Кто относится к субъектам персональных данных ответ сдо ржд

Какие персональные данные оператор собирает через сайт и зачем?

ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.

ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф. , адрес, номер телефона, e-mail.

В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:

• проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
• принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.

ПД, которые оператор собирает без предоставления вами информации.

В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).

Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.

Субъекты и операторы

В законе есть две сущности: субъект и оператор ПДн.

Субъектом персональных данных считается человек, чьи персональные данные обрабатывает оператор ПДн.

Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук, а чтобы его получить, выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя (субъекта ПДн), а магазин таким образом становится оператором.

Оператор — это физическое лицо или организация (государственная или частная), которая организует обработку и обрабатывает ПДн, а также определяет цели обработки, состав данных и совершаемые с ними действия.

Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.

Ответы на распространенные вопросы о защите прав субъектов ПДн

Определение субъекта персональных данных достаточно четкое и понятное, но как у операторов, так и у рядовых граждан часто возникают вопросы, связанные с реализацией обязанностей и обеспечения прав участников взаимоотношений. Дадим ответы на самые популярные из них:

Кого подразумевают под Уполномоченным органом, отвечающим за защиту прав граждан в сфере ПДн? Речь идет о федеральном органе исполнительной власти, на которого возлагается функция контролировать различные аспекты в области связи и информационных технологий. С 2009 года после вступления в силу постановления Правительства № 228 такой госструктурой является Роскомнадзор. Именно этот орган проводит проверки, обрабатывает заявления операторов, рассматривает заявления от субъектов на несанкционированное использование их ПДн и т. В том числе у него есть право штрафовать за обнаруженные нарушения.

Считается ли ИП или компания оператором ПДн, если она не прошла процедуру внесения в Реестр Роскомнадзора? В соответствии с ФЗ-152 под эту категорию подпадают все, кто осуществляет обработку персональных данных, независимо от того, включены ли они в Реестр или нет.

Всегда ли нужно сообщать контролирующему органу о выполнении операций с ПДн? Да, оператору необходимо сначала проинформировать Роскомнадзор о начале обработки, а потом начинать сбор, копирование, хранение, изменение и другие действия с персональными данными. Исключение составляют случаи, когда речь идет о:

• работе религиозной либо общественной организации, которая действует в соответствии с актуальными требованиями в сфере защиты ПДн;
• заключении официального соглашения с субъектом для исполнения взаимных обязательств;
• обработке данных, связанных с трудоустройством;
• использовании только ФИО;
• обеспечении безопасности и целостности государства;
• изготовлении одноразового пропуска на территорию предприятия;
• наличии письменного соглашения владельца ПДн на их распространение;
• обработке без применения автоматизированных средств учета и хранения;
• вхождении информации в ИСПДн со статусом государственных информационных систем, действующих для поддержания общественного порядка;
• поддержании транспортной безопасности на разных уровнях.

Как интерпретируют понятие конфиденциальности? В Статье 7 ФЗ-152 его определяют как обязанность операторов и прочих лиц, имеющих доступ к личным сведениям физлиц, не распространять их и не передавать без соответствующего разрешения субъекта третьим лицам.

Какой документ является подтверждением факта уничтожения ПДн (после достижения поставленных целей, по запросу владельца и т. )? Согласно установленному российским законодательством порядку, сначала оператор должен разработать локальные акты, регулирующие саму процедуру, затем зафиксировать результат в особом журнале либо составить соответствующий акт.

Идентифицируют ли сайт как ИСПДн? Да, по характеристикам, прописанным в Статье 10 ФЗ-152, любой портал (корпоративный, информационный и т. ) является ИС, соответственно, на него распространяются и остальные положения закона, в частности, необходимость информировать пользователей о целях, методах и прочих аспектах обработки ПДн.

Действуют ли законодательные требования на фирмы, зарегистрированные в других государствах? Да. При организации деятельности представительства зарубежной организации нужно быть готовыми к тому, что на его деятельность в пределах РФ будут распространяться те же правила, что и на местных операторов.

Особенности подачи запросов операторам ПДн

Использовать свое право на получение достоверных и актуальных сведений о том, какие ПДн и в каком количестве используются оператором, может любой субъект путем подачи заявления. Обращаться следует письменно (форма заявления произвольная) либо в цифровой форме с применением электронной подписи — документы имеют равную юридическую силу, но есть ряд условий к их составлению. В подаваемом запросе обязательно нужно указать:

• ФИО и прочие данные субъекта;
• уникальный номер документа, идентифицирующего личность (либо его представителя), а также дату получения и орган выдачи;
• доказательства наличия взаимоотношений между субъектом и оператором — лучше всего прописать номер и дату договора;
• подпись заявителя (непосредственно субъекта или уполномоченного лица).

К сожалению, ИП и организации не всегда быстро реагируют на обращения физлиц, поэтому нередко возникает потребность в подаче повторного запроса. Сделать это можно не раньше, чем спустя 30 календарных дней, если нет законных оснований подать заявление раньше. Еще раз попросить о предоставлении сведений об обрабатываемых ПДн можно также в том случае, если при первичном обращении вам дали неполную или неточную информацию. Причем если запрос окажется необоснованным, например, не будет доказательств факта выполнения операций с личными сведениями, то оператор имеет законное право ответить вам отказом.

Краткий чек-лист для обработки ПДн

Персональные данные — информация, которая относится к конкретному человеку: ФИО, номер телефона, e-mail, группа крови или фотография.

При обработке ПДн, нужно соблюдать требования 152-ФЗ:

• Получать согласие у субъекта и не собирать лишние данные.
• Отвечать на обращения субъектов и предоставлять всю информацию.
• Собирать и хранить информацию только для достижения определенных целей в определенный срок.
• Защищать ПДн по закону.
• Уточнять, блокировать или уничтожать ПДн по заявлению субъектов или когда достигли целей.

В законе, постановлениях и других документах, связанных со 152-ФЗ, нет четких указаний или чек-листов, что делать в разных случаях, чтобы работать по закону. Поэтому у нас есть только примерные списки действий при работе с ПДн, которые можете использовать.

Законно ли направление мне рекламы без моего согласия?

Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:

• на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
• на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.

Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).

Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.

(Подробнее об этом в статье «Клиент жалуется на рекламную рассылку – предприниматель платит»

Категория общедоступных ПДн

Отличительной особенностью таких персональных данных является возможность их получения неограниченным кругом лиц. Они присутствуют в открытых источниках, например, справочниках и иных документах, при этом гражданин должен предварительно дать свое согласие на размещение. В соответствии с классификацией ФЗ-152 в данную категорию персональных данных входят:

• имя, фамилия и отчество субъекта;
• место, где человек родился или проживает;
• возраст;
• профессия, образование;
• месяц, год и число рождения;
• электронная почта;
• телефонный номер и т.д.

Нужно учитывать, что если гражданин не согласен с тем, что информация о нем общедоступна, то он имеет право потребовать её удалить из источника путем подачи заявления. Также это может быть сделано при выдаче соответствующего решения государственного органа либо суда.

Какие права у меня есть при обработке моих персональных данных?

Право на получение у оператора информации, касающейся обработки ваших ПД.

Вы можете обратиться к оператору с требованием о предоставлении следующей информации:

• подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
• правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него. Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;
• способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
• наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
• перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
• сроки обработки и хранения ПД;
• порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
• о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
• сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
• иные сведения, предусмотренные законодательством.

Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.

Как получить от оператора необходимую информацию?

Вы вправе обратиться к оператору лично, придя в офис. Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.

Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору.

В запросе обязательно нужно указать:

• паспортные данные;
• если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
• если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
• иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;
• ваша подпись.

При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно. Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.

Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения. Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение. В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса.

Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.

Вы можете требовать от оператора:

• уточнить ваши ПД;
• блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
• уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.

Такие требования можно предъявить, если ПД, которые обрабатывает оператор:

• неполные, например вместо Ф.И.О. указана только фамилия;
• устаревшие, например если вы поменяли паспорт;
• неточные, например ваша фамилия указана с ошибкой;
• получены незаконно;
• не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.

Как обратиться к оператору с одним из требований?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст. 14 и ч. 3 ст. 20 Закона о персональных данных.

Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД. Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.

Право на отзыв согласия на обработку ПД.

После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие. После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.

Как отозвать согласие на обработку персональных данных?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД). Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.

Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва.

Право принимать предусмотренные законом меры по защите своих прав.

Если вы считаете, что оператор:

• осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
• иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.

В таких случаях вы можете обратиться:

• в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
• в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).

Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора. Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.

1 Кассационное определение Судебной коллегии по административным делам Верховного Суда РФ от 22 января 2020 г. № 5-КА19-56.

Как оператору работать с персональными данными

Рассмотрим, как оператору обрабатывать и защищать ПДн.

Сбор

Пример с сайта uchi

Согласие – документ, где указаны конкретные категории ПДн и конкретные цели обработки, для которых осуществляется сбор. Общий подход компании к обработке всех ПДн для всех целей регламентируется документом «Политика конфиденциальности». В электронном виде под каждой формой необходимо добавить чекбокс с текстом: «Даю согласие на обработку персональных данных в соответствии с политикой конфиденциальности». Без «галочки» пользование ресурсом должно быть невозможно.

Для сбора Cookies в рамках соблюдения GDPR тоже понадобится разрешение.

Пример разрешения.

Обычно новым пользователям показывается всплывающее окно с предупреждением, что сайт собирает Cookies, IP и геолокацию, а если пользователь не согласен, то может не пользоваться сайтом.

Исключения. Согласие на обработку ПДн нужно не всегда. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 152-ФЗ, но если кратко, то согласие не обязательно для обработки общедоступных данных, обезличенной статистики и СМИ (при условии соблюдения прав субъекта). При этом все данные, естественно, не должны передаваться третьим лицам. Чаще всего, на сайты, приложения и, в целом, на коммерческие ресурсы в интернете, исключения не распространяются.

Примечание. Когда оператор передает ПДн в облако, у оператора должно быть согласие субъекта на передачу, а также обязательно нужно удостовериться, что инфраструктура соответствует 152-ФЗ по требуемому уровню защищенности и заключить поручение на обработку. Это гарантия спокойной работы и отсутствия в дальнейшем проблем с Роскомнадзором. Например, облако на базе VMware и Облачные серверы в Selectel соответствуют требованиям по 3 уровню защищенности ПДн.

Обработка

Все, что происходит с ПДн — это обработка:

• передача;
• запись;
• хранение;
• извлечение;
• изменение;
• обезличивание;
• анализ;
• удаление.

Сбор — это тоже обработка.

Обработка бывает трех видов:

• Автоматизированная — с помощью СВТ (средств вычислительной техники). Это компьютеры, телефоны и другие электронные устройства, базы данных, программы, скрипты.
• Смешанная — обработка человеком при участии СВТ. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
• Неавтоматизированная — без автоматизации, на бумажных носителях.

Условия. Обработка ПДн должна проходить с согласия субъектов. Для обработки должны быть четкие цели, например, для рассылки. В соответствии с целями, можно обрабатывать только ограниченный набор данных и не больше. Например, для рассылки не нужны паспортные данные и ИНН.

Хранение

Если информация о субъектах хранится на серверах, жестких дисках, флешках, в облаке или даже в распечатанном виде — это называется хранением персональных данных.

Условия. К обработке ПДн много требований со стороны 152-ФЗ.

• Данных нужно хранить столько, сколько достаточно для выполнения целей обработки.
• Информация должна храниться так, чтобы можно было определить субъекта, не дольше, чем того требуют цели обработки.
• Если данных не хватает или они неточные, то оператор обязан их уточнить или удалить.
• Если есть базы данных с разными ПДн, собранными для разных целей, их нельзя объединять.
• После обработки ПДн должны быть уничтожены или обезличены.
• Если ПДн передаются в другую страну, нужно удостовериться, что там есть подходящая система защиты, а субъект дал на это отдельное согласие (если страна не входит в перечень стран, обеспечивающих адекватную защиту прав субъектов ПДн).

Субъект может в любой момент запросить у оператора (в письменном или электронном виде с помощью усиленной квалифицированной ЭП) какие данные на него есть, цели обработки и состав данных. А если информация неточная или старая — может потребовать ее обновить.

Защита

Согласно 152-ФЗ, оператор отвечает за все, что происходит с ПДн, даже если привлек сторонних лиц для обработки. Например, если банк собрал базу скан-копий паспортов клиентов, а она попала к мошенникам — отвечает банк. Поэтому информационные системы персональных данных (ИСПДн) должны быть хорошо защищены. Критерий «хорошо» означает в соответствии с уровнем защищенности обрабатываемых данных (УЗ). Уровни защищенности определены в постановлении Правительства 1119 и связаны с категорией ПДн.

Каждый оператор обязан самостоятельно определить уровень защищенности ПДн и настроить IT-инфраструктуру, в соответствии с требованиями. Чтобы было проще ориентироваться, используйте таблицу определения УЗ.

Таблица определения УЗ.

Примечание. Если храните данные в ЦОД, то инфраструктура должна соответствовать требованиям приказа ФСТЭК. Соответствие подтверждается оценкой эффективности принимаемых мер по обеспечению безопасности ПДн. Аттестованный сегмент ЦОД Selectel соответствует требованиям по 1 уровню защищенности ПДн и 1 классу защиты государственных информационных систем.

Операторы обязаны (кроме случаев, указанных в части 2 статьи 22 152-ФЗ) подать уведомление в Роскомнадзор, чтобы организацию внесли в реестр операторов ПДн. В заявлении обязательно указать какие меры предприняты для защиты, какие ПДн и где будете хранить.

Документы

Подготовить оборудование, ПО и инженерные системы недостаточно. Для обработки ПДн нужно еще много документов:

• Политика в отношении обработки персональных данных. Общедоступный документ, отражающий политику компании в части обработки ПДн.
• Модель угроз безопасности информации. В документе описываются актуальные для информационной системы персональных данных угрозы.
• Приказ о назначении ответственного за обеспечение безопасности персональных данных — обычно назначают сотрудника службы информационной безопасности. Он будет отвечать за обеспечение безопасности ПДн.
• Приказ о назначении ответственного за организацию обработки персональных данных – обычно назначают сотрудника юридического отдела, который отвечает за правильную организацию процесса обработки ПДн и соблюдение прав субъектов.
• Акт оценки вреда субъектам ПДн. Документ, в котором производится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований 152-ФЗ.

Это неполный список из организационных документов. Список названий займет слишком много места, поэтому оставим ссылку на большой список.

Ответственность

Роскомнадзор проверяет компании — собирают ли они ПДн и зарегистрировались ли как оператор, если это необходимо. За нарушения штрафует, согласно статье 13. 11 КоАП РФ.

Например, за незаконную обработку без согласия штраф от 1 до 30 тысяч рублей, в зависимости кто нарушил: физлицо, юрлицо или должностное лицо. Также штрафуют, если оператор не защищает информацию или не обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных в базах данных, находящихся на территории России.

Штрафы можно получить не только за халатное отношение к ПДн, но и если не разработать соответствующую документацию или приказы. Например, если нет «Политики в отношении обработки персональных данных» возможен штраф от 700 рублей до 30 тысяч. А если нет «Модели угроз безопасности» — штраф от 1 тысячи для физлиц до 50 тысяч рублей для юрлиц.

Примечание. Хранение данных в облаке не снимает ответственности с оператора. ЦОД — промежуточное звено, третье лицо. Инфраструктура, соответствующая требованиям, помогает оператору не беспокоиться о требованиях регулятора в зоне ответственности провайдераа. Но вся ответственность перед субъектом лежит на операторе.

Ответы на популярные вопросы

Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?

Какие права имеет субъект обработки персональных данных

Государство, в первую очередь, заинтересовано в обеспечении безопасности личных сведений граждан, чьи сведения проходят обработку, поэтому наделяет их целым рядом прав в рамках взаимодействия с операторами. Полный список указан в Главе 3 ФЗ-152, который следует внимательно изучить всем, кто намерен подписывать письменное или электронное соглашение на копирование, сбор, уничтожение, дополнение и прочие операции со своими персональными данными. Из наиболее важных моментов следует отметить возможность получения точной и исчерпывающей информации о работе с ПДн, где есть ответы на следующие вопросы:

• на какие конкретно действия соглашаются субъекты;
• какова нормативно-правовая база сформированных взаимоотношений;
• с какой целью осуществляется сбор ПДн;
• каким образом будет осуществляться обработка;
• кто является оператором, какой у него юридический адрес;
• какие лица имеют доступ к конфиденциальным данным;
• какие виды ПДн проходят обработку;
• как долго будет осуществляться хранение идентифицирующей информации;
• планируется ли передача ПДн за границу;
• кто проводит операции с данными по поручению основного оператора (если привлекаются аутсорсинговые компании).

Если ПДн используются в рамках коммерческой деятельности либо политической агитации, то обязательным является наличие согласия на распространение персональных данных. Также на оператора накладывается обязательство сразу прекратить использование сведений, если субъект подает соответствующий запрос. При наличии обоснованных подозрений, что используемые сведения неполные, ошибочные либо получены незаконным способом субъект вправе потребовать их немедленной блокировки и уничтожения в предусмотренные действующим законодательством сроки.

ФЗ-152 устанавливает запрет на принятие решений, которые приводят к правовым последствиям в отношении субъекта ПДн, если обработка производится исключительно электронным способом. Для проведения операций необходимо сначала получить письменное согласие.

На рассмотрение возражений от физических лиц закон отводит до 7 рабочих дней. Если гражданина не устраивает результат, то можно пожаловаться на действия либо бездействие организации в Роскомнадзор или же сразу идти в суд с исковым заявлением. В последние 5-7 лет все чаще субъектам ПДн удается выигрывать дела, а многие споры получается разрешить на досудебном этапе.

Примечательно, что около 50% проведенных Роскомнадзором внеплановых проверок операторов инициированы субъектами, обнаружившими и способными подтвердить факт нарушения закона в отношении их персональных данных.

Что является специальной категорией персональных данных?

В данную группу входят:

• сведения, касающиеся состояния здоровья;
• гендерная и расовая принадлежность;
• сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни;
• философские воззрения;
• религиозные убеждения;
• политические взгляды и т.д.

Для обработки специальных категорий персональных данных требуется выполнение одного из условий:

• получение письменного согласия установленного законом образца;
• использование сведений, опубликованных в общедоступных источниках самим гражданином;
• вступление в силу международных договоренностей;
• выполнение действий в рамках судебного производства или по решению суда;
• возникновение риска для жизни и здоровья субъекта либо окружающих людей;
• обработка информации в рамках деятельности общественной либо религиозной организации.

Биометрические ПДн

Практически на любом предприятии есть система охраны и видеонаблюдения, а также ограничения доступа на территорию либо в отдельные помещения. В качестве идентификатора лиц, которые имеют право находиться в определенных зонах или выполнять определенные действия, выступают, как правило, фотографии, отпечатки пальцев или рисунок сетчатки глаза. Эти и другие физиологические особенности входят в категорию биометрических ПДн, а их использование в обязательном порядке требует получения письменного согласия владельцев. Документ не требуется только, если речь идет об использовании данных в целях обеспечения государственной безопасности, работы госструктур, а также осуществлении правоохранительной деятельности.

Работая с такими сведениями, оператору нужно брать в расчет ограничение по условиям обработки — их разрешено собирать, дополнять, хранить и т. только до тех пор, пока не достигнута цель обработки или не прошел срок, прописанный в подписанном субъектом разрешении.