Кто является субъектом персональных данных

Что является специальной категорией персональных данных?

В данную группу входят:

  • сведения, касающиеся состояния здоровья;
  • гендерная и расовая принадлежность;
  • сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни;
  • философские воззрения;
  • религиозные убеждения;
  • политические взгляды и т.д.

Для обработки специальных категорий персональных данных требуется выполнение одного из условий:

  • получение письменного согласия установленного законом образца;
  • использование сведений, опубликованных в общедоступных источниках самим гражданином;
  • вступление в силу международных договоренностей;
  • выполнение действий в рамках судебного производства или по решению суда;
  • возникновение риска для жизни и здоровья субъекта либо окружающих людей;
  • обработка информации в рамках деятельности общественной либо религиозной организации.

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения). Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

Однако оба довода являются спорными.

Делегирование обработки ПДн

Осуществлять обработку самостоятельно необязательно — можно поручить организацию обработки и защиту информации специалистам. Это может быть сервис-провайдер либо иное лицо (например, наш Центр безопасности данных), которое возьмет на себя обеспечение технической части согласно условиям подписанного договора и нормативам российского законодательства. Юридическое право выполнять действия с ПДн закрепляется в поручении, где отдельным пунктом прописана необходимость обеспечения безопасности и конфиденциальности обрабатываемых данных граждан.

Какие права имеет субъект обработки персональных данных

Государство, в первую очередь, заинтересовано в обеспечении безопасности личных сведений граждан, чьи сведения проходят обработку, поэтому наделяет их целым рядом прав в рамках взаимодействия с операторами. Полный список указан в Главе 3 ФЗ-152, который следует внимательно изучить всем, кто намерен подписывать письменное или электронное соглашение на копирование, сбор, уничтожение, дополнение и прочие операции со своими персональными данными. Из наиболее важных моментов следует отметить возможность получения точной и исчерпывающей информации о работе с ПДн, где есть ответы на следующие вопросы:

  • на какие конкретно действия соглашаются субъекты;
  • какова нормативно-правовая база сформированных взаимоотношений;
  • с какой целью осуществляется сбор ПДн;
  • каким образом будет осуществляться обработка;
  • кто является оператором, какой у него юридический адрес;
  • какие лица имеют доступ к конфиденциальным данным;
  • какие виды ПДн проходят обработку;
  • как долго будет осуществляться хранение идентифицирующей информации;
  • планируется ли передача ПДн за границу;
  • кто проводит операции с данными по поручению основного оператора (если привлекаются аутсорсинговые компании).

Если ПДн используются в рамках коммерческой деятельности либо политической агитации, то обязательным является наличие согласия на распространение персональных данных. Также на оператора накладывается обязательство сразу прекратить использование сведений, если субъект подает соответствующий запрос. При наличии обоснованных подозрений, что используемые сведения неполные, ошибочные либо получены незаконным способом субъект вправе потребовать их немедленной блокировки и уничтожения в предусмотренные действующим законодательством сроки.

ФЗ-152 устанавливает запрет на принятие решений, которые приводят к правовым последствиям в отношении субъекта ПДн, если обработка производится исключительно электронным способом. Для проведения операций необходимо сначала получить письменное согласие.

На рассмотрение возражений от физических лиц закон отводит до 7 рабочих дней. Если гражданина не устраивает результат, то можно пожаловаться на действия либо бездействие организации в Роскомнадзор или же сразу идти в суд с исковым заявлением. В последние 5-7 лет все чаще субъектам ПДн удается выигрывать дела, а многие споры получается разрешить на досудебном этапе.

Примечательно, что около 50% проведенных Роскомнадзором внеплановых проверок операторов инициированы субъектами, обнаружившими и способными подтвердить факт нарушения закона в отношении их персональных данных.

Получение от субъекта согласия на обработку ПДн

Если не хотите попасть в область пристального внимания контролирующих органов и платить десятки тысяч рублей штрафа за несанкционированное использование личной информации, нужно получать официальное согласие на совершение тех или иных операций. Субъект ПДн подтверждает его, подписывая соглашение после детального изучения всех пунктов и подпунктов. Документ должен описывать все запланированные действия конкретно, четко и понятно, чтобы у человека не возникало сложностей с интерпретацией запланированных действий. В противном случае, владелец может отозвать согласие, лишая вас права обрабатывать его личные сведения до повторного подписания документа установленного образца.

В отдельных случаях необязательно ставить подпись лично — можно признать согласие электронным способом, используя ЭЦП.

Чтобы соглашение приобрело юридическую силу, необходимо убедиться в том, что текст документа включает:

  • ФИО и адрес субъекта персональных данных;
  • сведения об органе, выдавшем паспорт или другой подтверждающий личность документ;
  • имя, отчество и фамилию, а также место регистрации официального представителя (если он есть);
  • информацию об операторе, начиная от юридического адреса, заканчивая правильным наименованием;
  • четкий перечень будущих действий и цели обработки;
  • ограничения по срокам;
  • упоминание о возможности отозвать согласие;
  • подписи и даты всех участников либо их представителей.

Когда дело касается погибших субъектов ПДн, предусмотренные ФЗ права относительно личных сведений, переходят наследникам в предусмотренные законодательством сроки.

Что проверяет Роскомнадзор?

Регулярные проверки ведомства — мощный стимул для организаций не нарушать положения ФЗ-152. Главное, на что обращают внимание представители госструктуры:

  • наличие письменного согласия субъектов в случае их необходимости;
  • присутствие локальной документации, регулирующей взаимоотношения между оператором и владельцем ПДн, а также их соблюдение;
  • своевременное уведомление о начале обработки;
  • поставленные цели и длительность хранения информации;
  • применяемые меры защиты, налаженная система ограничения доступа;
  • сервера, на которые помещаются сведения для систематизации и хранения.

Ответы на распространенные вопросы о защите прав субъектов ПДн

Определение субъекта персональных данных достаточно четкое и понятное, но как у операторов, так и у рядовых граждан часто возникают вопросы, связанные с реализацией обязанностей и обеспечения прав участников взаимоотношений. Дадим ответы на самые популярные из них:

Кого подразумевают под Уполномоченным органом, отвечающим за защиту прав граждан в сфере ПДн? Речь идет о федеральном органе исполнительной власти, на которого возлагается функция контролировать различные аспекты в области связи и информационных технологий. С 2009 года после вступления в силу постановления Правительства № 228 такой госструктурой является Роскомнадзор. Именно этот орган проводит проверки, обрабатывает заявления операторов, рассматривает заявления от субъектов на несанкционированное использование их ПДн и т. В том числе у него есть право штрафовать за обнаруженные нарушения.

Считается ли ИП или компания оператором ПДн, если она не прошла процедуру внесения в Реестр Роскомнадзора? В соответствии с ФЗ-152 под эту категорию подпадают все, кто осуществляет обработку персональных данных, независимо от того, включены ли они в Реестр или нет.

Всегда ли нужно сообщать контролирующему органу о выполнении операций с ПДн? Да, оператору необходимо сначала проинформировать Роскомнадзор о начале обработки, а потом начинать сбор, копирование, хранение, изменение и другие действия с персональными данными. Исключение составляют случаи, когда речь идет о:

  • работе религиозной либо общественной организации, которая действует в соответствии с актуальными требованиями в сфере защиты ПДн;
  • заключении официального соглашения с субъектом для исполнения взаимных обязательств;
  • обработке данных, связанных с трудоустройством;
  • использовании только ФИО;
  • обеспечении безопасности и целостности государства;
  • изготовлении одноразового пропуска на территорию предприятия;
  • наличии письменного соглашения владельца ПДн на их распространение;
  • обработке без применения автоматизированных средств учета и хранения;
  • вхождении информации в ИСПДн со статусом государственных информационных систем, действующих для поддержания общественного порядка;
  • поддержании транспортной безопасности на разных уровнях.
Читайте также:  Ак каскор казахстан

Как интерпретируют понятие конфиденциальности? В Статье 7 ФЗ-152 его определяют как обязанность операторов и прочих лиц, имеющих доступ к личным сведениям физлиц, не распространять их и не передавать без соответствующего разрешения субъекта третьим лицам.

Какой документ является подтверждением факта уничтожения ПДн (после достижения поставленных целей, по запросу владельца и т. )? Согласно установленному российским законодательством порядку, сначала оператор должен разработать локальные акты, регулирующие саму процедуру, затем зафиксировать результат в особом журнале либо составить соответствующий акт.

Идентифицируют ли сайт как ИСПДн? Да, по характеристикам, прописанным в Статье 10 ФЗ-152, любой портал (корпоративный, информационный и т. ) является ИС, соответственно, на него распространяются и остальные положения закона, в частности, необходимость информировать пользователей о целях, методах и прочих аспектах обработки ПДн.

Действуют ли законодательные требования на фирмы, зарегистрированные в других государствах? Да. При организации деятельности представительства зарубежной организации нужно быть готовыми к тому, что на его деятельность в пределах РФ будут распространяться те же правила, что и на местных операторов.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

  • сбор;
  • передача;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

В свою очередь, обработка может осуществляться тремя путями:

  • Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив.

Определить срок хранения документа онлайн

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13. 11 КоАП.

  • обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц,до 50 тыс. — на организации
  • обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц,до 75 тыс. на организации
  • неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., адля юрлиц — до 30 тыс

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Биометрические ПДн

Практически на любом предприятии есть система охраны и видеонаблюдения, а также ограничения доступа на территорию либо в отдельные помещения. В качестве идентификатора лиц, которые имеют право находиться в определенных зонах или выполнять определенные действия, выступают, как правило, фотографии, отпечатки пальцев или рисунок сетчатки глаза. Эти и другие физиологические особенности входят в категорию биометрических ПДн, а их использование в обязательном порядке требует получения письменного согласия владельцев. Документ не требуется только, если речь идет об использовании данных в целях обеспечения государственной безопасности, работы госструктур, а также осуществлении правоохранительной деятельности.

Работая с такими сведениями, оператору нужно брать в расчет ограничение по условиям обработки — их разрешено собирать, дополнять, хранить и т. только до тех пор, пока не достигнута цель обработки или не прошел срок, прописанный в подписанном субъектом разрешении.

Категория общедоступных ПДн

Отличительной особенностью таких персональных данных является возможность их получения неограниченным кругом лиц. Они присутствуют в открытых источниках, например, справочниках и иных документах, при этом гражданин должен предварительно дать свое согласие на размещение. В соответствии с классификацией ФЗ-152 в данную категорию персональных данных входят:

  • имя, фамилия и отчество субъекта;
  • место, где человек родился или проживает;
  • возраст;
  • профессия, образование;
  • месяц, год и число рождения;
  • электронная почта;
  • телефонный номер и т.д.

Нужно учитывать, что если гражданин не согласен с тем, что информация о нем общедоступна, то он имеет право потребовать её удалить из источника путем подачи заявления. Также это может быть сделано при выдаче соответствующего решения государственного органа либо суда.

Законно ли направление мне рекламы без моего согласия?

Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:

  • на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
  • на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.

Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).

Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.

(Подробнее об этом в статье «Клиент жалуется на рекламную рассылку – предприниматель платит»

Кто такой оператор персональных данных?

Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.

  • работодатель, обрабатывающий ПД своих работников;
  • продавец, обрабатывающий ПД клиентов-граждан;
  • госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
  • владельцы сайтов, собирающие ПД пользователей сайта.

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

  • сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
  • персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
  • обработка персональных данных, находящимся в открытом доступе;
  • сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
  • сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
  • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете ивне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.
Читайте также:  При проходе к месту работ на станции следует проходить сдо ржд ответы

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Особенности подачи запросов операторам ПДн

Использовать свое право на получение достоверных и актуальных сведений о том, какие ПДн и в каком количестве используются оператором, может любой субъект путем подачи заявления. Обращаться следует письменно (форма заявления произвольная) либо в цифровой форме с применением электронной подписи — документы имеют равную юридическую силу, но есть ряд условий к их составлению. В подаваемом запросе обязательно нужно указать:

  • ФИО и прочие данные субъекта;
  • уникальный номер документа, идентифицирующего личность (либо его представителя), а также дату получения и орган выдачи;
  • доказательства наличия взаимоотношений между субъектом и оператором — лучше всего прописать номер и дату договора;
  • подпись заявителя (непосредственно субъекта или уполномоченного лица).

К сожалению, ИП и организации не всегда быстро реагируют на обращения физлиц, поэтому нередко возникает потребность в подаче повторного запроса. Сделать это можно не раньше, чем спустя 30 календарных дней, если нет законных оснований подать заявление раньше. Еще раз попросить о предоставлении сведений об обрабатываемых ПДн можно также в том случае, если при первичном обращении вам дали неполную или неточную информацию. Причем если запрос окажется необоснованным, например, не будет доказательств факта выполнения операций с личными сведениями, то оператор имеет законное право ответить вам отказом.

Чем грозит разглашение личной информации граждан?

Закон предусматривает различные виды ответственности за несоблюдение оператором требований ФЗ-152 в отношении операций с ПДн, а именно:

  • замечание, выговор и увольнение сотрудника, допустившего разглашение конфиденциальной информации;
  • взыскание суммы ущерба с работника-нарушителя;
  • возмещение морального вреда субъекту персональных данных в результате гражданских исков;
  • наложение административного штрафа, размер которого может варьироваться в зависимости от обстоятельств дела (от 15 тысяч до 18 миллионов рублей);
  • и другие виды ответственности, вплоть до уголовной для руководителя при значительных нарушениях, повлекших за собой серьезные последствия для субъекта.

Категории субъектов персональных данных

В процессе установления уровня защищенности, что требуется каждому оператору ИСПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн. В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений. Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь правительственное Постановление № 1119 устанавливает две категории:

  • лица, которые не являются штатными или внештатными сотрудниками организации;
  • лица, связанные с компанией трудовыми взаимоотношениями.

В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов. После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.

Ответы на популярные вопросы

Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?

Кто является субъектом персональных данных

Как отказаться от назойливой рекламной рассылки?

Обычно в конце рекламного сообщения есть активная ссылка, которая позволяет отказаться от рассылки. Если это не помогло, вы должны обратиться к оператору, от которого получаете рекламу, с требованием прекратить обработку ПД в целях продвижения товаров, работ или услуг. Вы можете обратиться к нему лично, придя в офис, направить по почте письменное требование или через e-mail отправить электронный документ, подписанный усиленной квалифицированной подписью.

При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.

Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.

Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

  • в территориальный орган Роскомнадзора с жалобой на действия оператора;
  • в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение;
  • в суд.

Какие права у меня есть при обработке моих персональных данных?

Право на получение у оператора информации, касающейся обработки ваших ПД.

Вы можете обратиться к оператору с требованием о предоставлении следующей информации:

  • подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
  • правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него. Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;
  • способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
  • наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
  • перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
  • сроки обработки и хранения ПД;
  • порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
  • о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
  • сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
  • иные сведения, предусмотренные законодательством.
Читайте также:  Не могу зайти в сдо ржд что делать

Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.

Как получить от оператора необходимую информацию?

Вы вправе обратиться к оператору лично, придя в офис. Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.

Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору.

В запросе обязательно нужно указать:

  • паспортные данные;
  • если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
  • если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
  • иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;
  • ваша подпись.

При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно. Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.

Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения. Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение. В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса.

Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.

Вы можете требовать от оператора:

  • уточнить ваши ПД;
  • блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
  • уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.

Такие требования можно предъявить, если ПД, которые обрабатывает оператор:

  • неполные, например вместо Ф.И.О. указана только фамилия;
  • устаревшие, например если вы поменяли паспорт;
  • неточные, например ваша фамилия указана с ошибкой;
  • получены незаконно;
  • не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.

Как обратиться к оператору с одним из требований?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст. 14 и ч. 3 ст. 20 Закона о персональных данных.

Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД. Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.

Право на отзыв согласия на обработку ПД.

После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие. После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.

Как отозвать согласие на обработку персональных данных?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД). Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.

Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва.

Право принимать предусмотренные законом меры по защите своих прав.

Если вы считаете, что оператор:

  • осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
  • иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.

В таких случаях вы можете обратиться:

  • в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
  • в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).

Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора. Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.

1 Кассационное определение Судебной коллегии по административным делам Верховного Суда РФ от 22 января 2020 г. № 5-КА19-56.

Категория иных персональных данных

Четкого определения, какие сведения могут быть отнесены в эту группу, в нормативно-правовой документации нет. Указано только, что речь идет о ПДн, не относящихся к предыдущим категориям. То есть оператору, чтобы идентифицировать информацию как «иную», придется убедиться в том, что она не является биометрической, общедоступной или специальной.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *