В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

• фамилия, имя, отчество;
• место, дата рождения;
• место постоянной или временной регистрации;
• фотография или видеозапись человека, позволяющие идентифицировать человека;
• сведения о детях, родственниках, семейном положении;
• сведения о заработной плате;
• оценка навыков, личностных качеств;
• индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
• информация о судимостях, или их отсутствии;
• номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
• паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
• биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут.

Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.

ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

• общедоступные;
• специальные;
• биометрические;
• иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

• Немного подробнее по каждой категории.
• Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
• Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
• судимостях.

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят, передают и уничтожают.

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее.

Обработка персональных данных

Любой Договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная Оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

• сбор;
• передача;
• запись;
• хранение;
• извлечение;
• изменение;
• обезличивание;
• анализ;
• удаление.

В свою очередь, обработка может осуществляться тремя путями:

• Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
• Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
• Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив.

Определить срок хранения документа онлайн

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

• обработка ПД, несовместимая с целью сбора — Штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
• обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
• неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

• Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
• Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
• Отвечать на обращения субъектов и предоставлять им всю информацию.
• Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
• Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
• Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Смотреть, что будет, если неправильно хранить документы

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

• сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
• персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
• обработка персональных данных, находящимся в открытом доступе;
• сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
• сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
• сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует Акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Будущее экономического кризиса в России: Н.Зубарев… ❗ С 1 сентября компании будут обязаны выплачивать … Безлимитных тарифов на связь больше не будет?

Запрос из полиции о предоставлении документов

Порядок обработки персональных данных, в том числе их передачи, регламентирован Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (Далее — «Федеральный закон № 152-ФЗ»).

В положениях статьи 6 Федерального закона № 152-ФЗ предусмотрено, что согласия субъекта персональных данных на передачу (распространение) этих данных не требуется в ряде случаев.

Одним из них является обработка персональных данных на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (пункт 1 части 2 статьи 6 Федерального закона № 152-ФЗ).

При предоставлении персональных данных по запросам органов внутренних дел следует руководствоваться Федеральным законом от 07.02.2011 № 3-ФЗ «О полиции» (далее — Федеральный закон о полиции).

• Согласно пункту 4 части 1 статьи 13 Федерального закона о полиции полиция для выполнения возложенных на нее обязанностей имеет право в связи с расследуемыми уголовными делами и находящимися в производстве делами об административных правонарушениях, а также в связи с проверкой зарегистрированных в установленном порядке заявлений и сообщений о преступлениях, об административных правонарушениях, о происшествиях, разрешение которых отнесено к компетенции полиции, запрашивать и получать на безвозмездной основе по мотивированному запросу уполномоченных должностных лиц полиции от государственных и муниципальных органов, общественных объединений, организаций, должностных лиц и граждан сведения, справки, документы (их копии), иную необходимую информацию, в том числе, персональные данные граждан, за исключением случаев, когда федеральным законом установлен специальный порядок получения информации.
• В силу части 4 статьи 13 Федерального закона о полиции запрос должностных лиц полиции, предусмотренный указанным пунктом, обязателен для исполнения всеми государственными и муниципальными органами, организациями, должностными лицами и иными лицами.
• С учетом изложенного, запрос органами внутренних дел персональных данных должен осуществляться в соответствии с требованиями пункта 4 части 1 статьи 13 Федерального закона о полиции.

Закон «О полиции»

Сотрудники полиции, в своих запросах «о предоставлении информации», обосновывают свои требования п.п. 4, 17 ст. 13 Закона «О полиции».

Пункт 4 части 1 статьи 13 закона «О полиции»

В данном пункте говорится о том, что в связи с расследуемыми уголовными делами и проверкой заявлений о преступлениях сотрудники полиции имеют право запрашивать и получать от государственных и муниципальных органов, общественных объединений, организаций, должностных лиц и граждан сведения, справки, документы (их копии), иную необходимую информацию, в том числе персональные данные граждан.

Данная норма дает работникам полиции право истребовать документы и их копии у организаций всех типов собственности. Но необходимо обратить внимание на один аспект – это законность и обоснованность запроса.

Помимо номера материала проверки или возбужденного уголовного дела, по которым истребуются документы, должны быть указаны факты (аргументы) почему истребуемые документы относятся (имеют связь) к проводимой проверке или уголовному делу.

Ведь теоретически можно истребовать финансовую документацию компании и по материалу проверки по факту ДТП или, например, побоев.

Пункт 17 части 1 статьи 13 закона «О полиции»

Согласно данному пункту, сотрудники полиции вправе истребовать для проведения экспертиз от организаций независимо от форм собственности предоставление образцов и каталогов своей продукции, техническую и технологическую документацию и другие информационные материалы, необходимые для производства экспертиз. В связи с некорректностью формулировки – «другие информационные материалы», сотрудники полиции могут включать в это понятие любые интересующие их предметы и документы. Экспертизы проводятся в рамках возбужденного уголовного дела и производства по делу об административном правонарушении.

Следовательно, если в запросе идет ссылка на вышеуказанную норму права — в обязательном порядке должна быть отражена информация о конкретном уголовном деле с присвоенным ему номером, либо деле об административном правонарушении, в противном случае, Вы вправе на запрос не реагировать, ввиду его необоснованности. Более того, при проведении доследственной проверки по уголовному делу, ссылки на указанную норму неправомерны, что является основанием отказа в предоставлении информации.

II. Федеральный закон № 144-ФЗ «Об оперативно-розыскной деятельности» от 12 августа 1995 года

При применении ФЗ «Об оперативно-розыскной деятельности» в запросах «о предоставлении информации», сотрудники полиции чаще всего ссылаются на ст.ст. 6, 7 ФЗ «Об оперативно-розыскной деятельности».

Статья 6 ФЗ «Об оперативно-розыскной деятельности»

В статье 6 ФЗ «Об оперативно-розыскной деятельности» перечислены оперативно-розыскные мероприятия, которые могут проводить сотрудники полиции:

• Опрос.
• Наведение справок.
• Сбор образцов для сравнительного исследования.
• Проверочная закупка.
• Исследование предметов и документов.
• Наблюдение.
• Отождествление личности.
• Обследование помещений, зданий, сооружений, участков местности и транспортных средств.
• Контроль почтовых отправлений, телеграфных и иных сообщений.
• Прослушивание телефонных переговоров.
• Снятие информации с технических каналов связи.
• Оперативное внедрение.
• Контролируемая поставка.
• Оперативный эксперимент.

Оперативно-розыскное мероприятие, указанное в пункте 2 указанной статьи – «наведение справок» проводится для получения именно справок, поскольку понятия «справка» и «документация» не идентичны между собой. Вышеуказанное оперативно-розыскное мероприятие в данном случае может проводиться в виде гласного и подразумевает под собой получение согласия лица (организации), в отношении которого оно направлено.

Оперативно-розыскное мероприятие, указанное в пункте 5 указанной статьи – «исследование предметов и документов», относится только к тем предметам и документам, которые уже находятся у сотрудников полиции, то есть, добыты ими в рамках ранее проведенных оперативно-розыскных мероприятий.

Статья 7 ФЗ «Об оперативно-розыскной деятельности»

В статье 7 ФЗ «Об оперативно-розыскной деятельности» приведены основания для проведения оперативно-розыскных мероприятий.

Наиболее часто применяемое основание – это «ставшие известными органам, осуществляющим оперативно-розыскную деятельность, сведения о признаках подготавливаемого, совершаемого или совершенного противоправного деяния, а также о лицах, его подготавливающих, совершающих или совершивших, если нет достаточных данных для решения вопроса о возбуждении уголовного дела».

Указанные основания должны быть сообщены Вам в случае проведения в отношении Вас оперативно-розыскных мероприятий и на основании этих данных Вы решаете соглашаться с проведением оперативно-розыскных мероприятий или нет.

IV. ФЗ РФ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» № 115-ФЗ от 07 августа 2001 года

На практике в запросах «о предоставлении информации» также часто встречается ссылка на ФЗ РФ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», как основание запроса.

Однако никаких прав сотрудникам полиции запрашивать информацию документацию у граждан и организаций, данный закон не предоставляет. Также, данным законом не предусмотрено обязанности предоставления гражданами и организациями информации и документации сотрудникам полиции.

Иногда сотрудники полиции уточняют и указывают основание запроса не весь закон, а делают ссылку на статью 7 ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

В данной статье закреплены права и обязанности организаций, осуществляющих операции с денежными средствами или иным имуществом.

Основной обязанностью организации является проверка клиентов, осуществляющих операции с денежными средствами или иным имуществом, на возможную легализацию денежных средств, полученных преступным путем, и участие в террористической и экстремистской деятельности. Такая проверка должна осуществляться на всех стадиях операций с денежными средствами или иным имуществом.

Уполномоченным органом, в который организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны представлять сведения, предусмотренные данным законом, является Росфинмониторинг.

Как было указано выше, обязанности предоставлять сотрудникам полиции информацию и документацию гражданами и организациями, данной статьей не предусмотрено.

В любую организацию может поступить запрос из полиции, следственного комитета, прокуратуры или фсб. они могут запросить почти любую информацию

Полномочия правоохранительных органов в настоящее время очень широки, поэтому отказ предоставить запрашиваемую информацию и необходимые документы может привести к обыску или выемке.

• Правоохранительные органы — это обособленная группа государственных органов (государственных служб), уполномоченных осуществлять деятельность по охране правопорядка и законности, защите прав и свобод человека. К ним относятся: органы прокуратуры, внутренних дел (полиция), Следственный комитет, Росгвардия, ФСБ, МЧС, службы судебных приставов и исполнения наказаний министерства юстиции и правоохранительные подразделения таможенной службы.

При получении запроса из правоохранительных оранов рекомендуется проверить на всякий случай мотивировку запроса и способ, которым запрос был направлен в организацию.

Требования к обоснованности запроса сейчас самые минимальные: достаточным считается указание ссылки на материал проверки сообщения о преступлении (КУСП) или номер уголовного дела.

Правоохранительные органы не обязаны раскрывать в запросе конкретные фактические обстоятельства, для проверки которых нужны запрашиваемые сведения или документы. При этом мы не вправе ознакомиться с материалами проверки или уголовного дела, чтобы оценить обоснованность запроса.

Чаще всего запросы правоохранительных органов доставляются непосредственно в офис или направляются по «Почте России» на почтовый адрес, зарегистрированный в ЕГРЮЛ.

(Если запрос направлен, к примеру, по факсу, целесообразно направить встречный запрос с просьбой передать оригинал запроса, т.к.

суд может признать, что запрос по факсу не имеет юридической силы без направления оригинала документа.)

Организация обязана представить ответ на запрос в срок, указанный в запросе. Минимальный срок для ответа в законе не установлен. Поэтому обычно правоохранительные органы требуют направить запрашиваемые сведения или документы в течение нескольких рабочих дней или даже «незамедлительно».

Если в запросе не указан срок для предоставления ответа на запрос, то это не значит, что можно затягивать время с ответом.

Если подготовка ответа на запрос из правоохранительных органов потребует от нас все же некоторого времени, то желательно обратиться в запрашивающий орган с просьбой о продлении срока на подготовку ответа.

Как правило, в запросе указан номер телефона ответственного исполнителя — должностного лица правоохранительного органа.

Можно связаться с ним по указанному номеру телефона и пояснить причины, по которым нам потребуется больше времени на подготовку ответа на запрос.

После телефонного разговора следует направить на имя этого должностного лица письменное ходатайство с просьбой продлить срок для представления нашего ответа.

Запросы правоохранительных органов направляются в организации, как правило, в рамках оперативно-розыскной деятельности и при расследовании уголовных дел.

Так, представители полиции вправе запрашивать у организаций и должностных лиц любую необходимую информацию, справки, документы и их копии, персональные данные физических лиц.

Для этого полиция направляет мотивированный запрос. Запросы могут быть связаны с уголовными делами, которые расследуются в компетенции МВД РФ (мошенничество, растраты и др.

) или связаны с проверкой сообщений о совершении преступлений.

Следственный комитет вправе запрашивать от руководителей и других должностных лиц организаций любую необходимую информацию, материалы, статистические и иные сведения. Следователь может потребовать, чтобы организация выделила специалиста организации для получения от него исчерпывающих пояснений по возникшим вопросам.

Запросы следователей чаще всего связаны с налоговыми преступлениями, невыплатой заработной платы и рейдерством.

Уполномоченные лица ФСБ России также вправе запрашивать любую информацию у организаций.

При этом в законе нет оговорки, что запрос возможен только при проверке сообщений о преступлениях или расследовании уголовных дел, поэтому запросы ФСБ могут быть не мотивированы.

Обычно ФСБ запрашивает информацию по уголовным делам об экономических преступлениях, которые выявили оперативные сотрудники службы.

Обратите внимание! Поскольку правоохранительные органы вправе запросить у нас любую информацию и документы, то документы и сведения, отнесенные к коммерческой тайне или к персональным данным, не являются исключением!

Никакой закон не запрещает правоохранительным органам запрашивать оригиналы документов, поэтому такое требование в запросе будет всегда правомерным.

Если мы не можем представить некоторые оригиналы документов по той причине, что они необходимы нам для текущей работы, то об этом нужно обязательно сообщить в ответе при условии предоставления надлежаще заверенных копий запрашиваемых документов.

Организации обязаны предоставить сведения и документы (завернные копии документов) безвозмездно.

Пожалуйста, сохраняйте запросы и копии всех ответов и приложений к ним. Если правоохранительные органы продолжат проверку или возбудят уголовное дело, у организации должна быть точная информация, какие сведения и документы могут быть использованы вопреки ее интересам.

За уклонение от представления ответа на запросы правоохранительных органов нам грозит привлечение к ответственности по статье 17.7 КоАП РФ, если запрос был направлен в рамках расследования уголовного дела.

В этом случае организации может быть назначен штраф от 50 до 100 тысяч рублей либо приостановление деятельности организации на срок до 90 суток.

При этом руководителя организации могут дисквалифицировать на срок от шести месяцев до одного года.

Если уголовное дело еще не возбуждено, организация несет ответственность по статье 19.7 КоАП РФ. В этом случае максимальный штраф — 5 тысяч рублей.

Вопрос: Предусмотрен ли срок, в течение которого организация должна предоставить внутренние документы сотрудникам полиции?

Ответ:

Права оператора персональных данных

Права оператора персональных данных обеспечивают качественное выполнение его функций вытекают из его обязанностей. Необходимо опираться на ст.

закона № 152-ФЗ чтобы определить позицию законодателя по объему возможной самостоятельности организации или индивидуального предпринимателя.

Отдельного раздела, посвященного регулированию этого вопроса ни в законе, ни в подзаконных нормативных актах не содержится. Они описаны в нормах, посвященных задачам и обязанностям компании, обрабатывающей ПД.

Пд и обеспечение конфиденциальности

Российское законодательство не дает исчерпывающего понятия персональных данных. Под ними понимается любая информация о гражданине, которая позволяет его идентифицировать. 

К таким сведениям относятся:

• ФИО;
• данные о районе проживания (особенно актуально требование скрывать место учебы или проживания детей);
• телефон, адрес e-mail;
• номера банковских карт и счетов;
• биометрическая информация, включая фотографии на пропуска;
• сведения о личной жизни, семейном положении, детях;
• информация о составе имущества.

По логике законодателя любые необезличенные сведения о человеке, предоставляемые им организации, считаются персональными данными и подлежат защите на основании норм Конституции, международных соглашений, национального законодательства.  Клиенты или работники, предоставляющие персональные данные для обработки в коммерческих или служебных целях организациям или ИП, обладают широким спектром возможностей, среди них:

• отозвать согласие на использование информации;
• внести изменения в личные сведения, потребовать их уничтожения или блокировки;
• направить жалобу на действия компании регулятору, который обязан отреагировать.

Несмотря на то, что права субъектов персональных данных утверждены законодательно при их использовании есть ограничения.

Например, оператор, являющийся государственным органом или частной компанией, зачастую обрабатывает огромные объемы ПД и не всегда сможет отреагировать оперативно на обращение заявителя без ущерба для бизнес-процессов.

В связи с этим законом ему предоставлены ограниченные права, непосредственно связанные с выполнением им обязанностей по обеспечению конфиденциальности.

Функции организации

Необходимость защиты персональных данных как неотъемлемых прав личности, побудила определить в законодательстве специального субъекта – оператора персональных данных. Это организации, государственные органы, индивидуальные предприниматели, которым приходится работать с персональными данными и обеспечивать конфиденциальность, вне зависимости от способа и цели обработки сведений.

Среди основных функций организаций, обрабатывающих ПД:

• сбор сведений в соответствии с требованиями законодательства, с обязательным оформлением согласий;
• обработка ПД с учетом разрешенных законодательством целей;
• хранение данных в информационных системах, таким образом, чтобы обеспечить их защиту от утечек;
• безопасное хранение материальных носителей ПД при ручной обработке сведений в соответствие с нормами Постановления Правительства №687;
• обеспечение проведения проверки регуляторов на соответствие деятельности компании законодательству, выполнение предписаний.

Большой объем обязанностей и необходимость использования сертифицированного программного обеспечения часто приводят к избыточной нагрузке на небольшие коммерческие структуры, учреждения медицины и образования.

Требования по обеспечению безопасности бывают непосильными и часто приводят к привлечению к ответственности фактически невиновных лиц, например, главных врачей больниц, бюджет которых не рассчитан на установку сертифицированного программного обеспечения.

Анализ практики указывает на необходимость установления таких требований для организаций, которые помогут им снизить риски для персональных данных без излишней нагрузки на производственные процессы.

Нормативное регулирование

Глава 4 Закона «О персональных данных» (статьи 18-22.1) описывает обязанности оператора. Анализируя каждую из статей, можно увидеть права организации, помогающие ей наилучшим образом выполнять поставленную государством задачу по защите персональных данных. Они вытекают из обязанностей, иного решения законодатель для регулирования этой сферы не предложил. 

Например, из статьи 18 упомянутого закона описывающую обязанности организации при сборе информации, вытекают следующие права:

• собирать ПД граждан для решения государственных, уставных и коммерческих задач при условии соблюдения требований законодательства;
• требовать от стороны трудовых или гражданских взаимоотношений предоставления ПД если это напрямую разрешает закон (например, в образовании, медицине, сфере ЖКХ);
• получать ПД не только от их субъекта, но и от третьих лиц, иногда не разъясняя ему источник получения. Эта функция реализуется в случаях, когда ПД общедоступные или получены из общедоступного источника, передаются на основе требований законодателя, учитываются в статистике или нужны для организации работа журналиста;
• в случаях, непосредственно названных в ст. 6 закона, хранить ПД российских граждан на серверах, которые расположены не на территории страны, если это связано с действием международного договора или по иным аналогичным причинам.

Любыми правами можно злоупотребить. Чтобы исключить это, за реализацией функций организации при сборе ПД следит регулятор – Роскомнадзор. Обеспечение безопасности персональных данных также гарантируется необходимостью для компании или индивидуального предпринимателя иметь сертифицированные ФСТЭК РФ программные и технические средства, исключающие неправомерный доступ к данным.

В статье 18.1 федерального закона, описывающей меры, которые требуется выполнить организации, также можно найти ряд предоставленных ей прав.

Основным из них является право самостоятельно определять состав и перечень технических, организационных и программных мер, необходимых и достаточных для выполнения обязанностей. Регулятор может задать направление построения системы защиты, но конкретную стратегию организация разрабатывает самостоятельно.

Если в ходе проверок выявляется, что ряд программ или технических средств она не может использовать из-за бюджетных ограничений, ей могут дать время на их постепенное внедрение. 

Среди норм, которые могут быть рассмотрены в качестве прав организации:

• организация может назначить лицом, ответственным за обработку ПД, любого сотрудника, регулятор не предъявляет специальных требований к его квалификации и компетенции;
• в рамках издания локальных нормативных актов, определяющих политику обработки персональных данных, организация не связана требованиями к их объему и структуре, главное – учесть требования закона;
• компания вправе сама контролировать соблюдение законодательства о защите персональных данных путем организации службы внутреннего контроля;
• компания самостоятельно подбирает комплекс организационных, технических и программных мер для защиты ПД, исходя из своего бюджета. Он вправе выбрать любые из рекомендуемых основных и замещающих средств;
• организация может самостоятельно произвести оценку вреда, связанного с утечками ПД, и, исходя из этой оценки, выбрать меры защиты;
• компания может информировать Роскомнадзор и ФСТЭК о принятых ей мерах по защите персональных данных только по их запросу, регулярного предоставления отчетности не требуется;
• оператор вправе передавать персональные данные граждан для обработки третьим лицам при выполнении требований законодательства по оформлению согласия. При этом он не обязан информировать субъекта ПД о том, каким именно организациям передает сведения;
• компания может хранить данные в облачном хранилище при условии соблюдения провайдером технических и программных требований по защите ПД.

Большая степень самостоятельности компании при выборе мер защиты персональных данных гарантирует выбор им наиболее комфортного и не мешающего бизнесу способа выполнения обязанностей.

Ст. 19 закона говорит о мерах, которые требуется принять организации при организации обработки ПД. 

В ней содержатся следующие ее права:

• самостоятельно создавать модель угроз, служащую основой для принятия системы мер безопасности;
• выбрать любое из рекомендуемых и сертифицированных ФСТЭК РФ программных и технических средств защиты информации;
• оценить эффективность выбранных мер до ввода системы в эксплуатацию (касается государственных информационных систем – ГИС);
• разработать собственную систему учета и хранения машинных носителей информации;
• принять предусмотренные собственной внутренней политикой меры по выявлению и устранению инцидентов, связанных с несанкционированным доступом к персональным данным;
• установить собственную систему разграничения возможностей доступа к ПД, обеспечивающую их защиту от несанкционированного доступа;
• контролировать реализацию принятой системы мер и ее эффективность.

Организация – оператор персональных данных, опираясь на принимаемые Правительством РФ нормы, строит свою систему обработки персональных данных, исходя из принципов целесообразности и достаточности, с учетом экономической эффективности принятых мер безопасности и эквивалентности их стоимости предполагаемому ущербу. В этой же статье определены права союзов и общественных организаций, которые своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при их обработке в ИС.

Статья 20 закона «О персональных данных» говорит об обязанностях оператора ПД, связанных с обращением к нему гражданина или регулятора с вопросом о статусе его персональных данных. 

Среди возможностей организации:

• возможность предоставить персональные данные для ознакомления субъекту или его представителю в течение 30 дней со дня получения запроса. Это позволяет оптимизировать работу с запросами, не торопиться, если для выгрузки информации требуется время;
• возможность отказать в ознакомлении по запросу, если такие права предусмотрены законодательством о персональных данных;
• возможность удалить или откорректировать неточные или неполные данные не на следующий день после получения обращения, а в течение 7 дней.

Определенный срок реагирования на обращения подтверждает возможность организации не прерывать основные бизнес-процессы ради выполнения обязанностей по ознакомлению с ПД или их корректировки.

21-я статья закона говорит об обязанностях организации, возникающих в связи с необходимостью принять меры, связанные с устранением нарушений законодательства, допущенных при обработке персональных данных, по их уточнению, блокированию и уничтожению. 

Ограниченные права организации, занимающейся обработкой персональных данных, вытекают и из этой статьи:

• компания может уничтожить или блокировать персональные данные только после подтверждения их неточности, причем порядок предоставления такого подтверждения в законе не оговорен;
• если обработка персональных данных ведется неправомерно, оператор вправе добиться восстановления законности обработки;
• после достижения цели обработки ПД у оператора есть 30 дней на их уничтожение, он не обязан делать это немедленно, чтобы не подвергать риску бизнес-процессы;
• если оператор не может уничтожить ПД за 30 дней, он вправе их заблокировать (ограничить к ним доступ третьих лиц). В этом случае он получает полгода на их уничтожение.

Лояльная политика законодателя в области сроков реагирования на запросы призвана обеспечить непрерывность работы оператора. 22-я статья закона содержит нормы, связанные с оформлением уведомления об обработке персональных данных. Уведомление направляется в Роскомнадзор в связи с началом организацией деятельности, связанной с обработкой персональных данных. 

Определенные права организации, вытекающие из этой статьи, связаны с возможностью осуществлять обработку ПД без уведомления в тех ситуациях, когда:

• данные обрабатываются на основании трудового законодательства;
• организация получает информацию исключительно из договора, стороной которого является субъект персональных данных;
• данные по решению субъекта являются общедоступными, при этом сведения, размещаемые в социальных сетях, таковыми не считаются;
• информация о гражданах, являющихся участниками общественных или религиозных организаций, обрабатывается в связи с выполнением их уставных целей.

Оператор не ограничен в сроке, в течение которого он обязан направить уведомление. 

У сотрудника, который отвечает за обработку ПД в организации, также есть определенные права. Так, он отчитывается только перед организацией и не обязан направлять какие-то сведения регулятору от своего имени.  

Определенный комплекс прав, предоставленных оператору персональных данных, призван исключить ситуации, когда избыточная регуляторная активность существенно замедляет работу компании.

При этом организация может обжаловать действия регулятора в суде, оспаривать незаконно наложенные штрафы и предписания, возмещать причиненный ущерб.

Этот блок возможностей организации, обеспечивающей обработку персональных данных, охраняется общими нормами административного и гражданского законодательства.

03.03.2020

Ответы на вопросы в сфере защиты прав субъектов персональных данных

• МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
• РОССИЙСКОЙ ФЕДЕРАЦИИ
• ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
• ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
• Справочно: Разъяснения РОСКОМНАДЗОРа положений закона о персональных данных 
• Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. N228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

Вопрос: Кто может являться оператором персональных данных?

Ответ: В соответствии с п. 2 ст. 3 Федерального закона от 27.07.

2006 N 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных?

Ответ: В соответствии с ч. 2 ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:

1. 1) в случае обезличивания персональных данных;
2. 2) в отношении общедоступных персональных данных.
3. Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Ответ: Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

• 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
• 1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
• 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
• 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные Услуги связи, а также для рассмотрения претензий пользователей услугами связи;
• 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
• Вопрос: Есть ли ответственность для оператора связи за выдачу дубликата SIM-карты другому лицу?

Ответ: