1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Что такое обработка персональных данных

Все о персональных данных

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Персональные данные – 2018: как избежать штрафов

Письмо-предупреждение Роскомнадзора о нарушении положений Федерального закона от 27.07.2006 № 152-ФЗ к вам не придет, если вы берете согласие на обработку персональных данных, правильно составили Политику обработки персональных данных и предусмотрели другие важные детали.

Что изменилось с 1 июля 2017 года

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях
Читать еще:  Что такое фол в футболе

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.
Читать еще:  Искусственный интеллект друг или враг

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн . Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

Что такое «Согласие на обработку персональных данных»

В 2005 году Российская Федерация ратифицировала Конвенцию Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 г.). С ратификацией этого международного документа наша страна и мы, её граждане вступили в новую социально-экономическую формацию, в которой полномочия государства и права человека вторичны относительно прав «операторов». Во исполнение Конвенции в 2006 году в России поспешно принят ФЗ-№152 «О персональных данных» (далее ФЗ-№152), который во всех базовых положениях повторяет Конвенцию. ФЗ-№152 действует с 2006 года, однако до последнего времени при походе в библиотеку или к стоматологу человеку не приходилось давать полный отчёт о своей жизни: себе, семье, работе, собственности.

Жёсткий и тотальный сбор информации обо всех сторонах жизни человека начался только в связи с принятием ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг». Здесь-то и заработали заблаговременно принятые Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» и ФЗ-№152. Именно на основании ФЗ-№152 в последнее время гражданам предлагают подписывать различные бланки «о согласии на обработку их персональных данных» по месту работы, учёбы, в детском саду, который посещает ребёнок. Собирают наши «добровольные» согласия школы, поликлиники, библиотеки, все социальные учреждения. Подсуетились и магазины, которые при предоставлении скидки раздают анкеты, где мелким шрифтом включена фраза о согласии на обработку персональных данных.

Прежде чем дать такое согласие, человеку необходимо знать, что стоит за понятиями, употребляемыми в бланках

1. В соответствии с ФЗ-№152 персональные данные – это любая информация, относящаяся прямо или косвенно к физическому лицу.

2. Понятие «обработка персональных данных» имеет далеко не такое невинное значение как большинству из нас кажется. В соответствии с п. 3 статьи 3 ФЗ-№152, «обработка» включает в себялюбое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3. Очень важно понятие «оператор». Нужно помнить, что оператор независимо от желания человека самостоятельно решает какие персональные данные он собирает и какие действия с этими данными человека совершает.

Читать еще:  Почему музыка не играет

В соответствии с ФЗ-№152 оператор это – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

4. Что прячется за понятием «использование персональных данных»?

Поскольку операторам предоставлено право любых действий с нашими персональными данными, то и принятие юридически значимых решений охватывается этим правом.

Давая согласие на обработку своих персональных данных, человек соглашается на совершение операторами любых действий и манипуляций с любой своей, в том числе и конфиденциальной информацией.

5. В соответствии с ФЗ-№152 «распространение» – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Поскольку персональные данные – это любая информация о человеке, то распространение – это фактически не контролируемое человеком ознакомление с его самой конфиденциальной информацией любых физических и юридических лиц по усмотрению оператора.

Если оператор сочтёт необходимым, то в процессе обработки-распространения может осуществляться и трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

6. ФЗ-№152 даёт практически безграничные возможности для любых манипуляций с нашими персональными данными любому оператору, получившему согласие человека «на обработку персональных данных».

Формальная фраза бланков о праве человека отозвать согласие на обработку персональных данных ничего не решает. К моменту отзыва персональные данные человека уже разосланы в различные базы, где они остаются и используются. Кроме того, отзыв согласия чреват репрессивными мерами оператора. Некоторые операторы предупреждают о них сразу, а другие будут применять на практике без предупреждения. В статью 9 ФЗ-№152 внесены изменения, дающие оператору право продолжать обработку персональных данных и после отзыва согласия на обработку. А изменения в статье 6 этого закона допускают обработку персональных данных без согласия человека при оказании государственных и муниципальных услуг, включая регистрацию на едином портале государственных услуг. Если следовать логике этих положений, никакие электронные услуги не будут оказываться при отказе человека на обработку его персональных данных.

Итак, в информационном обществе на первый план выходит новое лицо – оператор, диктующий свои условия гражданам и государству.

7. Тысячи граждан по религиозным убеждениям не могут принять автоматизированный способ учета персональных данных, который основывается на использовании личных идентификаторов (СНИЛС, ИНН и других), штрихового кодирования информации, создании баз персональных данных, доступ в которые осуществляется на основании цифровых идентификаторов личности. Использование личных цифровых идентификаторов в любых правоотношениях нарушает право действовать под своим именем, гарантированное статьей 19 Гражданского кодекса РФ. Для верующего человека замена имени цифровым идентификатором неприемлема, поскольку происходит фактическая замена имени, данного при Крещении, цифровым номером, который является пожизненным и становится обязательным условием доступа к любым правам и услугам.

Однако отказ от использования автоматизированного способа учета персональных данных не лишает граждан прав, гарантированных Конституцией РФ. Первые примеры санкций за отказ предоставить всю информацию о себе в полное распоряжение оператора уже имеются. Так называемые операторы в ответ на отказ дать согласие на обработку персональных данных прекращают гражданам выплату дотаций, не оказывают медицинскую помощь и др. Учащиеся сообщают об угрозах не допустить к экзаменам или не выдать аттестат. Это является грубейшим нарушением прав граждан.

В Конституции РФ права граждан на социальное обеспечение, медицинскую помощь, образование и другие не обусловлены обязательным согласием на обработку персональных данных. Конституция имеет прямое действие и высшую юридическую силу. Граждане имеют право требовать реализации всех своих прав и в случае отказа на обработку персональных данных.

8. 4 февраля 2013 года Архиерейским Собором Русской Православной Церкви принят Документ «Позиция Церкви в связи с развитием технологий учета и обработки персональных данных».

В Документе говорится, что тысячи граждан на основе своих конституционных прав и по религиозной мотивации отказываются от использования новой идентификационной системы.

Церковь считает особенно важным принцип добровольности принятия любых идентификаторов и указывает, что необходимо проявлять уважение к конституционным правам граждан и не дискриминировать тех, кто отказывается от принятия электронных средств идентификации.

Церковь считает недопустимым ограничение прав граждан в случае отказа дать согласие на обработку персональных данных.

В п. 5 говорится: «В связи с тем, что обладание персональной информацией создает возможность контроля и управления человеком через различные сферы жизни (финансы, медицинская помощь, семья, социальное обеспечение, собственность и другое), возникает реальная опасность не только вмешательства в повседневную жизнь человека, но и внесения соблазна в его душу. Церковь разделяет опасения граждан и считает недопустимым ограничение их прав в случае отказа человека дать согласие на обработку персональных данных».

Подробнее – в книге О.А. Яковлевой «Новые технологии и права человека» (тел. издательства 8-800-200-84-85, Интернет-магазин www.zyorna.ru).

В Москве можно заказать книгу в магазинах:

Магазин «Русский дом»

Адрес: Москва, Малый Кисельный переулок, дом 4, стр.1

Источники:

http://www.garant.ru/actual/persona/
http://kontur.ru/articles/4816
http://rodinaprav.info/index.php/arkhiv/102-chto-takoe-soglasie-na-obrabotku-personalnykh-dannykh

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector