Отношения связанные с обработкой персональных данных регулируются

Сегодня мы раскроем тему: "Отношения связанные с обработкой персональных данных регулируются", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

О персональных данных (в ред. от 23.07.2013)

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) утратил силу. — Федеральный закон от 25.07.2011 № 261-ФЗ;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Источник: http://www.eg-online.ru/document/law/222905/

Обязательность регистрации как оператора персональных данных

Выяснилось, что все организации Российской Федерации, вне зависимости от формы собственности и организационно-правовой формы, обязаны уведомить Роскомнадзор об обработке персональных данных и иметь комплект документов по информационной безопасности. Иначе грозят большие штрафы вплоть до закрытия. Если речь идем о маленькой организации, состоящей из пяти человек (магазин), которая не собирает с клиентов персональные данные, надо ли такой организации регистрироваться как оператору персональных данных?

В соответствии с ч. 1 ст. 1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Законо персональных данных) этим законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, т.е. позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

В случае если организация осуществляет обработку персональных данных своих сотрудников, т.е. осуществляет любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, то организация должна соблюдать требования Закона о персональных данных.

В соответствии с п. 7 ст. 86 Трудового кодекса РФ защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами. Данное положение означает, что работодатель должен обеспечить правовые, организационные и технические меры по защите персональных данных своих работников.

Таким меры предусмотрены в ч. 1 ст. 18.1 Закона о персональных данных.

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона о персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Иные меры предусмотрены в ст. 19 Закона о персональных данных.

При этом сообщаем, что организации, которые осуществляют обработку исключительно в соответствии с трудовым законодательством, вправе осуществлять обработку без подачи уведомления в Роскмонадзор (п. 1 ч. 2 ст. 22 Закона о персональных данных).

Читайте так же:  Возмещение материального ущерба адвокат

Источник: http://pravo.rg.ru/rubrics/question/6055/

Что нужно знать работодателю о защите персональных данных?

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

Хранение личных данных – законодательное регулирование

  • федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • главой 14 Трудового кодекса РФ.

Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

Обработка персональных данных и их защита

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Получение персональных данных

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

  1. из документов, предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
  3. в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
  4. от кадрового агентства, действующего от имени соискателя;
  5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

В уведомлении необходимо указать:

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники данных (у кого будет запрашиваться информация);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении информации у третьего лица.

Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

Меры защиты персональных данных

  • установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
  • установить особый порядок выдачи пропусков и удостоверений работников;
  • использовать технические средства охраны;
  • использовать программно-технический комплекс защиты информации на электронных носителях.

Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.

Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

Передача персональных данных

  • даты выдачи и возврата документа,
  • наименование документа,
  • срок пользования,
  • цель выдачи,
  • Ф.И.О. и должность лица, получившего документ с персональными данными работника.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

Читайте так же:  Какая госпошлина при разводе через суд

Размер ответственности за нарушения

  • на граждан – от 300 до 500 руб.;
  • на должностных лиц – от 500 до 1000 руб.;
  • на юридических лиц – от 5000 до 10 000 руб.

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • на граждан – от 500 до 1000 руб.;
  • на должностных лиц – от 4000 до 5000 руб.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).

Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

  • или штраф в сумме до 200 тыс. руб.,
  • или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
  • или обязательные работы на срок от 120 до 180 часов,
  • или исправительные работы на срок до одного года,
  • или арест на срок до четырех месяцев.

А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

  • или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
  • или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
  • или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

или арестом на срок от четырех до шести месяцев.

Источник: http://www.klerk.ru/boss/articles/449381/

Как соблюсти требования о защите персональных данных

Персональные данные личности являются конфиденциальной информацией, и ее оборот осуществляется в рамках жесткой правовой процедуры. Принятый шесть лет назад Закон о персональных данных регулирует отношения, связанные с обработкой персональных данных. Однако большинство норм подзаконных актов в отношении требований по обработке персональных данных размыто и в них сложно ориентироваться. Расскажем о том, как привести деятельность компании в соответствие с данными требованиями на примере типичных ошибок, совершаемых операторами при работе с персональными данными.

Правовую основу регулирования отношений в сфере персональных данных составляет Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон) и принятые в соответствии с ним нормативные правовые акты.

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъектом персональных данных может быть только физическое лицо.

Таким образом, персональные данные — это любая информация, с помощью которой лицо можно определить (идентифицировать), например: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, биометрическая информация, данные о супруге, детях, других членах семьи, индивидуальные средства коммуникации (номер телефона, адрес электронной почты, персональный сайт или иной личный ресурс в Интернете, например блог или страница в социальной сети), сведения о событиях и обстоятельствах жизни лица, позволяющие его идентифицировать, в том числе аудио- и видеофайлы, и т.д. Перечень сведений, которые могут быть отнесены к персональным данным, является открытым.

Любые действия или операции с персональными данными называются обработкой персональных данных.

Государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, называются операторами персональных данных.

Закон обязывает оператора принимать меры по защите персональных данных, но при этом перечень таких мер он вправе определять сам. Закон называет лишь примерный перечень мер. К ним, в частности, отнесены:

1) назначение ответственного за организацию обработки персональных данных;

2) издание документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) ознакомление работников с положениями законодательства РФ о персональных данных, в том числе с требованиями о защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников.

При этом оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях о защите персональных данных.

Оператор обязан представить указанные документы и локальные акты и (или) иным образом подтвердить принятие указанных мер по запросу Роскомнадзора.

Таким образом, можно выделить основные обязанности оператора:

  • принятие локального нормативного акта, регулирующего вопросы защиты персональных данных;
  • назначение работника, ответственного за организацию обработки персональных данных.

Также до начала обработки персональных данных оператор обязан направить уведомление в территориальное отделение Роскомнадзора по месту своего нахождения. Форма бланка и рекомендации по его заполнению утверждены приказом Роскомнадзора от 19.08.2011 № 706.

Оператор не обязан уведомлять Роскомнадзор в случаях, когда персональные данные:

Читайте так же:  Сумма госпошлины за продление разрешения на оружие
Видео (кликните для воспроизведения).

1) обрабатываются в соответствии с трудовым законодательством;

2) получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) сделаны субъектом персональных данных общедоступными;

4) включают в себя только фамилии, имена и отчества субъектов персональных данных;

5) необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

6) обрабатываются без использования средств автоматизации.

Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения об операторе в реестр операторов. Сведения, содержащиеся в этом реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

Операторы, осуществлявшие обработку персональных данных до 1 июля 2011 г., обязаны не позднее 1 января 2013 г. представить в Роскомнадзор следующие сведения:

  • правовое основание обработки персональных данных;
  • фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями о защите персональных данных, установленными Правительством РФ.

Согласие на обработку персональных данных

По общему правилу обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие на обработку может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.

Случаи, когда согласия не требуется, предусмотрены в ст. 6 Закона.

Обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя данные, указанные в п. 4 ст. 9 Закона.

В Законе статья об ответственности сформулирована лаконично: «Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность».

В настоящее время меры ответственности за нарушение законодательства о защите персональных данных разбросаны по различным отраслям законодательства — административному, уголовному, гражданскому, трудовому.

Наиболее часто применяется административная ответственность за нарушение ст. 13.11 КоАП РФ. В качестве типичных можно выделить следующие нарушения:

  • обработку персональных данных без согласия субъекта персональных данных;
  • несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Закона о персональных данных;
  • нарушение требований конфиденциальности при обработке персональных данных.

Ответственность наступает в виде предупреждения или наложения административного штрафа на на должностных лиц — от 500 до 1000 руб., на юридических лиц — от 5000 до 10 000 руб.

Однако есть предложение увеличить размер штрафов (соответствующий законопроект проходит сейчас согласовательные процедуры). Например, штраф за нарушение порядка обработки персональных данных для юридических лиц — до 500 000 руб.

Моральный вред, причиненный субъекту персональных данных, подлежит возмещению в соответствии с ГК РФ. Его возмещение осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Также виновные в нарушении требований законодательства несут дисциплинарную и уголовную ответственность. Однако привлечение к уголовной ответственности является крайне редким явлением.

Советы, как привести деятельность компании в соответствие с требованиями законодательства

Сотрудники Роскомнадзора уделяют большое внимание документам, которые закрепляют политику в отношении персональных данных, вопросы их обработки и защиты. С одной стороны, в нормативных актах установлены определенные требования к оформлению и содержанию этих документов, с другой — эти требования размыты по многочисленным нормативным актам, поэтому операторам сложно в них сориентироваться.

Большинство замечаний Роскомнадзора относится к тому, что необходимые документы, касающиеся персональных данных, часто носят формальный характер, повторяя содержание статей Закона о персональных данных. В разъяснениях Роскомнадзор выделяет типичные ошибки, которые допускают операторы:

1. Не указываются конкретные нормы Закона, на основании которых оператор ведет обработку персональных данных. Рос­комнадзор говорит о том, что в документах следует четко перечислить соответствующие пункты и статьи конкретных нормативных актов, регламентирующих осуществляемый вид деятельности оператора и касающихся обработки персональных данных.

2. Под целью обработки персональных данных операторы ошибочно указывают саму обработку персональных данных или действия, совершаемые с персональными данными (сбор, хранение, использование и др.). Однако здесь следует перечислить конкретную цель обработки персональных данных.

3. Категории персональных данных указываются не полностью, часто вместо закрытого перечня операторы пишут фразы «и др.», «и т.п.», «другая информация». Необходимо перечислять все обрабатываемые категории персональных данных. Перечень должен быть закрытым.

4. Перечисляются лишь общие характеристики используемых оператором способов обработки персональных данных, а также порядок передачи информации. Однако оператору следует указать лишь те из них, которые он фактически совершает, например сбор, систематизацию, хранение, уточнение, использование и передачу.

5. Не указываются конкретные меры, которые оператор обязуется осуществлять при обработке персональных данных и для обеспечения их безопасности.

6. Отсутствует список лиц, имеющих доступ к персональным данным, обрабатываемым в информационной системе. Такой список следует утвердить приказом оператора.

Это наиболее типичные ошибки операторов, хотя Роскомнадзор отмечает и другие. Например, отсутствие листа ознакомления работников оператора под личную подпись с Положением о защите персональных данных, а также документа, подтверждающего факт информирования лиц о том, что они осуществляют обработку персональных данных без использования средств информатизации. Подобный документ должен содержать категории персональных данных, а также особенности и правила осуществления обработки.

Источник: http://www.eg-online.ru/article/182984/

Отношения связанные с обработкой персональных данных регулируются

Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»

Читайте так же:  Психиатрическое освидетельствование несовершеннолетних

ЕСПЧ – Европейский суд по правам человека

Суд ЕС – Европейский суд справедливости

ГК РФ – Гражданский кодекс Российской Федерации (часть первая от 30 ноября1994 г. № 51-ФЗ; часть вторая от 26 января 1996 г. № 141-ФЗ; часть третья от 26 ноября 2001 г. № 146-ФЗ; часть четвертая от 18 декабря 2006 г. № 230-ФЗ)

Закон об информации ‒ Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Закон о персональных данных ‒ Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

Директива 1995 г. – Директива 95/46/ЕС от 24 октября 1995 г. о защите прав физических лиц применительно к обработке персональных данных и о свободном движении таких данных

КоАП РФ – Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ

Конвенция 1981 г. ‒ Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Заключена в г. Страсбурге (Франция) 28 января 1981 г.

Минкомсвязи России ‒ Министерство связи и массовых коммуникаций Российской Федерации

ОЭСР – Организация по экономическому сотрудничеству и развитию Регламент 2016 г. – Регламент ЕС 2016/679 от 27 апреля 2016 г. о защите прав физических лиц применительно к обработке персональных данных, о свободном движении таких данных и об отмене Директивы 95/46/ЕС (General Data Protection Regulation, GDPR)

Роскомнадзор ‒ Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций

Руководящие принципы ОЭСР ‒ Руководящие принципы ОЭСР по защите частной жизни и трансграничного обмена персональными данными 1980 г. (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)

ТК РФ – Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ

УК РФ – Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ

УПК РФ ‒ Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. № 174-ФЗ

В связи с вышеизложенным при подготовке данного комментария были учтены не только судебная практика по вопросам применения законодательства о персональных данных, но и общедоступные разъяснения Минкомсвязи России и Роскомнадзора. При этом особое внимание уделяется определению сферы применения законодательства о персональных данных, в том числе в сети «Интернет», а также существующим интерпретациям ключевых дефиниций законодательства о персональных данных, сфере применения предусмотренных законом оснований для обработки персональных данных различных категорий и обязанностям, возлагаемым на оператора. Кроме того, в комментарии учтены недавние изменения в КоАП РФ, касающиеся увеличения ответственности операторов за нарушение законодательства о персональных данных, а также положения соответствующих нормативных-правовых актов, регламентирующих порядок осуществления контрольно-надзорной деятельности в сфере законодательства о персональных данных.

При этом следует отметить, что законодательство о персональных данных развивается не только в России, но и в Европе, где совсем недавно был принят новый Общеевропейский регламент по защите персональных данных (General Data Protection Regulation), который в 2018 г. сменит устаревшую, но все еще выступающую своего рода эталоном законодательного регулирования защиты персональных данных Директиву ЕС 1995 г.

В ходе данной реформы было затронуто множество вопросов, связанных с вызовами, которые бросают новые технологии защите частной жизни граждан: распространение персональных данных в сети «Интернет» социальными сетями, использование инструментов аналитики «больших данных» и профайлинга, трансграничный характер обработки персональных данных при использовании «облачных» сервисов, информационная «перегруженность» потребителей и пр. Существует достаточно большой пласт решений Европейского Суда Справедливости по вопросам применения отдельных положений законодательства о персональных данных, где многие из указанных проблем были предметом глубокого анализа. В этой связи европейский опыт может быть особенно полезным для России, учитывая не только общность проблем, но и общность законодательства, обусловленную общими корнями – положениями Конвенции Совета Европы 1981 г. № 108 «О защите физических лиц при автоматизированной обработке персональных данных». Европейское законодательство представляет интерес для российского читателя еще и потому, что оно носит экстерриториальный характер и распространяется на только на европейских операторов, но и на иностранных лиц, что особенно актуально, принимая во внимание трансграничный характер электронной коммерции.

В связи с вышеизложенным в настоящем комментарии осуществлено сравнение ряда положений российского законодательства с европейскими нормами: как с ныне действующими, так и с вступающими в силу в 2018 г. При этом в комментарии также приводятся и правовые позиции Европейского Суда Справедливости, которые, по мнению автора, могут быть применимы и в российских реалиях в силу сходства соответствующих правовых норм. Это позволяет обеспечить комплексный и сбалансированный подход к рассмотрению проблем применения законодательства о персональных данных в цифровой среде.

Автор выражает признательность коллегам по Консультативному Совету при Роскомнадзоре, в особенности ‒ заместителю руководителя Роскомнадзора Антонине Аркадьевне Приезжевой и начальнику Управления по защите прав субъектов персональных данных Юрию Евгеньевичу Контемирову, без которых этот комментарий вряд ли был бы написан. Особо хотелось бы поблагодарить и другого коллегу по Консультативному Совету ‒ доцента кафедры теории и истории государства и права СПбГУ Владислава Владимировича Архипова за ценные дискуссии и высказанное мнение по ряду вопросов, отраженных в данном комментарии.

Настоящий комментарий подготовлен в ходе проведения исследования в рамках Программы фундаментальных исследований Национального исследовательского университета «Высшая школа экономики» (НИУ ВШЭ) с использованием средств субсидии в рамках государственной поддержки ведущих университетов Российской Федерации «5-100». Высказанные в работе суждения являются личным мнением автора и могут не совпадать с официальной позицией компании IBM, НИУ ВШЭ или какой-либо иной организации.

Источник: http://www.litmir.me/br/?b=626222&p=2

Правовое регулирование отношений в области обработки персональных данных

В результате изучения данной главы обучающийся будет:

  • знать, что представляют собой персональные данные, каковы принципы обработки персональных данных, какие органы осуществляют государственный надзор и контроль за обработкой персональных данных, какие положения должен содержать предлагаемый автором данного учебника Закон «О приватности (защите частной информации граждан)»;
  • уметь различать информационно-правовой статус субъекта персональных данных и информационно-правовой статус оператора обработки персональных данных;
  • владеть знанием о возможных способах защиты частной информации.
Читайте так же:  Пример приказа на право подписи

Общая характеристика законодательства о персональных данных

Российское законодательство в области персональных данных состоит из норм-принципов, установленных Конституцией РФ (ст. 23, 29, 33), международных договоров, заключаемых Российской Федерацией, и специальных законов.

Среди международных актов следует отдельно выделить Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. (г. Страсбург) [1] , которая устанавливает международный уровень защиты персональных данных каждого лица независимо от его гражданства или места жительства, находящегося на территории страны-участницы данного документа. Принципиальное значение имеет также Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» [2] , согласно которой персональные данные могут передаваться в страны, обеспечивающие такой же уровень защиты, как и в европейских государствах. Россия последовательно стремится ввести у себя необходимый стандарт защиты частной информации.

Основным национальным законом, регулирующим отношения в сфере оборота персональных данных, является Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», особенностью которого являются его цели (в частности, обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных, защита частной информации от незаконного посягательства со стороны третьих лиц) и сфера деятельности. Следует отметить, что в ст. 2 данный акт затрагивает также вопросы обеспечения права на неприкосновенность частной жизни, личной и семейной и иной охраняемой тайны.

Действие указанного Федерального закона не распространяется на отношения, возникающие при:

  • 1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
  • 2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов;
  • 3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
  • 4) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации. Характерной чертой законодательного регулирования в области персональных данных является приоритет норм международного договорного права. Так, если международным договором Российской Федерации установлены иные правила, нежели предусмотренные Федеральным законом «О персональных данных», будут применяться правила международного договора.

Согласно закону персональные данныеэто любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация

Обработка персональных данных включает действия или операции с ними (сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). Подобные действия осуществляет оператор обработки персональных данных, которым может быть государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание подобной обработки.

В результате процедуры обработки создается информационная система персональных данных, например, в рамках отдельной организации. Эта система обычно осуществляет обработку информации с использованием средств автоматизации. Автоматическая обработка включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических и (или) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение. В некоторых организациях действует система смешанного документооборота, когда информация изначально обрабатывается с помощью технических средств, а в конечном итоге закрепляется на бумажных носителях и хранится в установленном порядке в папках, журналах, архивах и т.д.

В процессе обработки персональных данных должны соблюдаться специальные условия и установленный порядок доступа к подобным сведениям. К примеру, обеспечивается конфиденциальность получаемой (обрабатываемой) информации, однако этого не требуется: а) в случае обезличивания персональных данных; б) в отношении общедоступных персональных данных [3] .

Обезличивание персональных данных — это действия, в результате которых невозможно определить принадлежность персональных данных конкретному лицу (например, при написании письменного экзамена при поступлении в вуз).

В целях информационного обеспечения создаются также общедоступные источники персональных данных, в том числе справочники, адресные книги, в которые с письменного согласия лица возможно включение его фамилии, имени, отчества, года и места рождения, адреса, абонентского номера, сведений о профессии и иных персональных данных, предоставленных субъектом последних.

Сведения о субъекте персональных данных по его требованию либо по решению суда или иных уполномоченных государственных органов в любое время могут быть исключены из общедоступных источников персональных данных.

Если оператор поручает обработку персональных данных другому лицу на основании договора, существенным условием последнего является обязанность обеспечения этим лицом конфиденциальности и безопасности данной информации в процессе обработки.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Данные подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в их достижении. Согласно ч. 4 ст. 21 Федерального закона «О персональных данных» в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя.

Видео (кликните для воспроизведения).

Источник: http://studme.org/82157/pravo/pravovoe_regulirovanie_otnosheniy_oblasti_obrabotki_personalnyh_dannyh

Отношения связанные с обработкой персональных данных регулируются
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here