Порядок обработки персональных данных
Уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных является Роскомнадзор.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
В статье приведены нормы Закона № 152-ФЗ, актуализированные в соответствии с Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».
Основные понятия, упоминаемые в статье
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Обработка персональных данных – действия с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и осуществляющие обработку персональных данных.
Основания обработки персональных данных
В ст. 6 Закона № 152-ФЗ перечислены следующие основания, при которых обработка персональных данных будет признана правомерной (то есть осуществлена на законных основаниях).
1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку.
Обратите внимание, что молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
2. Обработка персональных данных осуществляется без согласия субъекта персональных данных на обработку, если такая обработка необходима:
– для достижения целей, предусмотренных международным договором РФ (например, международным договором в отношении авиаперевозок) или законами РФ (например, Федеральным законом № 115-ФЗ от 07.08.2002 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»);
– в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
– для исполнения судебного акта, акта другого органа, подлежащих исполнению в соответствии с законодательством об исполнительном производстве (в этом случае, без согласия с персональными данными должника могут работать не только судебные приставы, но и иные лица, вовлеченные в процесс удержаний – работодатели, банки и пр.);
– для исполнения полномочий органов власти, внебюджетных фондов (например, при регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг);
– для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Обратите внимание, по разъяснениям Роскомнадзора, в данном случае имеются ввиду гражданско-правовые договоры;
– для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных (например, в случае бессознательного состояния субъекта персональных данных);
– для осуществления прав и законных интересов оператора или третьих лиц (например, для целей должной осмотрительности при заключении сделок) либо для достижения общественно значимых целей;
– для осуществления профессиональной деятельности журналиста или законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности;
– в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
– в целях повышения эффективности государственного или муниципального управления (например, в целях повышения качества жизни населения);
– для раскрытия информации в соответствии с требованиями законодательства (например, при раскрытии сведений о доходах государственными или муниципальными служащими).
Специальные категории персональных данных
Для категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни предусмотрен особый порядок обработки.
Особый порядок обработки таких данных вызван тем, что их несанкционированное использование может привести к дискриминации прав, гарантированных Конституцией РФ: права на труд, образование, свободу передвижения, свободу совести.
Правовые основания, являющиеся условиями обработки специальных категорий персональных данных перечислены в ст. 10 Закона № 152-ФЗ.
Перечислим эти основания.
1. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных на обработку.
2. Обработка персональных данных осуществляется без согласия субъекта персональных данных на обработку, если такая обработка применяется:
– в связи с реализацией международных договоров РФ о реадмиссии;
– в соответствии с Федеральным законом от 25.01.2002 № 8-ФЗ «О Всероссийской переписи населения»;
– в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ;
– для защиты жизни, здоровья или иных жизненно важных интересов, когда получение согласия субъекта персональных данных невозможно;
– в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью;
– для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
– в соответствии с законодательством об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве;
– органами прокуратуры в связи с осуществлением ими прокурорского надзора;
– в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
– государственными и муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
– общественным объединением или религиозной организацией для достижения целей, предусмотренных учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных (например, при обработке персональных данных членов политической партии).
Биометрические персональные данные
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека.
Цель обработки таких данных – установление личности субъекта персональных данных.
Обработка биометрических персональных данных возможна только при наличии согласия в письменной форме субъекта персональных данных.
Обработка биометрических персональных данных осуществляется без согласия, если такая обработка осуществляется:
– в связи с реализацией международных договоров РФ о реадмиссии,
– в связи с осуществлением правосудия и исполнением судебных актов,
– в связи с проведением обязательной государственной дактилоскопической регистрации,
– в случаях, предусмотренных публичным законодательством (об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из РФ и въезда в РФ, о гражданстве РФ, законодательством РФ о нотариате).
Обратите внимание, что предоставление биометрических персональных данных не может быть обязательным, за исключением вышеуказанных случаев.
Согласие на обработку персональных данных
Согласие на обработку персональных данных может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом.
Можно выделить следующие формы согласия на обработку персональных данных.
1. Письменная форма
Согласие в письменной форме на бумажном носителе должно содержать как минимум следующую информацию:
– фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего личность субъекта персональных данных;
– наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие;
– перечень действий с персональными данными, на совершение которых дается согласие;
– срок, в течение которого действует согласие субъекта персональных данных;
– подпись субъекта персональных данных.
Письменное согласие может быть оформлено в виде отдельного документа или быть включенным в текст договора, стороной которого является субъект персональных данных.
Согласно положениям Закона № 152-ФЗ в следующих случаях согласие на обработку персональных данных необходимо получить в письменной форме:
– на обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
– на обработку биометрических персональных данных;
– на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;
– для использования в общедоступных источниках персональных данных (в том числе в справочниках, адресных книгах).
Кроме того, получение согласие на обработку в письменной форме предусмотрено и отдельными нормами трудового законодательства.
Так, п. 3 ст. 86 Трудового кодекса РФ (далее – ТК РФ) предусмотрено, что все персональные данные работника следует получать у него самого.
Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
Другой случай прописан в ст. 88 ТК РФ.
В частности, указанной нормой установлено, что при передаче персональных данных работника работодатель должен соблюдать следующие требования:
– не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника;
– не сообщать персональные данные работника в коммерческих целях без его письменного согласия.
Образец письменного согласия на обработку персональных данных размещен в разделе «Формы документов» «Учет труда и его оплаты».
2. Устная форма
При устной форме согласие на обработку персональных данных должно быть зафиксировано, например, путем записи разговора, при этом субъект персональных данных должен быть идентифицирован (то есть должен быть доказан тот факт, что записан разговор именно с субъектом персональных данных).
Такую форму согласия используют банки, государственные органы при обращении через кол-центр.
3. Конклюдентная форма
В качестве примера конклюдентной формы можно привести случаи получения согласия на обработку персональных данных интернет-магазинами посредством проставления «галочек» пользователем в соответствующей веб-форме.
Субъект персональных данных должен быть идентифицирован (то есть должен быть доказан тот факт, что «галочки» проставил именно субъект персональных данных).
4. Электронная форма
В данном случае имеется ввиду создание согласия на обработку персональных данных в форме электронного документа, подписанного электронной подписью.
Согласие в форме электронного документа, подписанного электронной подписью, признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе.
Уведомление об обработке персональных данных
Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.
Методические рекомендации по уведомлению о начале обработки персональных данных и о внесении изменений в ранее представленные сведения утверждены Приказом Роскомнадзора от 30.05.2017 № 94.
Отправить уведомление в территориальный орган Роскомнадзора можно заполнив форму на сайте Роскомнадзора https://pd.rkn.gov.ru/operators-registry/notification/form/ одним из следующих способов:
– в бумажном виде;
– в электронном виде с использованием усиленной квалифицированной электронной подписи;
– в электронном виде с использованием средств аутентификации ЕСИА.
Обратите внимание, что с 1 сентября 2022 года расширился перечень случаев, когда оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных:
– обрабатываемых в соответствии с трудовым законодательством (этот случай охватывает всех работодателей);
– полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных (обработка данных клиентов – физических лиц);
– относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией;
– разрешенных субъектом персональных данных для распространения;
– включающих в себя только фамилии, имена и отчества субъектов персональных данных;
– необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.
Ранее в случае обработки персональных данных в вышеуказанных случаях у лиц, осуществляющих обработку таких данных, отсутствовала обязанность уведомлять Роскомнадзор.
При этом по разъяснениям Роскомнадзора предельный срок уведомления об обработке персональных данных не определен.
Таким образом, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных в вышеуказанных случаях.
Следует отметить, что оператор по-прежнему вправе осуществлять без уведомления Роскомнадзора обработку персональных данных:
– включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (пример такой системы является ГАИС «ЭРА – Глонасс»);
– обрабатываемых исключительно без использования средств автоматизации;
– обрабатываемых в случаях, предусмотренных публичным законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства).
Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения об операторе персональных данных в реестр операторов.
Реестр операторов персональных данных расположен на сайте Роскомнадзора по адресу https://pd.rkn.gov.ru/operators-registry/operators-list/.
Имейте ввиду, что для отнесения лица к оператору обработки персональных данных факт включения такого лица в Реестр операторов обработки персональных данных не обязателен, значение имеет лишь факт осуществления деятельности, в результате которой лицо обрабатывает персональные данные.
Ответственность за нарушение положений законодательства о персональных данных
В связи с нарушением положений законодательства о персональных данных виновные лица могут быть привлечены к административной ответственности.
В частности, предусмотрена ответственность за следующие виды правонарушений:
– за обработку персональных данных в случаях, не предусмотренных законодательством, либо обработку персональных данных, несовместимую с целями сбора персональных данных, предусмотрен штраф на юридических лиц – от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 Кодекс РФ об административных правонарушениях, далее – КоАП РФ);
– за обработку персональных данных без согласия в письменной форме, когда такое согласие должно быть получено, предусмотрен штраф на юридических лиц – от 30 000 до 150 000 рублей (ч. 2 ст. 13.11 КоАП РФ);
– за неопубликование документа, определяющего политику оператора в отношении обработки персональных данных, предусмотрен штраф на юридических лиц от 30 000 до 60 000 рублей (ч. 3 ст. 13.11 КоАП РФ);
– за невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, предусмотрен штраф на юридических лиц – от 40 000 до 80 000 рублей (ч. 4 ст. 13.11 КоАП РФ).
Всего по ст. 13.11 КоАП РФ предусмотрено 9 составов правонарушений в области обработки персональных данных.
За нарушение положений законодательства о персональных данных виновных лиц могут в отдельных случаях привлечь и к уголовной ответственности.
В частности, к уголовной ответственности могут привлечь, если будет доказано, что виновное лицо незаконно обрабатывало персональные данные, содержащие сведения о частной жизни человека (ст. 137 Уголовного кодекса РФ, далее – УК РФ).
В качестве примера можно привести ситуации с незаконной установкой камер видеонаблюдения в примерочных, направление сведений медицинского характера третьим лицам.
Другой случай привлечения к уголовной ответственности предусмотрен в диспозиции ст. 138 УК РФ – нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан.
Примером может служить ситуация, когда третье лицо тайно ознакомилось с содержимым письма, адресованного потерпевшему, и публично огласило факты, содержащие личную или семейную тайну.
Нарушение тайны переписки, не содержащей сведений, составляющих личную либо семейную тайну, образует состав преступления, предусмотренный ч. 1 ст. 137 УК РФ.
Все права на материалы защищены, многие статьи на нашем
сайте находятся в закрытом доступе.
Предлагаем зарегистрироваться или авторизоваться, чтобы продолжить чтение.
Ваша подписка закончилась {{this.$store.state.user.subscribe_end}}.
Продлите подписку чтобы получить доступ к журналу.
Изменения в законодательстве происходят каждый день!
Не попадите под штрафы и налоговые проверки!
Ваша подписка закончилась {{this.$store.state.user.subscribe_end}}.
Продлите подписку чтобы получить доступ к журналу.
Изменения в законодательстве происходят каждый день!
Не попадите под штрафы и налоговые проверки!