовершеннолетнего ребенка ______________________________ (ФИО), моих персональных данных, персональных данных моей семьи из электронных баз/информационных систем, а также об уничтожении уникального идентификационного номера (id) присвоенного моему ребенку при ведении электронного документооборота. Прекратить передачу и предоставление доступа третьим лицам; 
  1. обеспечить реализацию конституционных прав и законных интересов несовершеннолетнего ребенка на получение бесплатного образования на основании п. 6 ст. 4; ч. 3 ст. 5; п. 2 ч. 1 ст. 6 210-ФЗ, ст. 9, 16 Закона, обеспечить государственные услуги в сфере образования в полном объеме, используя для работы традиционный способ учета человека — по фамилии, имени и отчеству и т.д. на бумажных материальных носителях, без включения их в электронный документооборот, в соответствии с ПП № 687,  без использования электронных услуг: электронного дневника/журнала, карты проход-питание, в том числе биометрии, (отпечатков пальцев, оцифровку венозного рисунка ладони, снимков роговиц глаз и т.п.). 
  1. не допускать дискриминации моего ребенка ________________________(ФИО) по причине отзыва и отказа в последующем от обработки персональных данных учащегося автоматизированным способом, а также отказа от использования электронных услуг: электронный дневник/журнал, паспорт здоровья школьника, карты проход-питание и прочее, согласно ч. 3 ст. 13 Закона. 
  1. в последующем не допускать исключения из школы моего ребенка по причине отсутствия у него электронной регистрации и/или ведения электронного документооборота в отношении несовершеннолетнего. 

Ставлю Вас в известность, что в случае формального подхода к рассмотрению моего заявления и дальнейших попыток вынудить меня дать согласие на обработку персональных данных, либо использование карательных мер по отношению к моему ребенку (например: не допуск к занятиям), буду вынуждена обратиться в Генпрокуратуру РФ, а также регуляторам по вопросам персональных данных, для дачи правовой оценки действиям должностных лиц, виновных в нарушении законодательства РФ и привлечения их к ответственности. Также оставляю за собой право подачи заявления о нарушениях Конституционных прав должностными лицами в органы управления образования, уполномоченные органы по защите прав субъектов персональных данных. 

Согласно ФЗ от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан РФ», письменный ответ о принятых Вами мерах по прекращению обработки и удалению из информационных систем персональных данных моего несовершеннолетнего ребенка _____________________________  (ФИО), включая мои персональные данные, а также персональные данные членов моей семьи,  письменные ответы о прекращении обработки и уничтожении наших персональных данных от третьих лиц, которым Школой была поручена обработка наших персональных данных, Акт об уничтожении персональных данных прошу направить по адресу: _________________________________________________________, в установленный действующим законодательством срок. 

С уважением, _________________/____________                      «___» ______________ 20___ г. 

 

 

*в случае, если детей в данной школе обучается более одного, возможно писать отзыв одним заявлением, указывая всех несовершеннолетних. 

 

 

Типовая форма акта об уничтожении персональных данных: 

 

Наименование оператора______________________________ 

Утверждаю (должность)_______________________________ 

Подпись/расшифровка____________/_____________________ 

Дата    «___» _______________ 20_____г. 

  

  

Акт об уничтожении персональных данных №____ 

   

Комиссия в составе: 

Председатель (должность, ФИО) ____________________________________________ 

Члены комиссии (должность, ФИО) ___________________________________________ 

__________________________________________________________________________  

провела отбор бумажных, электронных, магнитных и оптических носителей персональных данных и установила, что в соответствии с требованиями руководящих документов по защите информации указанные носители и информация, записанная на них в процессе эксплуатации, подлежит гарантированному уничтожению и составила настоящий акт о том, что произведено уничтожение носителей персональных данных: 

  

 Дата Тип носителя Примечание 
    
    

 

Уничтожение информации произведено ______________ (способ уничтожения: стирания на устройстве гарантированного уничтожения информации и т.п.), гарантирующим полное уничтожение персональных данных. 

Перечисленные носители персональных данных уничтожены путем (разрезания, сжигания, механического уничтожения и т.п.) 

_____________________________________________________________________. 

Подписи: 

Председатель комиссии: ____________ / _____________ 

Члены комиссии: ____________ / _____________ 

                                 ____________ / _____________ 

 

 

III. В случае если вы не согласны с ответом организации, в ответ на обращение приходит отписка, информация дана не по существу, рассмотрение заявления было формальным, дальнейшие действия могут быть следующими: 

  1. обращение к начальнику того должностного лица, который направил ответ, не устраивающий гражданина (заявителя) с требованием разобраться в сложившейся ситуации. В случае неудовлетворительного вас ответа обращаться в надзорные органы, приобщив копии ответов должностного лица и начальника этого лица.
  2. сразу, минуя п. 1, обращаться в надзорные органы (какие именно это органы будет информация ниже по тексту). К обращению приобщается копия неудовлетворительного ответа организации.

Заявление в надзорные органы (и не только в надзорные) пишется строго по существу, без эмоций, поясняя шаг за шагом ситуацию. Недопустимо содержание в обращении нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностного лица, а также членов его семьи (ст. 11 59-ФЗ). 

Согласно ст. 10 59-ФЗ государственный орган, орган местного самоуправления или должностное лицо обязаны обеспечить объективное, всестороннее и своевременное рассмотрение обращения гражданина, дать письменный ответ по существу поставленных в обращении вопросов. В случае нарушения порядка рассмотрения обращений должностными лицами государственных органов, органов местного самоуправления, государственных и муниципальных учреждений и иных организаций, на которые возложено осуществление публично значимых функций, предусмотрена ответственность согласно ст. 5.59 КоАП РФ. 

В шапке заявления целесообразно указать сразу всех получателей, таким образом каждый из получателей видит, что задействованы несколько адресатов, что увеличивает эффективность обращения, дисциплинирует и обязывает каждого адресата внимательнее отнестись к обращению (жалобе). Далее заявление размножается в зависимости от количества получателей. Не забывайте, что в случае личной подачи заявления и у вас на руках должен остаться собственный экземпляр с входящим номером поступившей в организацию канцелярии. 

  1. Подробнее о регуляторах (надзорных органах) в сфере защиты информации иПДн. 

Защита персональных данных становится задачей каждой компании. На эти компании ложатся определенные обязанности – от разработки документации до установки соответствующего программного обеспечения. На определенные государственные ведомства возложены задачи по контролю над соблюдением законодательства, действующего в этой сфере. 

Действующее законодательство указывает на три ведомства Российской Федерации, на которые возложена обязанность контролировать выполнение юридическими лицами того, что требует от них закон, чтобы эффективно защищать персональные данные граждан. Это такие государственные органы: 

  1. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзорhttps://rkn.gov.ru/; 
  1. Федеральная служба по техническому и экспортному контролю (ФСТЭК) https://fstec.ru/; 
  1. Федеральная служба безопасности (ФСБ) http://www.fsb.ru/. 

Согласно законодательству, проверки организаций, являющихся операторами по обработке ПДн, могут быть плановыми и внеплановыми. 

Плановая проверка может быть назначена не ранее чем по прохождении трех лет с момента регистрации или подачи уведомления о работе с персональными данными. Каждый оператор всегда может знать, будут ли в отношении него производиться плановые проверочные мероприятия. 

А вот внеплановая проверка соблюдения правил защиты ПДн может быть назначена только при наличии веских причин. Это: 

  1. наличие заявления гражданина о нарушении его прав или противоправной деятельности, которую ведет компания; 
  1. сообщение об этом правоохранительного органа; 
  1. неисполнение предписания, выданного проверяющей организацией по результатам предыдущей плановой проверки; 
  1. нарушение законодательства, регулирующего сферу защиты ПДн и другие. 

Как видим, гражданин, который близко ознакомился с деятельностью организации (оператора), и нашедший нарушения, вполне может стать инициатором внеплановой проверки. Особенно если это коснулось безопасности его ПДн, а оператор отказал в прошении отзыва согласия гражданина. 

Важно, что внепланово проверяющие ведомства могут прийти в компанию только при наличии согласия органов прокуратуры. Если обращение гражданина, которое могло бы стать основой для проведения проверки, не содержит данных, которые могли бы помочь установить его личность, например, в нем проставлена неразборчивая подпись или отсутствует почтовый адрес, такое заявление не может быть положено в основу проведения проверки. 

О внеплановых проверяющие ведомства обязаны их уведомить не позднее чем за 24 часа.  Однако, если деятельность оператора вышла за рамки закона и таким нарушением был причинен вред человеку, его здоровью или жизни (например, утечка данных стала причиной нападения), то в этом случае уведомлять о проверке не требуется, она проводится незамедлительно после установления такого факта. 

На практике чаще всего проверки соблюдения законодательства по хранению и обработке ПДн проводятся Роскомнадзором. Все три уполномоченные организации достигли взаимопонимания и в порядке межведомственного взаимодействия иногда проводят совместные контрольные мероприятия в отношении одного и того же субъекта, распределяя между собой зоны ответственности и объекты проверок. Роскомнадзор отвечает за общее соблюдение законодательства, ФСТЭК и ФСБ контролируют соблюдение специальных лицензионных требований. 

  1. Роскомнадзор. Ведомство отвечает за большой круг правоотношений, связанных с информационными технологиями и использованием сети Интернет. Оно проверяет, насколько точно организации выполняют требования, связанные с обработкой и хранением ПДн, защитой прав субъектов. Ведомство вправе проверить те данные, которые компания указала в уведомлении о начале занятия видом деятельности, связанным с обработкой ПДн. 

Основываясь на законе о персональных данных (152-ФЗ), ведомство вправе: 

  1. запрашивать у граждан и организаций любую информацию, которая нужна ему для исполнения своих функций, и получать такие данные на безвозмездной основе; 
  1. проверять всю информацию, которую компания направила в государственный орган, сообщая о начале осуществления деятельности по ОПДн. Контроль проводится как непосредственно ведомством, так и с привлечением иных государственных структур, которые имеют полномочия на проверку указанных сведений; 
  1. при получении заявления гражданина или по иным причинам требовать от оператора блокировать, стереть или уточнить данные, не отвечающие требованиям достоверности или полученные нелегитимным способом; 
  1. в случае если обработка персональных данных не соответствует нормам и правилам, установленным для таких операций, самостоятельно, без переноса вопроса на решение суда, принимать решение о приостановке или запрете в дальнейшем заниматься ОПДн; 
  1. подавать в суды иски, предметом которых будет защита информационных и личных прав субъектов – носителей ПДн, представлять в суде интересы таких граждан; 
  1. направлять запрос в ведомство, выдавшее лицензию оператору на осуществление предпринимательской деятельности, связанной с обслуживанием ПДн, с просьбой приостановить ее действие или прекратить его, если одним из условий лицензирования был запрет на распространение или передачу ПДн, не заручившись подписанным их носителем разрешением; 
  1. писать официальные уведомления в прокуратуру и в органы следствия, направляя материалы, позволяющие решить вопрос о возбуждении уголовного дела, если были зафиксированы признаки деяния, предусмотренного УК РФ и имеющего отношение к неправомерному обращению с ПДн; 
  1. принимать обоснованные решения о привлечении операторов и иных лиц, некорректно использующих ПДн или совершающих иные правонарушения, к ответственности в рамках КоАП РФ. 

  

  1. ФСТЭК. Отвечает за техническое обеспечение системы защиты ПДн. Среди его полномочий: 
  1. запрос у оператора отчета по контролируемым видам деятельности и его проверка; 
  1. требование копий документов, подтверждающих соответствие используемой компьютерной техники и сертификатов на применяемое программное обеспечение; 
  1. запрос документации на помещения, подтверждающей то, что они оборудованы должным образом и гарантируют надлежащую защиту ПДн; 
  1. выезд на объект и контроль того, насколько эффективно применяются организационные меры, гарантирующие сохранность хранящихся там данных. 

Инспекторы проверяют документы, которые подтверждают соблюдение организацией условий предоставления лицензий, а также ранее направленных компании обязательных для выполнения предписаний ФСТЭК. 

Существует 2 типа проверок: 

  • документальная. Она происходит в ФСТЭК России или его управлении по тому или иному российскому федеральному округу на основании запрошенных документов и находящихся в них данных. Такой тип контрольных мероприятий может назначаться и в плановом, и во внеочередном, инициативном порядке; 
  • выездная. В ее рамках контролируется правильность выполнения требований, поставленных перед компанией в качестве условия выдачи лицензии. Она всегда происходит в офисе самой организации. Назначается этот тип проверочных мероприятий в том случае, когда документарную проверку провести не получается. Такая ситуация возникает тогда, когда те документы, которые есть у ФСТЭК, не позволяют достоверно проконтролировать соблюдение условий лицензии. 

 

  1. ФСБ. Также проводит контрольные мероприятия, призванные обеспечить точность и правильность соблюдения законодательства о работе с ПДн, но применительно к используемым субъектом проверки средствам криптографической защиты информации (СКЗИ). Это алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении. В сфере компетенции ФСБ оказываются: 
  1. запрос у операторов отчета по ведущимся им лицензируемым видам деятельности. Перечень вопросов и глубина контроля не ограничиваются нормативно, оператору нужно быть готовым дать полный отчет по всем аспектам выполнения лицензионных условий; 
  1. запрос копий документов, выдаваемых в качестве удостоверения соответствия используемых оператором технических средств защиты ПДн, в структуре которых находятся СКЗИ, установленным нормативными актами требованиям безопасности; 
  1. проверки точности и правильности выполнения предусмотренных лицензионными условиями организационных мер по обеспечению безопасности объектов, в которых происходит работа организации. 

Нарушение требований по охране и обработке ПДн, защите прав субъектов ПДн станет основанием для приостановления или прекращения действия лицензии. Проверка может быть назначена только на основании приказа руководителя Центра 8 ФСБ России. 

Важно, что полномочия ведомства законодательно ограничены. В ходе проведения проверок соблюдения законодательства по защите ПДн оно не вправе: 

  1. проверять правильность выполнения тех требований закона, которые к компетенции ведомства не относятся; 
  1. проводить мероприятия, если в этот период в компании отсутствует его директор или иное лицо, уполномоченное им на основании доверенности на взаимодействие с ведомством; 
  1. требовать передать копии документов, не имеющих отношения к предмету проверки, или изымать оригиналы документов; 
  1. распространять информацию, полученную в ходе проверки, если она относится к охраняемой законом категории тайн, например, банковской или коммерческой; 
  1. затягивать проверку по времени без вынесения мотивированного решения; 
  1. проводить контрольные мероприятия за счет компаний, выдавая им предварительно предписания об этом. 

В ходе мероприятий ФСБ проверяет несколько видов требований, в основном технических. 

К первой группе относятся требования по правильности применения организационных мер. Это: 

  • наличие документов, регламентирующих защиту оператором ПДн с использованием СКЗИ; 
  • выполнение ранее выданных рекомендаций ведомства, направленных на правильную организацию связи при передаче ПДн с применением СКЗИ. 

Ко второй группе относятся требования по правильности организации системы мер по криптографической защите ПДн. Это: 

  1. наличие в организации модели угроз с указанием потенциальных нарушителей; 
  1. релевантность этой модели, соответствие ее ранее представленным вводным; 
  1. соответствие применяемых средств защиты угрозам, освещенным в модели; 
  1. существование документов, подтверждающих легитимную поставку СКЗИ, обеспечивающих защиту ПДн, оператору. 

К третьей группе проверяемых объектов относится наличие на предприятии разрешительных документов, опосредующих методику защиты ПДн. Это: 

  1. проверка существования лицензий, необходимых для использования СКЗИ; 
  1. наличие сертификатов соответствия на приобретенные и используемые средства защиты ПДн; 
  1. наличие документации по эксплуатации этих средств, различных руководств оператора, инструкций, правил работы; 
  1. проверка соблюдения правил учета СКЗИ; 
  1. выявление средств, не имеющих необходимых сертификатов. 

К четвертой группе проверяемых объектов относятся требования к лицам, допущенным к обслуживанию СКЗИ, обеспечивающих защиту ПДн. Это: 

  1. наличие должностных инструкций; 
  1. порядок кадрового учета; 
  1. наличие сотрудников на всех предусмотренных штатным расписанием должностях; 
  1. порядок проведения обучения персонала, работающего с СКЗИ. 

К пятой группе объектов относятся способы эксплуатации средств защиты ПДн. Это: 

  1. оценка технического состояния; 
  1. правильность их ввода в эксплуатацию; 
  1. оценка правильности выбора применяемого программного обеспечения. 

К шестой группе объектов относятся организационные меры, которые обязан применять оператор ПДн. Это: 

  1. наличие инструкций; 
  1. наличие криптоключей; 
  1. режимные меры. 

Полномочия контролирующих органов достаточно широки. Но любое их решение оператор может оспорить в суде: как вынесенное предписание, так и протокол о привлечении к административной ответственности. 

Внимательно ознакомьтесь с полномочиями каждого регулятора, чтобы правильно определить свои дальнейшие действия и обращения по факту нарушений. От этого зависит на сколько будут достигнуты ваши цели, связанные с отзывом согласия на ОПДн. 

Тоже интересно:  Обязательно ли быть зачисленными в школе на семейном обучении? На какой срок?

Необходимо напомнить и о надзорных органах отдельных отраслей, таких как: 

  1. Рособрнадзор — надзор в сфере образования и науки; 
  1. Росздравнадзор — контролем качества медико-социальной помощи населению; 
  1. Роспотребнадзор — надзор в сфере защиты прав потребителей и благополучия человека; 
  1. Роструд — контроль и надзор в сфере труда, занятости, альтернативной гражданской службы, специальной оценки условий труда и социальной защиты населения, оказанию государственных услуг в сфере содействия занятости населения и защиты от безработицы, трудовой миграции и урегулирования коллективных трудовых споров, а также по предоставлению социальных гарантий, установленных законодательством Российской Федерации для социально незащищенных категорий граждан; 
  1. Ространснадзор — надзор в сфере транспорта и так далее. 

В зависимости от того, в какой сфере вы обращаетесь с отзывом и получаете отказ (отписку), подключайте нужный надзорный орган из списка выше. Или найдите в интернете необходимый в конкретной сфере. 

И отдельно нужно сказать о Прокуратуре — надзор за соблюдением Конституции Российской Федерации и исполнением абсолютно всех законов, действующих на территории Российской Федерации. 

  

  1. Ответственность за несоблюдение законодательства в сфере защитыПДн: 
  1. ст. 137 УК РФ «Нарушение неприкосновенности частной жизни» в случае если ваши ПДн обрабатываются без согласия (за исключением случаев, описанных в пунктах 2-11 ч. 1 ст. 6 152-ФЗ «О персональных данных», когда оператор имеет право обрабатывать ПДн без согласия субъекта) или продолжают обрабатываться после отзыва согласия: «Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Отягчающим обстоятельством по данному виду нарушений признается данное правонарушение, совершенное с использованием своего служебного положения»; 
  1. ст. 140 УК РФ «Отказ в предоставлении гражданину информации»: «Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан»; 
  1. ст. 272 УК РФ «Неправомерный доступ к компьютерной информации»: «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации», усугубляется ответственность, если «То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности» и если деяния «совершены группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения». То есть речь идет о неправомерном доступе, в том числе из корыстных побуждений одним лицом, или группой лиц по предварительному сговору с использованием своего служебного положения к информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети; 
  1. ст. 5.39 КоАП РФ «Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации»; 
  1. ст. 13.11 КоАП РФ Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Сюда входит: 
  • обработка ПДн, несовместимая с целями сбора ПДн; 
  • обработка ПДн без согласия в письменной форме субъекта ПДн; 
  • не опубликование оператором или необеспечение ознакомления с политикой обработки ПДн; 
  • непредоставление субъекту ПДн информации, касающейся обработки его ПДн; 
  • невыполнение оператором сроков по требованиям субъекта ПДн об уточнении его ПДн, их блокированию, уничтожению; 
  • несоблюдение оператором мер по сохранности ПДн субъекта при обработке ПДн без использования средств автоматизации (обработка на материальных носителях) 
  • невыполнение оператором обязанностей по обезличиванию ПДн, либо нарушение требований при их обезличивании; 
  • невыполнение оператором обеспечения записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПДн граждан с использованием баз данных, находящихся на территории РФ; 
  • повторное совершение административного правонарушения пункта; 
  1. ч. 2 ст. 13.12 КоАП РФ «Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)». Выше, в разделе I, шла речь о запросе оператору, какие информационные системы задействованы для обработки ваших ПДн; 
  1. ч. 4 ст. 13.2 КоАП РФ Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну; 
  1.  ч. 4 ст. 13.2 КоАП РФ Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну; 
  1. ч. 1 ст. 13.13 КоАП РФ Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна); 
  1. ч. 2 ст. 13.13 КоАП РФ Занятие видами деятельности, связанными с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну без лицензии; 
  1. ст. 13.14 КоАП РФ Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей; 
  1. ч. 1 ст. 19.4 КоАП РФ Неповиновение законному распоряжению или требованию должностного лица органа, осуществляющего государственный надзор (контроль), а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей; 
  1. ч. 1 ст. 19.5 КоАП РФ Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства; 
  1. . 2 ст. 19.5 КоАП РФ Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа; 
  1. ст. 19.6 КоАП РФ Непринятие по постановлению (представлению) органа (должностного лица), рассмотревшего дело об административном правонарушении, мер по устранению причин и условий, способствовавших совершению административного правонарушения; 
  1. ст. 19.7 КоАП РФ Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьями 19.7.1, 19.8, 19.19 КоАП РФ. 

 

  1. Нормативные правовые акты, касательно персональных данных и безопасности, выписки:
  1. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981г.); 
  1. Директива Европейского Союза № 2002/58/ЕС «О приватности и электронных коммуникациях»; 
  1. Федеральный закон Российской Федерации от 25.07.2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»; 
  1. Федеральный закон от 30.12.2015 г. № 439-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»; 
  1. Федеральный закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; 
  1. Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ — Глава 14 «Защита персональных данных работника»; 
  1. Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»; 
  1. Указ Президента Российской Федерации от 30.05.2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; 
  1. Указ Президента Российской Федерации от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»; 
  1. Распоряжение Президента Российской Федерации от 10.07.2001 г. № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»; 
  1. Постановление Правительства Российской Федерации от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»; 
  1. Постановление Правительства Российской Федерации от 03.11.1994 г. № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использования атомной энергии и уполномоченном органе по космической деятельности»; 
  1. Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 
  1. Постановление Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; 
  1. Постановление Правительства РФ от 04.03.2010 г. № 125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию»; 
  1. Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»; 
  1. Распоряжение Правительства Российской Федерации от 15.08.2007 г. № 1055-Р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»; 
  1. Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)»; 
  1. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; 
  1. Приказ Минкомвязи России от 20.07.2017 г. № 373 «О признании утратившими силу приказов Министерства связи и массовых коммуникаций РФ» от 21 декабря 2011 №346, от 28 августа 2015 №315 и п.9 приказа Министерства связи и массовых коммуникаций РФ от 24 ноября 2014 №403; 
  1. Приказ Роскомнадзора от 30.05.2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»; 
  1. Приказ Роскомнадзора от 30.10. 2018 г. № 159 «О внесении изменений в Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94»; 
  1. Постановление Правительства Российской Федерации от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» 
  1. Конституция РФ, ст. 23 
  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; 
  1. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 
  1. Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; 
  1. Указ Президента РФ от 09.05.2017 № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017 — 2030 годы» (в п. д) ч. 40 Указа имеет место следующая фраза «40. Основными задачами применения информационных и коммуникационных технологий для развития социальной сферы, системы государственного управления, взаимодействия граждан и государства являются: развитие технологий электронного взаимодействия граждан, организаций, государственных органов, органов местного самоуправления наряду с сохранением возможности взаимодействия граждан с указанными организациями и органами без применения информационных технологий»); 
  1. Федеральный закон от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» 
  1. Выписка из Нюрнбергского процесса, проходившего с 20 ноября 1945 по 1 октября 1946 г, где описано, что цифровая идентификация личности человека является признанным преступлением против человечности. Смотреть выписку: https://yadi.sk/i/0-s2EFlkZcxFZQ. 
  1. Постановление Правительства от 30.06.2018 № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации»; 
  1. Постановление Правительства от 19.08.2015 № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»; 
  1. Приказ ФСБ России от 10.07.2014 № 378 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации»; 
  1. Методические рекомендации ФСБ РФ от 31.03.2015 № 149/7/2/6-432 «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности»; 
  1. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; 
  1. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»; 
  1. Приказ Минкомсвязи от 25.06.2018 № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации»; 
  1. Приказ Минкомсвязи от 25.06.2018 № 323 «Об утверждении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации, требованиям к информационным технологиям и техническим средствам, предназначенным для указанных целей». 

Большинство из списка взято из официального сайта Роскомнадзора https://77.rkn.gov.ru/law/p4735/. 

 

 

Приложение 1. Примерный образец отказа от дачи согласия на обработки персональных данных 

 

_____________________________ 

_____________________________ 

_____________________________ 

_____________________________ 

 

 

Отказ от дачи согласия на обработку персональных данных 

 

«___» __________ 20__ г. мне было предложено подписать добровольное согласие на обработку персональных данных. Однако, согласно пункту 2 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее 152-ФЗ), организация вправе обрабатывать персональные данные без согласия для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей. В нашем случае оператором персональных данных является организация  _____________________________________, исполняющая обязанности, возложенные на нее Федеральным законом ___________________________________________________________. 

Согласно части 1 статьи 24 Конституции РФ «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются», а часть 1 статьи 9 152-ФЗ гласит, что «субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе». 

Таким образом, я, пользуясь своим правом, не даю согласие на обработку персональных данных своих и своего ребенка (как законный представитель, согласно части 1 статьи 64 Семейного кодекса РФ от 29 декабря 1995 г. № 223-ФЗ), а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

Я категорически против автоматизированной обработки персональных данных, внесения их в информационные системы, базы данных, и настаиваю на обслуживании традиционным способом, на бумажных носителях, согласно пункту 6 статьи 4, пункту 3 статьи 5 и пункту 2 части 1 статьи 6 Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». При этом часть 3 статьи 13 152-ФЗ гласит, что права и свободы человека и гражданина не могут быть ограничены по причине выбора традиционного способа обработки персональных данных. 

 

/*в случае личного подачи отказа: Данный отказ предоставляю в двух экземплярах, где второй с присвоенным номером входящей документации остается у меня. 

/*в случае отправки отказа по Почте России: Данный отказ предоставляю в двух экземплярах, второй, с присвоенным номером входящей документации, прошу выслать мне в 30-дневный срок, согласно ст. 12 Федерального закона от 2 мая 2006 г.  № 59-ФЗ «О порядке рассмотрения обращений граждан РФ» на почтовый адрес: ________________________________________________________________________. 

/*в случае подачи отказа в электронном видеОфициальный ответ на данный отказ прошу выслать мне в 30-дневный срок, согласно ст. 12 Федерального закона от 2 мая 2006 г.  № 59-ФЗ «О порядке рассмотрения обращений граждан РФ» на электронную почту: ________________________________. 

 

 

 

«___» _____________ 20___ г.                            ________________________/___________ 

 

5 2 votes
Рейтинг статьи
Подписаться
Уведомление о
guest
0 комментариев
Inline Feedbacks
View all comments
Пролистать наверх