Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных» устанавливает требования к обработке и защите персональных данных физических лиц (субъектов).
Наш семинар будет построен на вопросах и ответах об информации, относящейся к персональным данным.
1. Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?
Уполномоченный орган - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, осуществляющий функции контроля и надзора в сфере информационных технологий и связи, в том числе вопросов защиты персональных данных. По другому он называется Роскомнадзор (постановление Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).
2. Вопрос: Кто может являться оператором персональных данных?
В соответствии п. 2 ст. 3 № 152-ФЗ «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
3. Вопрос: В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных?
В соответствии с ч. 2 ст. 7 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
4. Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?
Согласно ч. 2 ст. 6. № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в случаях, если обработка персональных данных осуществляется:
1) на основании федерального закона, устанавливающего ее цель, а также определяющего полномочия оператора (ФЗ-59 «О порядке рассмотрения обращений граждан РФ»);
2) во исполнение договора, одной из сторон которого является субъект персональных данных;
3) для статистических или иных научных целей;
4) для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
5) для доставки почтовых отправлений организациями почтовой связи;
6) в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности;
7) подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные или муниципальные должности.
5. Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления?
В соответствии ч. 1 ст. 22 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.
Исключение составляют случаи, предусмотренные ч. 2 статьи 22, если обрабатываются персональные данные:
1) субъектов, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект;
3) относящихся к членам (участникам) общественного объединения или религиозной организации;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов;
6) необходимых в целях однократного пропуска субъекта на территорию;
7) включенных в федеральные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств вычислительной техники в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации.
6. Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?
Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.
Вопросы, касающиеся использования персональных данных ребенка
7. Достаточно ли подписи одного родителя в согласии на обработку персональных данных ребенка? Как быть в ситуации, когда родитель категорически отказывается подписывать согласие на обработку персональных данных?
Согласие на обработку персональных данных ребенка требуется только в том случае, если осуществляется обработка персональных данных, не совместимая с образовательными целями, либо не подпадает под действие п. 4 ч. 1 ст. 6 № 152-ФЗ «О персональных данных».
В случае необходимости получения согласия на обработку персональных данных ребенка в письменной форме, достаточно подписи одного из родителей, ввиду того, что в соответствии с п. 1 ст. 61 Семейного кодекса Российской Федерации, родители имеют равные права и несут равные обязанности в отношении своих детей.
8. Возможно ли размещать на сайте образовательного учреждения персональные данные детей, а также фото с мероприятий?
Основополагающим принципом № 152-ФЗ «О персональных данных» является осуществление обработки персональных данных на законной и справедливой основе, ограничиваясь достижением заранее определенных и законных целей. При этом не допускается обработка персональных данных, несовместимая с заранее определенными и заявленными целями сбора.
Таким образом, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а содержание и объем обрабатываемых персональных данных не должны быть избыточными, а строго соответствовать заявленным целям обработки.
Обращаем Ваше внимание на то, что законодательство в области персональных данных определяет два понятия «предоставления» персональных данных и их «распространения».
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Для выполнения образовательных целей достаточно предоставления информации.
В связи с вышеизложенным, в целях недопущения нарушения прав несовершеннолетних и их законных представителей, рекомендуется исключить публикацию их персональных данных (в том числе фотографий) на сайтах образовательных учреждений в открытом доступе.
Для обеспечения предоставления персональных данных в соответствии с заявленными целями обработки, рекомендуем использовать такие сервисы, в которых доступ к определенной информации имеют только зарегистрированные пользователи согласно назначенных прав.
9. Подготовка писем
При подготовке ответов, содержащих персональные данные, на любые запросы необходимо учитывать следующее:
- чтобы запрос был мотивированный, то есть указано для каких целей будет использоваться запрашиваемая информация;
- указать, что предоставляемая вами информация должна быть использована только для указанных целей и не подлежит передаче третьим лицам.
Обращаю внимание на подготовку ответов на письма, поступающих через опосредованных лиц:
- в ответах опосредованным лицам, прежде чем направлять информацию по существу вопроса, рекомендуется предлагать им представить доказательства конкретного, информированного и сознательного согласия гражданина на обработку его персональных данных, данного им свободно, своей волей и в своем интересе;
- одновременно, в ответе гражданину рекомендуется разъяснять, что выбранная им форма обращения через опосредованных лиц не гарантирует защиту его персональных данных и неразглашение сведений, содержащихся в обращении и касающихся его частной жизни, предложив ему обратиться с интересующим его вопросом непосредственно в администрацию города Железногорска в письменной форме или в форме электронного документа на официальный сайт.
Заявитель может направить заявление либо жалобу в интересах других лиц. При подготовке ответа данным заявителям следует воздержаться от разглашения сведений о персональных данных и частной жизни лиц, в интересах которых ими направлены заявления или жалобы, давать ответ по существу поставленного в обращении вопроса, без разглашения сведений о персональных данных и частной жизни лиц, в интересах которых ими направлены заявления или жалобы.
В случаях, когда заявитель требует информацию, содержащую персональные данные гражданина или частную жизнь лица, в интересах которых ими направлены заявления или жалобы, рекомендуется предлагать представить доказательства конкретного, информированного и сознательного согласия гражданина на обработку его персональных данных, данного им свободно, своей волей и в своем интересе. При этом следует помнить, что в любом случае не подлежат разглашению сведения, касающиеся частной жизни других лиц.
10. Наиболее частые нарушения законодательства по обработке и защите персональных данных.
Одним из наиболее частых нарушений, выявляемых при проведении плановых проверок законодательства по персональным данным, является:
- представление в Роскомнадзор уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;
- отсутствие в поручении лицу, которому оператор доверяет обработку персональных данных, обязанности соблюдения конфиденциальности и обеспечения их безопасности ;
- отсутствие у оператора места хранения персональных данных (материальных носителей);
- отсутствие перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- обработка персональных данных в случаях, не предусмотренных 152-ФЗ «О персональных данных» (отсутствие согласия субъекта персональных даны);
- несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства.
11. Вопрос: Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»?
Статья 24 152-ФЗ «О персональных данных» определяет ответственность за нарушение данного закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.
Федеральным законом от 07.02.2017 № 13-ФЗ внесены изменения в Кодекс об административных правонарушениях в области обработки и защиты персональных данных.
С 1 июля 2017 года за невыполнение требований в отношении обработки и защиты персональных данных статьей 13.11 КоАП устанавливается ответственность:
1) обработка без согласия в письменной форме – штраф
- на должностных – от 10000 до 20000 рублей,
- на юридических лиц – от 15000 до 75000 рублей;
2) в случае неопубликования организацией документа, определяющего политику по обработке персональных данных, в СМИ и на официальном сайте – предупреждение или штраф
- на должностных – от 3000 до 6000 рублей,
- на юридических лиц – от 15000 до 30000 рублей;
3) в случае невыполнения организацией при обработке персональных данных соблюдения условий, обеспечивающих сохранность и исключающих несанкционированный к персональным данным доступ – штраф
- на должностных – от 4000 до 10000 рублей,
- на юридических лиц – от 25000 до 50000 рублей;
Кроме того, за незаконный сбор или распространение сведений о частной жизни лица, составляющие его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.
Назад в раздел