Разъяснения законодательства в сфере защиты прав субъектов персональных данных
Вопрос: Что относится к персональным данным?
Ответ: Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Например: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.
Вопрос: Какие действия являются обработкой персональных данных?
Ответ: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Вопрос: Кто является оператором персональных данных?
Ответ: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных. При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Вопрос: Является ли обработкой персональных данных размещение на сайтах в сети Интернет фотографии без иной дополнительной информации?
Ответ: Размещение на страницах сайтов в сети Интернет фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.
Вопрос: Является ли нарушением законодательства размещение в холле жилого дома списка должников по коммунальным услугам, в котором указаны номер квартиры и сумма долга, без указания ФИО?
Ответ: По смыслу положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» номер квартиры и сумма долга не позволяют прямо или косвенно определить конкретное физическое лицо (субъекта персональных данных). Учитывая изложенное, размещение сведений о номере квартиры и сумме долга не является нарушением законодательства в области персональных данных.
Время публикации: 13.12.2016 14:31
Последнее изменение: 23.05.2019 11:01
Пункт 1 части 1 статьи 6 Закона о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 Закона о персональных данных.
К таким случаям, в частности, относится:
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Другие вопросы по теме
- Кто может являться оператором персональных данных?
- В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
- Каким образом можно отозвать согласие на обработку персональных данных?
- Какие действия могут быть предприняты субъектом персональных данных при нарушениях требований законодательства Российской Федерации в области персональных данных?
В каких случаях допускается передача третьим лицам и иная обработка персональных сведений о субъекте
Перечень ситуаций, когда операторы могут обрабатывать сведения о гражданах, приведен в ст. 6 закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Такие ситуации можно разделить на две большие группы:
- в интересах конкретного гражданина в случае дачи им письменного разрешения на обработку;
- без разрешения гражданина (исчерпывающий перечень ситуаций, когда обработка допустима без дачи согласия субъекта, приведен в ч. 1 ст. 6 ФЗ № 152).
Согласно ч. 3 ст. 6 ФЗ № 152 оператор имеет право поручить другим лицам обработку имеющихся у него сведений о гражданах. Данное поручение оформляется в виде договора, в котором должны указываться:
- цели работы с персональными данными;
- виды действий, которые можно с ними осуществлять;
- меры, которые должны быть приняты для защиты сведений от доступа посторонних лиц.
При этом организация, которая будет осуществлять работу с личной информацией по поручению оператора, не обязана получать разрешение от тех граждан, чьи данные обрабатываются. Обязанность получения такого разрешения и согласия на передачу данных для обработки другим лицам (если они необходимы в силу закона) возложена на оператора. Он же и будет нести ответственность перед гражданами за нарушение порядка обработки их личной информации.
В «КонсультантПлюс» есть множество готовых решений, в том числе о том, в каком порядке должна осуществляться обработка персональных данных физлиц.
Гражданин имеет право дать согласие на обработку личной информации любому, например, в целях приобретения товаров, услуг, оказания помощи в трудоустройстве. Согласие должно быть в письменной форме (на бумажном носителе или в виде электронного документа с ЭЦП гражданина). Согласие также может дать и представитель гражданина, например родитель в отношении ребенка.
Перечень сведений, которые должны быть указаны в согласии, закреплен в ч. 4 ст. 9 ФЗ № 152. Так, например, там должны быть:
- инициалы и паспортные данные гражданина;
- наименование и адрес оператора;
- цели обработки данных и перечень действий, которые разрешается совершать оператору с личной информацией;
- сроки обработки.
При этом если оператор намерен передавать кому-либо эти данные для дальнейшей обработки, то в согласии гражданина должно быть четко указано, какому именно лицу дается разрешение.
Подпишитесь на рассылку
Исчерпывающий перечень ситуаций, когда работа с личной информацией о россиянах может осуществляться без их согласия, приведен в ч. 1 ст. 6 ФЗ № 152. В частности, если это нужно:
- для сохранения жизни и здоровья граждан, в случаях если получить согласие невозможно (например, при оказании экстренной медпомощи);
- осуществления государственного управления и деятельности органов власти;
- осуществления правосудия, исполнения судебных решений, взыскания с граждан задолженности;
- выполнения договорных обязательств, если соответствующий гражданин является стороной сделки, выгодоприобретателем, поручителем;
- научных, исследовательских, статистических целей, при этом обычно данные обезличиваются;
- в отношении общедоступных личных данных (телефонные справочники, реестры).
Ответственность за нарушения законодательства
За нарушение правил обработки личной информации граждан предусмотрена административная ответственность. В ст. 13.11 КоАП РФ содержится 9 отдельных составов административного правонарушения, которые касаются всего перечня обязанностей оператора в области сбора, хранения, использования и защиты личной информации о гражданах.
Так, например, согласно ч. 2 ст. 13.11 КоАП за сбор и обработку персональных данных без разрешения гражданина (если оно обязательно) на организацию могут наложить штраф от 15 до 70 тысяч рублей.
Также в некоторых случаях виновные в незаконном сборе или распространении личных данных граждан, составляющих их личную либо семейную тайну, могут быть привлечены и к уголовной ответственности по ст. 137 УК РФ. Наказание по ч. 1 данной статьи предусматривает целый набор санкций в диапазоне от штрафа до 200 тысяч рублей и до лишения свободы на срок до 2 лет.
***
Действующее законодательство четко определяет, когда личные данные можно собирать только с разрешения человека, а когда этого не требуется. Санкции за возможные нарушения серьезные.
Еще больше материалов по теме — в рубрике «Персональные данные».
Более полную информацию по теме вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.