Закон об обработке персональных данных в организации

Контроль деятельности операторов ПД

Проверку законных оснований для обработки ПД проводит Роскомнадзор. Плановая проверка проводится один раз в три года и в точные сроки, подготовленные Роскомнадзором и утвержденные прокуратурой. Плановая проверка оператора осуществляется в начале его деятельности и далее через каждые три года.

Основаниями для внеплановой проверки являются:

• контроль исполнения предписания о ликвидации нарушения, выявленного в ходе предыдущей проверки;
• требование прокуратуры из-за поступивших обращений и жалоб на действия оператора;
• бездействие операторов, из-за которых были нарушены интересы субъектов РФ;
• приказ Роскомнадзора, изданный на выполнение поручений Президента или Правительства РФ.
• Проверка проводится не больше 20 рабочих дней, но при надобности может быть продолжена еще на такой же срок.

Способы проверок:

• выезд на место обработки персональных данных;
• проверка предоставленной по запросу документации;
• систематическое наблюдение инспекторами-специалистами, на основе которого вырабатываются выводы о соблюдении норм законов по работе с персональными данными.

Ответственность за незаконную обработку персональных данных

Оператору нельзя собирать, хранить, использовать и распространять информацию о личной жизни, переписке, телефонных разговорах и т. п., если нет судебного постановления или других законных оснований для этой деятельности.

Оператор не вправе причинять материальный и моральный урон людям, ущемлять их права и свободы, используя персональные данные.
Нарушение закона «О персональных данных» может повлечь за собой дисциплинарную, административную и уголовную ответственность.

Требования к защите персональных данных

Нормы законодательства о защите личной информации являются необходимыми для исполнения. Оператору вменяется в обязанность принимать нужные меры для защиты ПД от незаконного или просто случайного доступа к ним, удаления, фальсификации, блокировки, несогласованного копирования, размножения ПД, а также от других незаконных шагов в отношении личных сведений.

Для надлежащей защиты ПД необходимо:

• установить актуальные угрозы безопасности при обрабатывании информации в информационных системах персональных данных (ИСПДн);
• принять адекватные меры организационного и технического характера;
• применять сертифицированные средства информационной защиты;
• перед вводом в эксплуатацию провести аттестацию ИСПДн на соответствие защитных систем правовым нормам;
• вести учет машинных носителей ПД;
• обнаруживать факты незаконного доступа к этой информации и выполнять соответствующие действия по улучшению их защиты;
• восстанавливать поврежденную информацию;
• установить режим доступа к ПД только строго установленных лиц;
• регистрировать все действия, совершаемые при работе с ПД.

Защита от несанкционированного доступа

• Разрешительная система допусков к информсистеме.
• Ограничение возможности входа в помещения с техническими средствами обработки персональных данных.
• Регистрация действий при работе с ПД.
• Строгий учет и хранение съемных носителей данных.
• Создание резервных копий и дублирование баз данных и носителей информации.
• Использование сертифицированных средств защиты информации.
• Защищенные каналы связи.
• Нахождение технических средств обработки персональных данных в пределах охраняемой территории.
• Борьба с вредоносными программами и вирусами с помощью сертифицированных антивирусных программ и других методов защиты.
• Межсетевое экранирование.
• Анализ защищенности информационных систем сканерами безопасности.
• Ограждение каналов связи от считывания данных.
• Использование смарт-карт, электронных замков для правильной идентификации пользователей.
• Систематическое испытание межсетевого экрана имитацией атак извне.
• Аутентификация дружественных информсистем и обеспечение целостности пересылаемых данных.

Что это такое?

Средства автоматизации. Под средствами автоматизации понимаются приборы, устройства, которые могут использоваться как по отдельности, так и в совокупности, способные выполнять ряд поставленных задач без вмешательства человека, однако, возможно, под его руководством.Наиболее распространенными в наши дни средствами автообработки являются программно-аппаратные устройства – компьютеры и программное обеспечение

При этом, важно понимать, что компьютер становится средством только после того, как на нем осуществляются автооперации.Если компьютер используется в качестве печатной машинки без дальнейшего сохранения на диске данных, то такое техническое средство не следует называть автоматизированным (хотя подобные возможности оно имеет) в контексте.
Автоматизированная обработка. Компьютерная обработка данных – это обработка информации при помощи вычислительной техники, другими словами, с использованием средств компьютеризации

Речь идет об электронных машинах, вспомогательных устройствах, программном обеспечении и других аппаратах.

О чем говорит закон

Здесь сразу стоит обратить внимание на принципы обработки ПДн, введенные в статьях 5 и 6 закона «О персональных данных». Рассмотрим наиболее значимые пункты:

• Обработка ПДн должна проводиться на законной и справедливой основе, то есть для каждого случая обработки персональных данных должно быть законное основание, или нормы, прямо предусмотренные законодательством, или согласие субъекта ПДн.
• Закон требует ограничивать обработку ПДн конкретными, заранее определенными и законными целями, при этом нельзя обрабатывать данные в целях, которые не были заявлены при сборе.

Пример нарушения

Для понимания сказанного приведем пример, когда автомобилистам известной сети заправок предложили заполнить анкеты, чтобы оформить дисконтную карту. Позже автомобилисты получили предложение от банка на аккредитацию и размещение средств. Хотя в анкете не говорилось о том, что банк обратится к клиенту с предложением услуг, в нарушение 15 статьи закона «О персональных данных» и 18 статьи закона «О рекламе». Поскольку ни один из субъектов не давал согласия – это классический пример обработки ПДн, несовместимой с целями, заявленными при их сборе.

Состав и объем обрабатываемых персональных данных должен соответствовать цели их обработки. Отклонение от указанных требований является нарушением.

Пример нарушения

Как известно, кадровый орган хранит персональные данные сотрудников, включая копии свидетельства о рождении детей, как того требует фонд социального страхования, когда предоставляется отпуск по уходу за ребенком, и свидетельства о браке – это нужно для того, чтобы подтвердить социальный статус работника. В этих документах присутствует графа «национальность родителей», «национальность брачующихся». Она заполняется по желанию, но эти сведения относятся к специальной категории персональных данных, требующих согласия на обработку, и наличие такой копии в электронном виде в личном деле работника – два административных правонарушения: обработка ПДн специальной категории без согласия в письменной форме и незаконная обработка персональных данных, поскольку сведения о национальности для достижения целей, предусмотренных 86 статьей Трудового кодекса, работодателю совсем не нужны.

• Следующий принцип обработки – точность, достаточность и актуальность обрабатываемых данных. Если данные являются неточными, неактуальными, незаконно полученными или не соответствуют цели обработки, закон требует от оператора ПДн либо уточнить эти данные, либо уничтожить. Во многих случаях это оказывает влияние на решение, принимаемое в отношении субъектов ПДн, и затрагивает их законные права.
• Последний принцип, на котором надо остановиться, – закон разрешает хранить ПДн только до того момента, когда будет достигнута цель обработки или минует надобность для достижения этой цели. После этого данные должны быть уничтожены или обезличены.

Кто является оператором персональных данных?

Многие до сих пор считают, что операторы персональных данных — это какие-то компании, оперирующие огромными массивами данных о гражданах, но никак не они сами. На самом деле нет бизнеса, который бы не являлся оператором персональных данных, ведь при наличии хотя бы одного работника, пусть даже это и сам владелец бизнеса, вы уже являетесь оператором.

• собирает (как раз на семинаре);
• систематизируете и записываете (вы делает отдельный файл в Excel со списком участников данного мероприятия);
• накапливает (будете собирать в этот же файл или другой ПДн слушателей с других своих семинаров) и хранит;
• уточняет (слушатель сообщил вам, что сменил номер телефона или место работы);
• извлекаете сведения для передачи в сервис почтовых рассылок;
• после неудачной доставки некоторым из пользователей, у которых не удалось уточнить их email вы их просто блокируете или удаляете.

Все эти действия и называются обработкой.

Часто считают, что оператором ПДн становятся только в случаях подачи уведомления в Роскомнадзор, однако Закон о персональных данных связывает статус оператора как раз именно с началом обработки ПДн, а не с подачей уведомления регулятору. Поэтому разработка мер защиты ПДн — это задача каждого юридического лица, ИП и даже гражданина, который их обрабатывает. Естественно, интерес у контролирующих органов к обычным гражданам куда меньше, чем к бизнесу, который к тому же планово проверяется. Но не стоит думать, что Роскомнадзор не может проверить гражданина, который владеет сайтом и собирает через него заказы или обращения.

Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Когда надо получать согласие на обработку персональных данных?

Во-первых, надо чётко понимать, будет ли собираемая совокупность данных являться персональными. Во-вторых, для каждой группы граждан, данные которых собираются, должны быть определены цели такой обработки.

Когда не нужно согласие на обработку персональных данных?

Если целью является исполнение требования какого-либо закона, то получать согласие на обработку ПДн не требуется, однако если компания преследует какие-то иные коммерческие или некоммерческие цели, то такое согласие необходимо.

К примеру, работодатель в соответствии с Трудовым Кодексом РФ выполняет ряд действий с ПДн работников, акционерные общества, страховые и кредитные организации размещают в силу закона на своих сайтах сведения об аффилированных лицах и входящих в состав управляющих органов без какого-то согласия с их стороны.

Но для того, чтобы установить систему контроля доступа и использовать отпечатки пальцев или радужку глаз, просто изображение гражданина — потребуется письменное согласие работника или иного лица, которого вы будете идентифицировать.

Такое согласие не требуется в случаях, когда обработка персональных данных:

1. необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2. осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, естественно при условии, что ПДн не передаются дальше;
3. осуществляется для статистических или иных научных целей при условии обязательного обезличивания;
4. необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (к примеру, при экстренной госпитализации или ЧС);
5. необходима для доставки почтовых отправлений, осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6. осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7. осуществляется в отношении данных, подлежащих опубликованию в соответствии с законодательством в отношении государственных и муниципальных служащих, а также кандидатов на выборные должности.

Общая структура локального акта и правовая база

При составлении положения следует руководствоваться нормами действующего законодательства России. Документ должен разрабатываться на основании:

• Конституции нашей страны;
• Федерального закона № 152-ФЗ «О персональных данных» (ред. от 21.07.2014);
• ТК РФ;
• иных нормативно-правовых актов.

Законодательная база обуславливает структуру положения о персональных данных работника. В локальный акт рекомендуется включить разделы, которые соответствуют частям (главам, статьям) вышеупомянутого Федерального закона. Такой подход демонстрирует знакомство руководителя ООО, созданной в иной форме компании, предпринимателя с действующими требованиями к сбору, обработке персональной информации сотрудников, ее хранению.

Первый раздел должен содержать общие сведения:

• о законодательных документах – базе для разработки локального акта;
• цели – защите конфиденциальной личной информации от несанкционированного доступа, утраты, разглашения;
• сфере действия;
• терминах, которые употребляются в акте;
• порядке утверждения положения;
• иную информацию.

В других разделах нормативно-правового акта следует рассмотреть вопросы:

• что включается в состав персональных данных;
• на основании каких принципов работающий с привлечением наемных сотрудников ИП либо юрлицо обрабатывают личные сведения;
• из каких документов работодатель получает конфиденциальную персональную информацию;
• как обрабатываются, хранятся сведения;
• какие права, обязанности имеют субъект и оператор личной информации (ИП, руководитель фирмы);
• порядок и право доступа, внутреннего и внешнего, к полученным сведениям;
• как защищается личная информация, ответственность за ее разглашение.

Аттестация

Аттестация ИСПДн обязательна только для государственных систем персональных данных. Операторы обязаны их защищать в соответствии с Правилами защиты сведений, не являющихся государственной тайной, которые содержатся в государственных ИСПДн. Правила утверждены Приказом ФСТЭК РФ №17 от 2013 года.

Для негосударственных информационных систем аттестат соответствия нормам безопасности может пригодиться в том случае, когда необходимо доказывать требуемую степень защиты ИСПДн. Для частных систем аттестация проводится добровольно. Для этого могут использоваться Специальные рекомендации и требования по защите конфиденциальных данных (СТР-К). Доступ к указанному документу ограничен. Его можно получить исключительно в управлении ФСТЭК.

Процедура аттестации проводится компанией, обладающей лицензией на ведение дел по технической защите информационных ресурсов. Для этого создается аттестационная комиссия, включающая экспертов в сфере информационной безопасности. Задача команды – оценить соответствие технических и организационных мероприятий, испытать программные средства защиты ПДн.

Внимание! По результатам оценки выдается либо Аттестат, либо рекомендации по устранению недочетов системы защиты ПДн. Чтобы пройти аттестацию, организация должна тщательно подготовиться к процедуре или поручить этот процесс компетентным лицам.. Для частных компаний может быть достаточно получения декларации соответствия

Документ составляет оператор, привлекая специалистов в сфере защиты ПДн

Для частных компаний может быть достаточно получения декларации соответствия. Документ составляет оператор, привлекая специалистов в сфере защиты ПДн.

Что такое персональные данные?

Если вы зададите такой вопрос Роскомнадзору (а его не задавал только ленивый), то получите типовой ответ из Закона о персональных данных, что ПДн — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а также их совокупность». Исходя из этого мы можем сделать вывод, что ПДН — это практически любая информация, а чаще её совокупность (например, ФИО и дата рождения), с помощью которой определяется или может быть определено конкретное физическое лицо.

Поскольку законодательство не содержит конкретного перечня персональных данных, к таковым может быть отнесена любая информация о гражданах, в частности:

Отдельный вопрос, являются ли файлы файлы cookies (в которых собираются поведенческие сведения о пользователи конкретного ПК: посещенные сайты, длина сессий, аутентификационный идентификатор и т.п.), данные о поведении пользователя на сайте, IP-адрес и сведения о геопозиции персональными данными? Роскомнадзор считает эти данные персональными и не только в совокупности с ФИО или фотографией пользователя, но и сами по себе. В действительности cookies и IP-адрес лишь передают сведения о конкретном ПК или ином устройстве, выходящем в интернет, но не обязательно о конкретном пользователе. IP-адрес ещё менее «надёжно» определяет пользователя, так как компьютеры и прокси могут совместно использоваться несколькими пользователями, а один компьютер может использовать разные IP-адреса в разных сессиях (динамический IP-адрес).

Есть несколько примеров, когда суды принимали решение признать персональным данными только имя в онлайн-форме на сайте (к примеру, постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288 в отношении тамбовской юридической фирмы). Ориентироваться на такую судебную практику не стоит:

1. При желании можно найти решения суда, подтверждающие практически любую позицию, но это не значит, что эта позиция верна.
2. Постановление Тамбовского областного суда — яркий пример судебного акта, который должен был быть отменён как незаконный и необоснованный, однако «нарушитель» не стал его обжаловать в Верховный суд РФ. Ведь очевидно, что имя не позволяет определить конкретное лицо с необходимой степенью достоверности.

К «неперсональным данным» относятся:

• ИНН, так как он включен в ЕГРЮЛ и свободно доступен;
• рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте);
• видеозапись в публичных местах и на охраняемой территории;
• образцы почерка (подписи) и фотография гражданина в его личном деле у работодателя согласно позиции Роскомнадзора, что «поскольку… личность уже определена и чьи персональные данные уже имеются в распоряжении оператора».

Однако если они будут использованы для идентификации человека, то сразу же становятся ПДн и более того специальной категорией — биометрическими ПДн.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

• заявления работников о согласии на обработку персональных данных;
• журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
• журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Передача ПДн за границу

ФЗ РФ установлено, что международная, или трансграничная, передача личных сведений –  это отправка ПДн на территорию иного государства иностранному физическому либо юридическому лицу или представительству органа власти государства. Чаще всего сюда относится отправка данных в органы ООН. 

Если же международная отправка ПДн осуществляется в небезопасное государство, необходимо иметь договор с субъектом персональной информации, предусматривающий данное действие, или получить его письменное разрешение.

План действий работодателя по работе с личными материалами работников:

• работодателем создается и утверждается специальный акт, регулирующий процесс хранения и обработки персональных сведений. Зачастую это Положение о личных данных, предоставляемое для ознакомления работникам под роспись. Ознакомление возможно только с бумажным носителем – рассылка Положения электронной почтой не соответствует требованиям закона. При проведении аудита предприятия Роскомнадзор запрашивает данный документ для проверки. Если таковой отсутствует или нет подписей работников – работодатель может быть привлечен к административной ответственности; 
• следующим важным документом, составляемым работодателем, является акт, содержащий список ПДн, которые будут использоваться в организации. Также в данном акте указываются конкретные бумаги, содержащие данные о работниках, которые предприятие передает в государственные службы;
• работодатель издает приказ, в котором утверждает на должность оператора ПДн человека, который будет ответственным за сбор, хранение, обработку и иные действия с личной информацией, а также за обеспечение ее безопасности;
• чтобы быть готовыми к проверке, следует держать наготове заявления сотрудников о согласии на обработку ПДн, журналы учета и передачи личных данных;
• вся документация, содержащая личную информацию о работниках, должна храниться в сейфах. Данные в электронном виде – содержаться в базе данных под паролем и иметь резервную копию. 

Во избежание привлечения к ответственности необходимо выполнить все вышеуказанные пункты и особое внимание уделить безопасности персонифицированной информации, потому что с 2017 года федеральное законодательство ужесточило ответственность работодателей за невыполнение требований по сохранности ПДн

Организация неавтоматизированной обработки персональных данных

Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка) — действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляемые при непосредственном участии человека.

Цитирую части положения о неавтоматизированной обработке ПДн:

Персональные данные при их обработкедолжны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных

Здесь указывается правило об особом режиме хранения материальных носителей содержащих персональные данные (ПДн).

не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы

Если собираются и обрабатываются ПДн в рамках одной цели, то для этих процессов должна быть предусмотрена отдельная форма на отдельном носителе.

Лица, осуществляющие обработку персональных данныхдолжны быть проинформированы о факте обработки ими персональных данных

Речь идёт об указании должностных обязанностей и характера выполняемых работ в рамках трудовых отношений, на основании обязанностей трудового договора, должностных инструкций и других внутренних регулирующих документах.

Использование типовых форм документов, содержащих персональные данные

При использовании типовых форм документовдолжны соблюдаться следующие условиятиповая форма или связанные с ней документыдолжны содержать сведения о цели обработки персональных данныхадрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными даннымитиповая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данныхпри необходимости получения письменного согласия на обработку персональных данныхчтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данныхтиповая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы

Ведение журналов, реестров, книг при организации пропускного режима

При ведении журналовдолжны соблюдаться следующие условиянеобходимость ведениядолжна быть предусмотрена актом операторакопирование содержащейся в таких журналах (реестрах, книгах) информации не допускаетсяперсональные данныемогут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта

О несовместимости целей обработки и уничтожении персональных данных

При несовместимости целей обработки персональных данныхдолжны быть приняты меры по обеспечению раздельной обработки персональных данныхпри необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копированиеспособом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованиюпри необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированиюУничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способомудаление, вымарываниеПравилаприменяютсяесли необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными даннымиУточнение персональных данныхпроизводится путем обновления или изменения данных на материальном носителепутем изготовления нового материального носителя с уточненными персональными данными

Кто такой оператор

Данный термин объединяет в себе широкий перечень лиц, обладающих любым видом доступа к объекту обработки. Эти лица производят их передачу, хранение, определяют цель и объем их использования. То есть абсолютно каждое лицо, которому по той или иной причине стали известны персональные данные можно назвать оператором. И все они обязаны соблюдать законодательные требования и принципы в данной области. Операторами могут быть органы государственной власти, физические лица, организации любой формы собственности.

Каждый оператор прежде чем приступить к обрабатыванию личностных данных обязан уведомить о своем желании осуществлять такую деятельность Роскомнадзор. 

Территориальные подразделения Роскомнадзора ведут специальные реестры для обобщения информации.

Утверждены правила обработки общедоступных персональных данных

Положения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» позволяют третьим лицам осуществлять сбор и последующее фактически неконтролируемое использование персональных данных (далее – ПД), участвующих в общедоступном обороте (например, на интернет-сайтах), в целях, отличных от цели их первоначального распространения, а равно с ориентиром на иные целевые аудитории, что нарушает принцип целеполагания, установленный ст. 5 Федерального закона «О персональных данных».

В связи с этим Федеральным законом от 30.12.2020 N 519-ФЗ были внесены изменения, основная часть которых вступит в силу с 1 марта 2021 года, согласно которым:

1. Введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПД путем дачи согласия на обработку ПД, разрешенных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных».

2. Определены особенности обработки ПД, разрешенных их субъектом для распространения (ст. 10.1), например:

• согласие на обработку таких сведений необходимо оформлять отдельно от иных согласий субъекта ПД на обработку его данных. При этом оператор обязан обеспечить субъекту ПД возможность определить перечень данных по каждой категории ПД, указанной в согласии на обработку, разрешенных для распространения;
• если из такого согласия не следует, что субъект ПД согласился с распространением ПД, такие данные должны обрабатываться оператором без права распространения. Молчание или бездействие субъекта не должны считаться согласием;
• передача (распространение, предоставление, доступ) ПД, разрешенных субъектом ПД для распространения, должна быть прекращена в любое время по требованию субъекта ПД, которое должно включать:

– ФИО субъекта ПД;

– номер телефона, электронную почту или почтовый адрес субъекта ПД;

– ПД, обработку которых следует прекратить.

Если субъект сам раскрыл третьим лицам информацию о себе и не дал оператору ПД согласие, то доказывать законность дальнейшей обработки таких сведений обяжут тех, кто ей занимался. Это касается и случаев, когда раскрытие произошло из-за правонарушения, преступления или форс-мажора. На сегодняшний день бремя доказывания незаконности обработки ПД на каком-либо ресурсе или интернет-сайте лежит на субъекте ПД.

Требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения, будут установлены Роскомнадзором.

за несоблюдение установленных требований к обработке ПД могут привлечь к ответственности, например, в соответствии со ст. 13.11 КоАП РФ. Подробнее об этом читайте Готовом решении «Как привлекают к административной ответственности за нарушения в сфере персональных данных» и Готовом решении «Какие штрафы и иные административные наказания могут назначить в связи с осуществлением контроля и надзора в сфере персональных данных» в СПС КонсультантПлюс. Читайте подробнее

Порядок обработки персональных данных

6.1. Оператор осуществляет сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (предоставление,
доступ), обезличивание, блокирование, удаление и уничтожение
персональных данных.

6.2. Обработка персональных данных Оператором осуществляется
следующими способами:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с
  использованием информационно-телекоммуникационных сетей
  или без таковых;
• смешанная обработка персональных данных.

6.3. Обработка персональных данных осуществляется не дольше,
чем этого требуют цели обработки персональных данных, если
иной срок хранения персональных данных не установлен
федеральным законом, договором, стороной которого или
выгодоприобретателем по которому является Пользователь или
согласием Пользователя. Обрабатываемые персональные данные
подлежат уничтожению либо обезличиванию по достижении целей
обработки или в случае утраты необходимости в достижении
этих целей, если иное не предусмотрено федеральным законом.
В частности, Оператор обрабатывает персональные данные
Пользователя пока существует личный кабинет Пользователя на
Веб-сайте, так как он необходим для осуществления Заказов и
исполнения Договора. При этом если Пользователь не
использует личный кабинет более 2 (двух) лет (не
осуществляет Заказы), то Оператор считает, что цель
обработки персональных данных достигнута и удаляет личный
кабинет Пользователя со всей содержащейся в нем информации,
в том числе персональные данные, кроме случаев, если
определенную информацию Оператор обязан хранить дольше в
силу законодательства Российской Федерации.

6.4. Пользователь может в любой момент отозвать свое
согласие на обработку персональных данных, направив
Оператору уведомление посредством электронной почты на
электронный адрес Оператора valery@skladno.pro с пометкой
«Отзыв согласия на обработку персональных данных», если не
может сделать это самостоятельно с использованием
функционала Веб-сайта и личного кабинета Пользователя.

6.5

Пользователь должен принять по внимание, что в силу п.2
ст.9 ФЗ «О персональных данных» в случае отзыва
Пользователем согласия на обработку персональных данных,
Оператор все равно вправе продолжить обработку персональных
данных без согласия Пользователя при наличии других
оснований для их обработки, например если обработка
персональных данных необходима для исполнения Договора
(Заказа) с Пользователем или если обработка осуществляется в
силу обязанностей, возложенных на Оператора
законодательством Российской Федерации.