Наше деловое партнерство www.banwar.org

МІНІСТЕРСТВО ЗВ'ЯЗКУ І МАСОВИХ КОМУНІКАЦІЙ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ

ФЕДЕРАЛЬНА СЛУЖБА З НАГЛЯДУ В СФЕРІ ЗВ'ЯЗКУ,
ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І МАСОВИХ КОМУНІКАЦІЙ
(Роскомнадзор)

Припинення поширення персональних даних в Інтернеті

Відповіді на питання в сфері захисту прав суб'єктів персональних даних

Питання: Що таке Уповноважений орган із захисту прав суб'єктів персональних даних і на кого покладено реалізацію цих функцій?

Відповідь: Уповноважений орган - федеральний орган виконавчої влади, який здійснює функції контролю і нагляду в сфері інформаційних технологій і зв'язку. В даний час, відповідно до постанови Уряду від 16 березня 2009 р № 228 «Про Федеральну службу з нагляду у сфері зв'язку, інформаційних технологій і масових комунікацій» дана функція покладена на Роскомнадзор.

Питання: Хто може бути оператором персональних даних?

Відповідь: Відповідно до п. 2 ст. 3 Федерального закону від 27.07.2006 р № 152-ФЗ «Про персональних даних» оператор - державний орган, муніципальний орган, юридична або фізична особа, що організують і (або) здійснюють обробку персональних даних, а також визначають цілі і зміст обробки персональних даних .

При цьому операторами зазначені органи та особи є незалежно від включення до реєстру операторів, які здійснюють обробку персональних даних, який веде Роскомнадзор.

Питання: Що включає в себе поняття конфіденційності?

Відповідь: Відповідно до ст. 7 Федерального закону від 27.07.2006 р № 152-ФЗ «Про персональних даних» оператори та інші особи, які отримали доступ до персональних даних, зобов'язані не розголошувати третім особам і не поширювати персональні дані без згоди суб'єкта персональних даних, якщо інше не передбачено федеральним законом.

Питання: В яких випадках для обробки персональних даних не потрібно згоди суб'єкта персональних даних?

Відповідь: Відповідно до п. 2-11 ч. 1 ст. 6. Федерального закону 27.07.2006 р № 152-ФЗ «Про персональних даних» згоди суб'єкта персональних даних не потрібно в наступних випадках:

2) обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором Російської Федерації або законом, для здійснення і виконання покладених законодавством Російської Федерації на оператора функцій, повноважень і обов'язків;

3) обробка персональних даних здійснюється у зв'язку з участю особи в конституційному, цивільному, адміністративному, кримінальному судочинстві, судочинстві в арбітражних судах;

3.1) обробка персональних даних необхідна для виконання судового акта, акта іншого органу або посадової особи, що підлягають виконанню відповідно до законодавством Російської Федерації про виконавче провадження (далі - виконання судового акта);

4) обробка персональних даних необхідна для виконання повноважень федеральних органів виконавчої влади, органів державних позабюджетних фондів, виконавчих органів державної влади суб'єктів Російської Федерації, органів місцевого самоврядування та функцій організацій, що беруть участь у наданні відповідно державних і муніципальних послуг, передбачених Федеральним законом від 27 липня 2010 року № 210-ФЗ "Про організацію надання державних та муніципальних послуг", включаючи реєстрацію суб'єкта персональних даних на єдиному порталі державних і муніципальних послуг та (або) регіональних порталах державних і муніципальних послуг;

5) обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних, а також для укладення договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем;

6) обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних, якщо отримання згоди суб'єкта персональних даних неможливо;

7) обробка персональних даних необхідна для здійснення прав і законних інтересів оператора або третіх осіб, в тому числі у випадках, передбачених Федеральним законом "Про захист прав і законних інтересів фізичних осіб при здійсненні діяльності по поверненню простроченої заборгованості та про внесення змін до Федерального закону" Про мікрофінансової діяльності та мікрофінансових організаціях ", або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права і свободи суб'єкта персональних даних;

8) обробка персональних даних необхідна для здійснення професійної діяльності журналіста і (або) законній діяльності засобу масової інформації або науковій, літературній або іншої творчої діяльності за умови, що при цьому не порушуються права і законні інтереси суб'єкта персональних даних;

9) обробка персональних даних здійснюється в статистичних чи інших дослідницьких цілях, за винятком цілей, зазначених в статті 15 цього Закону, за умови обов'язкового знеособлення персональних даних;

10) здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання (далі - персональні дані, зроблені загальнодоступними суб'єктом персональних даних);

11) здійснюється обробка персональних даних, що підлягають опублікуванню або обов'язковому оприлюдненню відповідно до федеральним законом.

Питання: В яких випадках оператор має право здійснювати обробку персональних даних без повідомлення уповноваженого органу з захисту прав суб'єктів персональних даних?

Відповідь: Відповідно до ч. 1 ст. 22 Федерального закону від 27.07.2006 р № 152-ФЗ «Про персональних даних» оператор до початку обробки персональних даних зобов'язаний повідомити уповноважений орган із захисту прав суб'єктів персональних даних (Роскомнадзор) про свій намір здійснювати обробку персональних даних.

Виняток становлять випадки, передбачені ч. 2 коментарів статті, при обробці персональних даних:

1) оброблюваних відповідно до трудовим законодавством ;

2) отриманих оператором у зв'язку з укладенням договору, стороною якого є суб'єкт персональних даних, якщо персональні дані не поширюються, а також не надаються третім особам без згоди суб'єкта персональних даних і використовуються оператором виключно для виконання зазначеного договору та укладення договорів з суб'єктом персональних даних;

3) що відносяться до членів (учасників) громадського об'єднання чи релігійної організації та оброблюваних відповідними громадським об'єднанням або релігійною організацією, які діють відповідно до законодавства Російської Федерації, для досягнення законних цілей, передбачених їх установчими документами, за умови, що персональні дані не будуть поширюватися або розкриватися третім особам без згоди в письмовій формі суб'єктів персональних даних;

4) зроблених суб'єктом персональних даних загальнодоступними;

5) включають в себе тільки прізвища, імена та по батькові суб'єктів персональних даних;

6) необхідних з метою одноразового пропуску суб'єкта персональних даних на територію, на якій знаходиться оператор, або в інших аналогічних цілях;

7) включених в інформаційні системи персональних даних, що мають відповідно до федеральними законами статус державних автоматизованих інформаційних систем, а також до державних інформаційні системи персональних даних, створені з метою захисту безпеки держави та громадського порядку;

8) оброблюваних без використання засобів автоматизації відповідно до федеральними законами або іншими нормативно-правовими актами Російської Федерації, що встановлюють вимоги до забезпечення безпеки персональних даних при їх обробці і до дотримання прав суб'єктів персональних даних;

9) оброблюваних у випадках, передбачених законодавством Російської Федерації про транспортну безпеку, з метою забезпечення сталого і безпечного функціонування транспортного комплексу, захисту інтересів особистості, суспільства і держави в сфері транспортного комплексу від актів незаконного втручання.

Повідомлення має бути направлено в письмовій формі і підписана посадовою особою або направлено в електронній формі та підписане електронним цифровим підписом відповідно до законодавства Російської Федерації.

Зразок форми повідомлення про обробку персональних даних та методичні рекомендації щодо його заповнення розміщені на офіційному сайті Роскомнадзора https://rkn.gov.ru/ в інформаційно-телекомунікаційній мережі «Інтернет».

Крім того, на порталі Персональні дані реалізована функція щодо заповнення повідомлень про обробку персональних даних в електронній формі.

Питання: Чи має право фізична особа представляти персональні дані своїх близьких родичів?

Відповідь: Надання фізичною особою оператору персональних даних близьких родичів можливо тільки при наявності письмової згоди зазначених осіб або у випадках, встановлених федеральними законами.

Питання: Якщо при обробці персональних даних організацією порушуються мої права, куди я можу звернутися за захистом?

Відповідь: Ви маєте право звернутися до найближчого територіального управління Роскомнадзора. Адреси та контактні телефони вказані на офіційному сайті Роскомнадзора www.rsoc.ru в інформаційно-телекомунікаційній мережі «Інтернет».

Питання: Яка відповідальність передбачена за порушення оператором вимог Федерального закону «Про персональні дані»?

Відповідь: У розділі ст. 24 Федерального закону «Про персональні дані» визначає відповідальність за порушення цього Закону, яка виражається у вигляді кримінальної, адміністративної, дисциплінарної та іншої передбаченої законодавством Російської Федерації відповідальності.

Адміністративна відповідальність за порушення цього Закону настає за:

- неправомірну відмову в наданні громадянину зібраних у встановленому порядку документів, матеріалів, або несвоєчасне надання таких документів і матеріалів, неподання іншої інформації у випадках, передбачених законом, або надання громадянину неповної або завідомо недостовірної інформації (ст. 5.39 КоАП РФ);

- порушення встановленого законом порядку збору, зберігання, використання або поширення інформації про громадян (персональні дані (ст. 13.11 КоАП РФ);

- розголошення інформації, доступ до якої обмежений федеральним законом (за винятком випадків, якщо її оприлюднення може тягне за собою кримінальну відповідальність) (ст. 13.14 КоАП);

- неподання або несвоєчасне подання до державного органу (посадовій особі) відомостей (інформації), подання яких передбачено законом і необхідно для здійснення цим органом (посадовою особою) його законної діяльності, а також подання до державного органу (посадовій особі) таких відомостей (інформації) в неповному обсязі або в спотвореному вигляді (ст.19.7. КоАП РФ).

Крім того, за незаконне збирання або розповсюдження відомостей про приватне життя особи, що складають його особисту або сімейну таємницю, і неправомірний доступ до охоронюваної законом комп'ютерної інформації російським законодавством передбачена кримінальна відповідальність, передбачена ст. 137, 272 КК РФ.

Питання: Чи можливо отримання згоди на обробку персональних даних по телефону? Що є доказом отримання згоди на обробку персональних даних при купівлі товарів в інтернет-магазинах?

Відповідь: При заповненні веб-форми заявки на покупку товару на сайті інтернет-магазину в інформаційно-телекомунікаційній мережі «Інтернет» критерієм, який свідчить про отримання оператором згоди суб'єкта персональних даних на обробку його персональних даних є файл електронного цифрового підпису.

Крім того, пропозиції оператора про продаж товару в окремих випадках може розглядатися як публічна оферта.

Таким чином, суб'єкт персональних даних, акцептуємо зазначену оферту, тим самим здійснює конклюдентні дії, що виражають його волю і згоду на обробку його персональних даних, наданих при заповненні заявки на покупку товарів.

Отримання згоди на обробку персональних даних по телефону, за допомогою СМС-повідомлень чинним законодавством Російської Федерації не встановлено.

Питання: Чи вправі оператор запитувати відомості про судимості?

Відповідь: Відповідно до ч. 3 ст. 10 Федерального закону «Про персональні дані» обробка персональних даних про судимість може здійснюватися державними органами або муніципальними органами в межах повноважень, наданих їм відповідно до законодавства Російської Федерації, а також іншими особами у випадках і в порядку, які визначаються відповідно до федеральних законів .

Питання: Які іноземні держави забезпечують адекватний захист персональних даних?

Відповідь: До початку здійснення транскордонної передачі персональних даних оператор, який здійснює обробку персональних даних (далі - Оператор) на території Російської Федерації, зобов'язаний переконатися в тому, що іноземною державою, на територію якого здійснюється передача персональних даних, забезпечується адекватний захист прав суб'єктів персональних даних.

Критеріїв, що визначають адекватність захисту прав суб'єктів персональних даних на території іноземної держави, чинним законодавством Російської Федерації не передбачено.

Оператору, який здійснює транскордонну передачу персональних даних, необхідно керуватися законодавством іноземної держави, на територію якого здійснюється передача персональних даних, законодавством Російської Федерації в області захисту прав суб'єктів персональних даних, а також міжнародними нормативними актами, в тому числі Конвенцією про захист прав фізичних осіб у зв'язку з автоматизованою обробці персональних даних від 28 січня 1981 р ETS № 108 з урахуванням переліку країн, які підписали і ратифікували анную Конвенцію. Це Австрія, Азербайджан, Албанія, Андорра, Вірменія, Бельгія, Болгарія, Боснія і Герцеговина, Колишня Югославська Республіка Македонія, Великобританія, Угорщина, Німеччина, Греція, Грузія, Данія, Ірландія, Ісландія, Іспанія, Італія, Кіпр, Латвія, Литва, Ліхтенштейн, Люксембург, Мальта, Молдова, Монако, Нідерланди, Норвегія, Польща, Португалія, Росія, Румунія, Сан-Марино, Сербія, Словаччина, Словенія, Туреччина, Україна, Фінляндія, Франція, Хорватія, Чорногорія, Чеська республіка, Швейцарія, Швеція , Естонія.

Друга група, які можуть претендувати на статус країн, що забезпечують адекватний захист персональних даних, це країни, що мають загальнонаціональні нормативні правові акти у сфері захисту персональних даних і уповноважений наглядовий орган із захисту прав суб'єктів персональних даних. Це Австралія, Аргентинська Республіка, Держава Ізраїль, Канада, Королівство Марокко, Малайзія, Мексиканські Сполучені Штати, Монголія, Нова Зеландія, Республіка Ангола, Республіка Бенін, Республіка Кабо-Верде, Республіка Корея, Республіка Перу, Республіка Сенегал, Туніська Республіка, Республіка Чилі . »

Питання: Чи поширюються вимоги Федерального закону «Про персональні дані» на юридичну особу іноземної держави?

Відповідь: Вимоги Федерального закону «Про персональні дані» поширюються на представництва юридичних осіб іноземних держав, які здійснюють діяльність з обробки персональних даних на території Російської Федерації.

Питання: Чи є веб-сайт інформаційною системою обробки персональних даних?

Відповідь: Відповідно до пункту 9 статті 3 Федерального закону «Про персональні дані» інформаційна система персональних даних - інформаційна система, що представляє собою сукупність персональних даних, що містяться в базі даних, а також інформаційних технологій і технічних засобів, що дозволяють здійснювати обробку таких персональних даних з використанням засобів автоматизації або без використання таких засобів.

У разі відповідності веб-сайту зазначеним вимогам він є інформаційною системою.

Питання: Як документально оформити факт знищення персональних даних суб'єкта?

Відповідь: Порядок документальної фіксації знищення персональних даних суб'єкта візначається оператором персональних даних самостійно. Знищення персональних даних суб'єкта здійснюється комісією або іншою Посадовою особою, створеня (уповноваженим) на підставі наказу Оператора. Найбільш поширеними способами документальної фіксації знищення персональних даних суб'єкта є оформлення відповідного акту про припинення обробки персональних даних або реєстрація факту знищення персональних даних у спеціальному журналі. Типова форма акту і журналу затверджуються самим Оператором.

Питання: Чи існують стандарти або рекомендації по виконанню Закону від 27 липня 2006 року №152-ФЗ «Про персональних даних» операторами?

Відповідь: Так, такі документи, розроблені окремими представниками операторського співтовариства, існують. Ознайомитися з ними можна в розділі «Стандарти, рекомендації та концепції» Порталу «Персональні дані»:

- стандарти і рекомендації в галузі стандартизації Банку Росії - http://www.cbr.ru/credit/Gubzi_docs/ ;

- концепція захисту персональних даних в інформаційних системах персональних даних оператора зв'язку - http://minsvyaz.ru/ru/documents/5132/ ;

- методичні рекомендації для організації захисту інформації при обробці персональних даних в закладах охорони здоров'я, соціальної сфери, праці та зайнятості - https://www.rosminzdrav.ru/documents/7570-recomendatsii .

Адреса статті: https://rkn.gov.ru/treatments/p459/p468/