В каких случаях разрешена обработка специальных категорий персональных без согласия субъекта сдо ржд

В каких случаях оператор вправе обрабатывать персональные данных без согласия субъекта персональных данных?

Пункт 1 части 1 статьи 6 Закона о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 Закона о персональных данных.

К таким случаям, в частности, относится:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27. 2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

1) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами;

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

При этом, в соответствии с частью 2 статьи 6 Закона о персональных данных, особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 указанного Федерального закона. Так, обработка специальной категории персональных данных допускается без соответствующего согласия в письменной форме в случаях:

1) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10. 1 настоящего Федерального закона;

2) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

3) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;

4) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

5) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

6) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

7) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

8) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

9) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

10) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

11) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

12) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

13) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

Обработка биометрических персональных данных (как установлено частью 2 статьи 11 Закона о персональных данных) может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.

Другие вопросы по теме

  • Кто может являться оператором персональных данных?
  • В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
  • Каким образом можно отозвать согласие на обработку персональных данных?
  • Какие действия могут быть предприняты субъектом персональных данных при нарушениях требований законодательства Российской Федерации в области персональных данных?

Самое значимое правовое событие этой осени: с 1 сентября 2022 года персональные данные обрабатывают по новым правилам.

Закон 266-ФЗ
(Федеральный закон от 14. 2022 № 266-ФЗ) внес изменения в федеральный закон о персональных данных (Федеральный закон от 27. 2006 № 152-ФЗ). Благодаря поправкам, не только обработка персональных данных с 1 сентября 2022 года происходит по новым требованиям. Также обозначены и правила, которые нужно соблюдать с 1 марта 2023 года. Они приняты в то же время, что и правки к закону о персональных данных с 1 сентября, при этом обязательны к исполнению только с 1 марта.

Таким образом, изменения в закон о персональных данных касаются всего порядка работы с ними: от особенностей согласия и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков. За нарушение этих требований грозят не только крупные административные штрафы, но и уголовная ответственность (ст. 11, 13. 12 и 19. 7 КоАП РФ, ст. 137 и 272 УК РФ).

Каковы же персональные данные – изменения 2022 и как выполнить требования, которые привнесли изменения по персональным данным в работу компаний, обсудим в статье.

Подготовьтесь к успешному прохождению инспекционной проверки Роскомнадзора – узнайте новые требования к обработке персональных данных 2022–2023 с применением (и без применения) информационных систем в нашем практическом курсе.

Обязанности оператора (работодателя)

С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18. 1 Закона № 152-ФЗ, которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:

  • назначить ответственное лицо (структурное подразделение) за обработку ПД;
  • издать и опубликовать политику по персданным;
  • осуществлять внутренний контроль (аудит) ПД (способ контроля и подтверждение его проведения нужно прописать в отдельном ЛНА. Его предмет: соблюдение требований законодательства, политики, ЛНА организации по защите ПД);
  • оценивать вред, который может быть нанесен их субъекту (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
  • выполнять другие требования статьи 18.1 Закона № 152-ФЗ.

Изменения в закон о персональных данных дополнили и сам перечень обязанностей оператора (работодателя). Например, установлено правило взаимодействия с государственной системой предотвращения атак на информационные ресурсы (ч. 12-14 ст. 19 Закона № 152-ФЗ). Также предусмотрена новая обязанность оператора (работодателя) при выявлении неправомерной или случайной передаче ПД: в течение 24 часов сообщить в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).

Какие правовые, организационные и технические меры с учетом изменений по персональным данным должен принимать работодатель при обработке ПД, разъяснят наши опытные консультанты.

Уведомление в Роскомнадзор

В новой редакции Закона № 152-ФЗ утратили силу положения о возможности работать с персданными без уведомления Роскомнадзора (п. 1 – 6 ч. 2 ст. 22). Теперь даже при их обработке во исполнение закона нужно в Роскомнадзор подать уведомление, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19. 2022 № 08-75348). Такое уведомление однократное. Его не нужно предоставлять по каждому работнику.

В уведомлении больше не указывают общие сведения о:

  • категории субъектов ПД;
  • правовое основание обработки ПД;
  • перечень действий с ПД, общее описание используемых оператором способов обработки ПД.

Перечисленные пункты описывают по отношению к каждой цели обработки. Также в уведомление в Роскомнадзор – 2022 добавили новый пункт: фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПД, которые содержатся в государственных и муниципальных информационных системах (ч. 3 ст. 22 Закона №152-ФЗ).

Уведомление направляют в управление ведомства в субъекте России по месту регистрации работодателя в налоговом органе (Письмо Роскомнадзора от 19. 2022 № 08-75348, далее – Письмо № 08-75348). Сделать это можно через портал Роскомнадзора: в виде электронного уведомления, подписанного УКЭП, с помощью средств аутентификации ЕСИА, а также – на бумажном носителе. Также допустимо составить уведомление по старой форме (по Приказу Роскомнадзора от 30. 2017 № 94). При появлении новой формы отправьте информационное письмо о внесении изменений в реестр (Письмо № 08-75348).

Ждать решения Роскомнадзора не нужно. Порядок уведомительный – обрабатывать ПД можно после получения сведений ведомством.

В Роскомнадзор подать уведомление об обработке персданных не потребуется, если (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ):

  • оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);
  • ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;
  • ПД используют по закону о транспортной безопасности.

Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке: 10 рабочих дней вместо 30. Все сведения предоставляют, ориентируясь на форму запроса (ч. 3 и 7 ст. 14, ст. 20 Закона № 152-ФЗ). В итоге, сокращены сроки на (ст. 20 Закона № 152-ФЗ):

  • ответ на запросы субъекта ПД;
  • отказ субъекту в предоставлении ПД;
  • ответ на запросы Роскомнадзора.
  • цель обработки персональных данных;
  • перечень ПД, на обработку которых дается согласие их субъекта;
  • наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);
  • перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;
  • срок, в течение которого действует согласие субъекта ПД и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).

Важно! Когда субъект ПД – выгодоприобретатель или поручитель, допускается обработка ПД без согласия. Обработка персданных несовершеннолетних без согласия возможна в случаях, установленных законом (ч. 1 ст. 4, ст. 6 Закона № 152-ФЗ).

Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Уточните алгоритм работы с персональными данными и их виды.

Правила работы с биометрическими данными

Закон о персональных данных 2022 ужесточил правила работы с биометрией. Теперь оператор не может требовать предоставления биометрических сведений и осуществлять их обработку без согласия субъекта.

Исключение – случаи, предусмотренные законами по вопросам: обороны, безопасности, противодействии терроризму и коррупции, транспортной безопасности, оперативно-розыскной деятельности, государственной службы, уголовно-исполнительного законодательства России, порядка выезда и въезда в нашу страну, гражданства России и нотариата (ч. 2 и 3 ст. 11 Закона № 152-ФЗ).

Требования к политике в отношении обработки ПД

Новый закон о персональных данных 2022 разъяснил требования к политике в отношении обработки ПД. Теперь в этом документе для каждой цели обработки должны быть отдельно указаны (ст. 1, 21 Закона № 152-ФЗ):

  • категории и перечень ПД;
  • категории субъектов ПД;
  • способы и сроки их обработки и хранения;
  • порядок уничтожения ПД.

Также внесено уточнение, что размещение политики в отношении обработки ПД возможно в том числе на страницах сайта, принадлежащего оператору в информационно-телекоммуникационной сети «Интернет».

Правила поручения обработки другому лицу

Оператор может поручать обработку ПД другому лицу. Для этого нужно:

  • договор с лицом, которому передается обработка;
  • перечень ПД в поручении;
  • документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.

При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ).

Порядок обработки ПД иностранными лицами

Иностранные лица могут обрабатывать персональные данные с 1 сентября 2022 на основании согласия гражданина России (ч. 1 ст. 1 Закона № 152-ФЗ).

При передаче ПД иностранному лицу ответственность перед их субъектом – солидарная. Поэтому за нарушения при обработке переданных иностранным юридическим и физическим лицом можно привлечь к ответственности и оператора (работодателя) в том же размере, как если бы он совершил их сам (ч. 6 ст. 6 Закона № 152-ФЗ).

Правила прекращения обработки ПД

Установлены новые правила при обращении субъекта ПД с требованием о прекращении их обработки.

Если такое обращение поступило, оператор по общему правилу обязан в срок 10 рабочих дней прекратить их обработку (обеспечить ее прекращение). Указанный срок может быть продлен, но не более чем на пять рабочих дней: при направлении оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока (ч. 1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 Закона 266-ФЗ).

Совет
Разработайте отдельные акты (ЛНА): по вопросам обработки ПД (под каждую цель), по процедурам выявления и предотвращения нарушений и политику в отношении обработки ПД. Проверьте, соответствуют ли ваши ЛНА требованиям Закона 266-ФЗ.

Выясните, почему опасно использовать типовые шаблоны при работе с персданными.

Уточните общие требования по составлению ЛНА об обработке ПД.

Форма уведомления Роскомнадзора и сроки подачи

Закон 266-ФЗ предусматривает новые сроки:

  • исключения данных из реестра операторов, если оператор отправит уведомлении о прекращении обработки ПД: само исключение – в течение 30 дней, подача заявления о прекращении – в течение 10 рабочих дней (пп. «б» п. 14 ст. 1 Закона 266-ФЗ);
  • уведомления оператором в случае изменения сведений (не позднее 15 числа, следующего за месяцем, в котором возникли изменения (пп. «д» п. 14 ст. 1 Закона 266-ФЗ).

Всего будут применяться три формы уведомлений Роскомнадзора:

  • уведомление до начала обработки ПД;
  • уведомление о прекращении обработки ПД (до 15 числа следующего месяца);
  • уведомление об изменении данных по обработке (до 15 числа следующего месяца)

До 1 марта 2023 года будут установлены требования к подтверждению уничтожения ПД (Проект Приказа Роскомнадзора (подготовлен 19. 2022), пп. «г» п. 13 ст. 1 Закона 266-ФЗ).

Порядок работы с инцидентами в области ПД

Изменения с сентября 2022 – персональные данные нужно усиленно защищать и сообщать об их утечке. Информация о компьютерных инцидентах по случайной передаче ПД (а также – их предоставлении, распространении, доступе) будут передавать в специальный федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности по защите прав субъектов ПД (пп. «г» п. 15 ст. 1 Закона 266-ФЗ).

Такой орган будет вести реестр учета инцидентов в области персданных и определять порядок и условия взаимодействия с операторами (работодателем) в рамках его ведения.

Ограничения при трансграничной передаче

Определен перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов ПД. К ним относят государства – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД. Помимо них, будут допускаться государства – не участники при условии соответствия их норм права и применяемых мер по обеспечению конфиденциальности и безопасности при обработке ПД указанной Конвенции (п. 7 ст. 1 Закона 266-ФЗ).

Важно! Страны, которые обеспечивают адекватную защиту прав субъектов ПД, уточните в «Конвенции о защите физических лиц при автоматизированной обработке персональных данных» (заключена в Страсбурге 28. 1981) и в Приказе Роскомнадзора от 15. 2013 № 274. Проводите проверку перед каждой передачей ПД.

При намерении передать ПД трансгранично будет нужно информировать Роскомнадзор в виде отдельного уведомления, которое первоначально должно быть подано до 1 марта 2023 года (п. 7 ст. 1 Закона 266-ФЗ).

Содержание уведомления в Роскомнадзор о намерении передать ПД трансгранично (п. 7 ст. 1 Закона 266-ФЗ, будущие ч. 4 ст. 12 Закона № 152-ФЗ):

1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 настоящего Федерального закона;

2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;

3) правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;

4) категории и перечень передаваемых персональных данных;

5) категории субъектов персональных данных, персональные данные которых передаются;

6) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;

7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.

Право оператора на трансграничную передачу зависят от того, входит ли страна для передачи ПД в перечень Роскомнадзора. Если да, передача возможна сразу после отправки уведомления. Если нет – только по истечении 10 рабочих дней после отправки уведомления и неполучения запрета или ограничения на передачу (п. 7 ст. 1 Закона 266-ФЗ, будущие ч. 10 – 15 ст. 12 Закона № 152-ФЗ).

Сведения от иностранной организации и органов власти до трансграничной передачи ПД:

  • данные о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПД, мерах по защите ПД и об условиях прекращения их обработки;
  • информация о правовом регулировании в области ПД иностранного государства, под юрисдикцией которого находятся его органы власти, иностранные физические и юридические лица, которым планируется трансграничная передача ПД;

Примечание. Пункт применяется, если предполагается трансграничная передача ПД органам власти иностранного государства, иностранным физическим и юридическим лицам, которые находятся под юрисдикцией иностранного государства – не участника Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД.

Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Как уведомлять Роскомнадзор, что изменить в Политике по обработке персданных и в Положении о персданных, что учесть при разработке нового согласия на обработку персданных, узнаете на нашем курсе.

  • Условия и принципы обработки персональных данных по 152-ФЗ
  • Правила обработки разных категорий персональных данных
  • Права субъекта персональных данных
  • Обязанности оператора персональных данных
  • Заключение

Закон о персональных данных включил в обязанности Роскомнадзора наблюдение за защитой конфиденциальной информации. В 2020 году ужесточилась ответственность за обработку ПД, введены новые требования и правила, определен  регламент проведения проверок.

Чтобы не допустить ошибок и штрафов, необходимо знать законодательство в области обработки и защиты персональных данных.

Наш онлайн-курс сэкономит ваше время на изучении нормативных актов, поможет  грамотно организовать работу с личными сведениями работников. Учитывая последние требования No152 ФЗ «О персональных данных» с изменениями, вы успешно пройдете проверку Роскомнадзора.

Условия и принципы обработки персональных данных по 152-ФЗ

Главные тезисы процесса обработки  по № 152- ФЗ «О персональных данных» — законность и справедливость. Регламент жестко требует    соответствия целей  характеру обрабатываемых данных:

  • Заранее определите конечные задачи обработки ПДн, совпадающие с законодательными установками. Все действия с личными сведениями прекращаются по достижении намеченного результата. Если обработка персональной информации противоречит или не совпадает с целью сбора данных — она незаконна.
  • Если обрабатываются разнородные массивы сведений с разными задачами, их интеграция недопустима.
  • Непозволительно собирать чрезмерное количество персданных относительно задекларированной цели. Важно соблюдать соразмерность сути и объема ПД в сравнении с объявленным результатом.

Необходимо соблюдение точности — закон 152-ФЗ указывает, что количество сведений должно быть достаточным для работы. Требование актуальности ПДн относительно цели соблюдайте при необходимости.

Если по форме ПДн можно установить субъекта, закон требует хранить такие сведения не дольше, чем требуется для получения результата их обработки. Это условие устанавливается, если отдельным законом, договором, в котором владелец ПД  поручитель, выгодоприобретатель или сторона не определено другое время хранения.

Когда результат обработки конфиденциальных сведений о субъекте достигнут или потребность в дальнейших операциях отпала, искомые сведения уничтожают или обезличивают.

Статья, устанавливающая принципы обработки — ст. 5 закона 152-ФЗ о персональных сведениях.

Правила обработки разных категорий персональных данных

В федеральном законе они определены в ст. 10-11 — специальные или биометрические, перечисляются разновидности конфиденциальных сведений. Выделяют специальные категории, среди которых — затрагивающие расу, национальность, политические, религиозные, философские принципы, здоровье, интимную жизнь.

Закон устанавливает порядок защиты персональных данных, относящихся к специальным — их обработка запрещена. Даны исключения — перечень ситуаций, позволяющих совершать установленные действия с этими ПДн. Он исчерпывающий, не подлежит расширению. По устранению причин, приведших к необходимости обработки спецданных, операции с ними надлежит оперативно прекратить.

В ст. 11 законодатель дает понятие биометрических сведений — совокупности физиологических и биологических признаках субъекта, позволяющих  его идентифицировать. Право на обработку персональных данных этой категории оператор получает при имеющемся у него разрешении владельца ПД (согласие на обработку). Часть 2 статьи комментирует разрешение использования биометрии без позволения владельца.

В каких случаях разрешена обработка специальных категорий персональных без согласия субъекта сдо ржд

Права субъекта персональных данных

Глава 3 Закона о персональных данных 152-ФЗ дает расширенное толкование прав субъекта. В статьях 14 -17 рассматриваются права на:

  • беспрепятственный допуск к личной информации;
  • согласие субъекта на использование его личных сведений в рекламных и прочих целях;
  • защиту от принятия юридически важных для персоны решений, основанных на личной информации, прошедшей обработку в ИСПДН;
  • возможность воспрепятствования таким решениям;
  • обжалование в суде незаконных действий или бездействия оператора ПД.

О том, какую информацию разрешено открыть  субъекту персональных данных,  закон 152-фз говорит далее:

  • подтверждение того, что оператор обрабатывает его ПД;
  • доказательства необходимости обработки (основания и цели);
  • методы, механизмы обработки; перечень работников, имеющих допуск к персданным субъекта;
  • полный список обрабатываемых ПДн, источники их получения;
  • сколько времени будут обрабатываться и храниться данные;
  • как субъект сможет реализовать свои права в области ПД;
  • о передаче личной информации за рубеж;
  • информация о лицах, которые проводят обработку по поручению оператора.

Если окажется, что персональные данные неполные, некорректные или избыточные/полученные с нарушением закона, владелец вправе требовать их коррекции, блокировки или уничтожения.

Обязанности оператора персональных данных

Принятые при сборе информации о субъекте меры должны быть достаточны для реализации требований федерального закона о персональных данных. Закон разрешает оператору самостоятельно выбирать, устанавливать способы охраны персональных сведений. Оператор вправе:

  • назначать ответственных лиц;
  • разрабатывать, издавать специальные локальные акты;
  • применять механизмы (правовые, технические, организационные), обеспечивающие безопасность ПД;
  • проводить внутренние проверки на предмет соответствия порядка обработки конфиденциальных данных федеральному закону 152-ФЗ, другим нормативным (локальным) требованиям;
  • оценивать потенциальный вред при нарушениях, соотносить его с осуществляемыми мерами безопасности;
  • обучать (знакомить) своих сотрудников с нормами защиты и обработки персональных данных— федеральными, локальными, другими.

Определена обязанность оператора по открытости и доступности информации, о том, какие требования защиты конфиденциальности он выполняет, о проводимой им политики в области обработки ПД.

Как оператор обеспечивает сохранность конфиденциальных сведений при их обработке по федеральному закону о персональных данных 152 ФЗ:

  • определяет угрозы безопасности ПД на основании методик, разработанных уполномоченными органами госвласти;
  • соблюдает регламентированные Правительством степени защиты персданных, для этого применяет меры различного характера, обеспечивающие сохранение ПД при обработке в ИС в соответствии с нормотребованиями;
  • применяет средства защиты, прошедшие процедуру соответствия;
  • оценивает эффективность методов обеспечения безопасности до введения в эксплуатацию ИСПДн;
  • ведет учет съемных / встроенных носителей ПД;
  • принимает незамедлительные меры при выявлении несанкционированного доступа к ПД;
  • восстанавливает испорченные после несанкционированного доступа данные;
  • вводит регистрацию и учет всех манипуляций с ПД в ИСПДн, разрабатывает, утверждает правила допуска к системе;
  • контролирует меры безопасности, степени защищенности систем персональных данных.

Федеральный закон 152 определяет порядок действий оператора  персональных данных в следующих ситуациях:

  • если субъект обращается к нему непосредственно, либо в виде запроса от владельца ПД / его представителя — ст.20;
  • в каких ситуациях производятся  уточнение  или блокирование (уничтожение) личных сведений, прекращение обработки и в какие сроки — ст.21.

22 формулирует права и обязанности оператора по извещению Роскомнадзора о начале обработки персональных данных для осуществления учета. Определяет порядок направления уведомления, содержание уведомления, а также случаи, при которых его не требуется направлять.

Обязанности ответственного за обработку ПД на предприятии, порядок его назначения оператором определен статьей 22.

Добавить комментарий

Ваш адрес email не будет опубликован.