Федеральный закон о персональных данных — Российская газета
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
Глава 1. Общие положения
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Статья 2.
Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.
Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. Принципы и условия обработки персональных данных
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Статья 8. Общедоступные источники персональных данных
1.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2.
Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12. Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Статья 13.
Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Глава 3. Права субъекта персональных данных
Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи.
Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.
Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности оператора
Статья 18.
Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Глава 6. Заключительные положения
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Президент
Российской Федерации
В. Путин
Статья 7 Федеральный закон «О персональных данных» 152-ФЗ
Статья 7.
Конфиденциальность персональных данных (Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных»)
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)(см. текст в предыдущей редакции
)
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Комментарий к статье 7
1. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием, определяющим дальнейшую деятельность оператора. По смыслу действующего законодательства требование конфиденциальности связано исключительно с ограничением на распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
В целях обеспечения конфиденциальности персональных данных операторами и третьими лицами, получающими доступ к персональным данным, должна быть разработана действенная система мер по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Реализация последних зависит от используемых оператором средств организационной, технической, программной, криптографической, правовой и иной защиты.
Меры по охране конфиденциальности персональных данных, принимаемые оператором, должны включать в себя:
1) определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера. Сделанная оговорка неслучайна. В литературе неоднократно подчеркивается, что установленная Указом Президента РФ от 6 марта 1997г. N 188 «Об утверждении Перечня сведений конфиденциального характера» структура конфиденциальной информации носит обобщенный характер и не отвечает требованиям, предъявляемым действительностью.
Подчеркивается, что фактически далеко не все персональные данные являются конфиденциальными, в частности, многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги и т.п.обнародуются по согласию субъекта. Кроме того, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа (см. Закон РФ «О государственной тайне», ФЗ «О коммерческой тайне» и др.). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.п.). В режиме личной тайны -сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны — сведения о взаимоотношениях членов семьи, в том числе родственных[15];
2) ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.
Наряду с указанными мерами оператор персональных данных вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством РФ[16].
Меры по охране конфиденциальности информации признаются разумно достаточными,
если:
1) исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя;
2) обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты.
Установление пределов объема усилий оператора, требующихся для сохранения конфиденциальности персональных данных, с одной стороны, призвано мотивировать оператора персональных данных предпринимать меры к их охране, не полагаясь на то, что его интересы в случае незаконного приобретения сведений, входящих в состав персональных данных, третьим лицом будут автоматически считаться нарушенными, а с другой — служить гарантией того, что субъект персональных данных не будет принужден к принятию всего спектра мер к охране собственных интересов[17].
Режим конфиденциальности персональных данных не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
2. Законодатель предусматривает возможность установления режима, открытости персональных данных, делая исключения из условия о конфиденциальности для общедоступных массивов сведений и обезличенных персональных данных.
Неразрывная связь персональных данных с личностью их субъекта и возможность идентификации последнего требует повышенной защищенности в процессе их обработки. В случаях если из них могут быть исключены сведения-идентификаторы, режим конфиденциальности, устанавливаемый для персональных данных, снимается. Законодатель допускает использование обезличенных персональных данных без согласия их субъекта в целях проведения статистических, социологических, исторических, медицинских и других научных и практических исследований. При этом остается нераскрытой процедура обезличивания персональных данных, соответствие ее определенному этапу их обработки, степень обезличивания. Предположительно процедура обезличивания предполагает полное исключение из состава персональных данных, позволяющих определить биографические сведения их обладателя и тем самым его идентифицировать. К такого рода информации могут быть отнесены: фамилия, имя, отчество, дата и место рождения, адрес места жительства, иные идентифицирующие лицо сведения.
В целях обезличивания персональных данных допускается процедура замены сведений, при условии что тем самым не нарушаются права иных лиц и не создается угроза их безопасности.
Настоящим Законом предусмотрено исключение из режима конфиденциальности для общедоступных массивов персональных данных (справочники, телефонные книги, адресные книги, массивы персональных данных руководителей фирм и т.п.), которые создаются в целях информационного обеспечения общества. При этом регулируется содержание и порядок формирования таких массивов, права субъектов персональных данных, сведения о которых включены в подобный массив. Эти положения закона призваны препятствовать созданию и неконтролируемому распространению справочников типа упомянутых выше баз данных на Ой (йУй) и многочисленных справочников «Кто есть кто…», содержащих подчас информацию, не санкционированную и не проверенную субъектом персональных данных.
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Персональные данные сотрудников: определение, правила работы
У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.
Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.
Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.
Основная информация о персональных данных:
Глава 14 Трудового кодекса РФ
Закон № 152-ФЗ О персональных данных
Положение об особенностях обработки персональных данных без средств автоматизации
Каких работодателей касаются правила о персональных данных
Каждый человек сам решает, что и кому сообщать о себе.
Это его частная жизнь, она конфиденциальна.
Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.
Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.
Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.
Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.
Что такое персональные данные работника
Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст.
3 Закона № 152-ФЗ.
Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.
Вот список для ориентира:
Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.
Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.
Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.
Фото работника — например, на пропуск.
Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.
Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.
🎁
Новым ИП — год Эльбы в подарок
Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев
Попробовать бесплатноЧто будет за нарушение закона о персональных данных
За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.
Административная ответственность: штрафыРаботу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.
Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.
Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.
Компания использовала копии документов людей как черновики.
Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.
Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.
Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.
Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.
Уголовная ответственностьВ тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.
В уголовном деле смотрят на реальный вред личной и семейной жизни человека.
Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.
Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.
Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.
Правила работы с персональными данными работника
Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:
🔐 Персональные данные работника обрабатывают только с его письменного согласия.
🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.
🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.
О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.
🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.
🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.
🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.
🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.
🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.
Как настроить работу с персональными данными: инструкция
Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе).
Это не так сложно, как кажется на первый взгляд.
1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.
Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.
Пример положения о защите персональных данных работников
2. Назначьте ответственного за персональные данные.
Так нужно в силу ст. 22.1 Закона № 152-ФЗ.
Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.
ИП и организации с одним учредителем ответственным назначают себя.
Пример приказа о назначении ответственного за работу с персональными данными
Пример обязательства о неразглашении
3. Берите с каждого работника письменное согласие на обработку персональных данных.
Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.
Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.
Пример согласия на обработку персональных данных
Пример согласия на получение персональных данных у третьих лиц
Типовая форма трудового договора для микропредприятия
4. Храните документы с персональными данными в надёжном месте.
Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.
Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.
Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.
5. Уничтожайте персональные данные полностью.
Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.
Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.
Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.
6. Если нужно, уведомляйте Роскомнадзор.
По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.
Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.
Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы.
В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.
Электронное уведомление Роскомнадзору
Образцы бумажных уведомлений
А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.
Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.
7. Исполняйте требования закона не только формально.
Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.
Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.
Статья актуальна на
Положение об обработке и защите персональных данных
1.
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об обработке и защите персональных данных (далее — «Положение») издано и применяется ООО «Торговый дом «Стимул» (далее — «Оператор») в соответствии с п.2 ч.1 ст.18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 года.
Настоящим Положением устанавливается порядок обработки персональных данных Посетителей интернет-сайта http://dolina046.ru (далее-Сайт).
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Оператор собирает и хранит только ту персональную информацию, которая необходима в целях управления взаимоотношениями Оператора с Посетителями, автоматизации процесса сбора информации о Посетителях и обратной связи с ними, в том числе в целях консультирования, идентификации стороны в рамках соглашений и договоров с Оператором, связи с Посетителем, включая направление уведомлений, запросов и информации, касающихся использования сервисов Сайта, оказания услуг, а также обработку запросов и заявок от Посетителя. Оператор собирает данные только в объеме, необходимом для достижения названной цели.
Персональные данные являются конфиденциальной, строго охраняемой информацией.
1.3. Основные понятия, используемые в Положении.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Посетитель — лицо, осуществляющее с использованием телекоммуникационных каналов доступ к содержанию и сервисам Сайта ООО «Торговый дом «Стимул» и прошедшее процедуру регистрации на Сайте.
Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.4. В рамках настоящего Положения под персональной информацией Посетителя понимаются:
1.4.1. Персональная информация, которую Посетитель предоставляет о себе в процессе использования сервисов Сайта ООО «Торговый дом «Стимул», включая персональные данные Посетителя.
1.4.2. Данные, которые автоматически передаются сервисам Сайта Оператора в процессе их использования с помощью установленного на устройстве Посетителя программного обеспечения, в том числе IP-адрес, информация о браузере Посетителя (или иной программе, с помощью которой осуществляется доступ к сервисам Сайта Оператора), технические характеристики оборудования и программного обеспечения, используемых Посетителем, дата и время доступа к сервисам Сайта Оператора, адреса запрашиваемых страниц и иная подобная информация.
1.4.3. Оператор не контролирует и не несет ответственности за сайты третьих лиц, на которые Посетитель может перейти по ссылкам, доступным на Сайте Оператора.
2. ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСЕТИТЕЛЕЙ
2.1. Обработка персональных данных Оператором заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа.
2.2. К обработке персональных данных Посетителей могут иметь доступ только сотрудники ООО «Торговый дом «Стимул», допущенные к работе с персональными данными Посетителей и ознакомленные с настоящим Положением и законодательством РФ о персональных данных.
2.3. Согласие Посетителя на предоставление персональных данных и их обработку Оператором действует до момента отзыва согласия Посетителя. Осуществляя последующий доступ к Сайту Оператора, Посетитель, подтверждает, что он, действуя своей волей и в своем интересе, передает свои персональные данные для обработки Оператором и согласен на их обработку.
В случае несогласия с условиями Положения Посетитель должен воздержаться от использования Сайта ООО «Торговый дом «Стимул». Обработка персональных данных Посетителей осуществляется в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
2.4. Персональные данные Посетителей в электронном виде хранятся в локальной компьютерной сети ООО «Торговый дом «Стимул», в базе данных на сервере, не дольше, чем этого требуют цели обработки персональных данных.
3. ИСПОЛЬЗОВАНИЕ И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСЕТИТЕЛЕЙ
3.1. Использование персональных данных Посетителей осуществляется исключительно для достижения целей, определенных п. 1.2 настоящего Положения.
3.2. При передаче персональных данных Посетителей Оператор должен соблюдать следующие требования:
3.2.1. Предупредить сотрудников, получающих персональные данные Посетителей, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих сотрудников подтверждения того, что это правило соблюдено.
Сотрудники, получающие персональные данные Посетителей, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.
3.3. Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону, факсу или электронной почте.
3.4. Оператор вправе предоставлять или передавать персональные данные Посетителей третьим лицам в следующих случаях:
— Посетитель явно выразил свое согласие на такие действия;
— передача необходима в рамках работы Посетителя с определенным разделом Сайта ООО «Торговый дом «Стимул» либо для оказания услуги Посетителю.
— передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;
— для защиты законных прав Посетителей и ООО «Торговый дом «Стимул».
3.5. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.
07.2006 N 152-ФЗ «О персональных данных».
4. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСЕТИТЕЛЕЙ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСЕТИТЕЛЕЙ
4.1. Оператор обязан при обработке персональных данных Посетителей принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
4.2. Для эффективной защиты персональных данных Посетителей необходимо:
4.2.1. соблюдать порядок получения, учета и хранения персональных данных Посетителей;
4.2.2. привлекать к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных Посетителей.
4.3. Защита доступа к электронным базам данных, содержащим персональные данные Посетителей, обеспечивается:
— использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным Посетителей;
— системой паролей.
Пароли устанавливаются системным администратором и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Посетителей.
4.4. Копировать и делать выписки персональных данных Посетителя разрешается исключительно в служебных целях с письменного разрешения Оператора.
4.5. Оператор не несет ответственности за возможное нецелевое использование персональных данных Посетителей, произошедшее вследствие:
— технических неполадок в программном обеспечении и в технических средствах и сетях, находящихся вне контроля Оператора;
— в связи с намеренным или ненамеренным использованием Сайта Оператора не по их прямому назначению третьими лицами;
— передачи паролей доступа, иной информации с Сайта самими Посетителями другим лицам, не имеющим доступа к данной информации.
4.6. Оператор обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения третьим лицам без согласия Посетителя либо наличия иного законного основания.
4.7. Все меры конфиденциальности при обработке персональных данных Посетителей распространяются на все носители информации как на бумажные, так и на автоматизированные.
5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСЕТИТЕЛЕЙ
5.1. Сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Посетителей, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
6.1. Оператор вправе вносить изменения в настоящее Положение без согласия Посетителя.
6.2. Настоящее Положение вступает в силу с даты его утверждения.
6.3. Настоящее Положение распространяется на все субъекты правоотношений с Оператором, а также сотрудников ООО «Торговый дом «Стимул», имеющих доступ и осуществляющих действия с персональными данными Посетителей.
5 шагов подготовки бизнеса к действию закона о персональных данных 152-ФЗ
Персональные данные граждан относятся к особо охраняемой информации. Законодательством Российской Федерации (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных») строго определены требования к защите персональных данных, особенности и правила их обработки без использования средств автоматизации и в информационных системах. .
Ответственность за сбор, обработку, хранение и защиту персональных данных сотрудников, клиентов и иных лиц полностью несет владелец компании.Поэтому на любом предприятии должен быть установлен порядок работы с ПДн, а также должны быть разработаны соответствующие документы и мероприятия по организации защиты ПДн.
Тем не менее, у любого предпринимателя может возникнуть вполне резонный вопрос: «Распространяется ли на мою компанию Закон № 152-ФЗ?» Ответ прост: Закон № 152-ФЗ распространяется на всех, кто собирает и обрабатывает персональные данные.
В этой статье мы приводим пошаговые инструкции, которые помогут вам выполнить требования по защите и обработке персональных данных.
Кто регулирует законодательство о защите данных в России
Федеральным законом № 152-ФЗ определены государственные организации, уполномоченные осуществлять контроль в сфере защиты персональных данных. В законе указаны три ведомства Российской Федерации, которые контролируют выполнение юридическими лицами того, что требуется от них по закону для эффективной защиты ПДн граждан. Это такие государственные органы, как:
Роскомнадзор;
ФСТЭК;
ФСБ.
Как обрабатывать ПД
Закон № 152-ФЗ практически полностью отражает обязанности оператора. В дополнение к этому закону другие акты также содержат требования к обработке персональных данных. Например, Трудовой кодекс РФ регулирует обработку персональных данных работников.
В случае обработки ПДн без применения технических средств дополнительно применяется соответствующее Постановление Правительства РФ N 687.
Законов и подзаконных актов много, но на деле вам может помочь список документов в Приказе Роскомнадзора № 247 от 13.12.2017, в котором содержится перечень обязанностей операторов. При проведении проверки Роскомнадзор проверяет, соблюдаются ли правила, установленные документами, включенными в этот перечень.
Шаг 1. Проведите инвентаризацию.
Первый шаг — выяснить, какие информационные системы есть в компании и какие специалисты с ними работают.К этому вопросу должно быть привлечено руководство компании и ИТ-отдел. К процессу также должны быть привлечены HR-специалисты, юристы и менеджеры по продажам.
Чаще всего компании обрабатывают персональные данные сотрудников, клиентов и подрядчиков. Главное при этом понимать, какие именно персональные данные обрабатываются, откуда они поступают и куда передаются.
Иными словами, необходимо обозначить информационные потоки, связанные с обработкой персональных данных, как автоматизированной, так и ручной.
Шаг 2. Определите уровни защиты персональных данных.
До марта 2013 года все, кто работал с персональными данными, были обязаны классифицировать свои ИСПДн. Сейчас этот заказ отменен. Таким образом, классификация ИСПД по степени их защищенности более недействительна.
Однако существуют уровни безопасности персональных данных. Уровень защищенности персональных данных – показатель, отражающий требования к обеспечению защиты.Их четыре — чем выше уровень, тем более серьезная защита требуется. Уровни безопасности указаны в Постановлении правительства № 1119.
Шаг 3. Модель угроз.
Определите текущие угрозы для информационных систем и опишите их в модели угроз.
Модель угроз — документ, отражающий актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.
Требования к мерам защиты персональных данных при их обработке в информационных системах содержатся в Приказе ФСТЭК России № 21.
Результатом предыдущих двух шагов должен стать полный перечень требований по защите персональных данных: уровень защиты, модель угроз; требования, учитывающие особенности информационной системы, обрабатывающей персональные данные.
Шаг 4. Реализация мер по защите персональных данных.
После того как вы определили требования, вы должны их реализовать. Защита персональных данных предполагает выполнение технических и организационных мер.
Технические меры: брандмауэр, антивирус, анализ безопасности, шифрование.
Организационные меры: назначение ответственного за защиту персональных данных; разработка внутренних документов, регламентирующих обработку персональных данных (все сотрудники должны ознакомиться с документом под роспись). Вам необходимо составить «Политику обработки персональных данных» и «Пользовательское соглашение».
Существуют различные типы согласия субъекта данных.Документ не требует определенной формы, но включает сведения, предусмотренные частью 4 статьи 9 152-ФЗ. Требования к согласию описаны в статье.
При разработке Политики обработки персональных данных рекомендуем руководствоваться указаниями Роскомнадзора.
Шаг 5. Уведомление государственных органов.
Оператор должен уведомить Роскомнадзор об обработке персональных данных и предоставить им данные, собранные на предыдущих этапах.Вы можете сделать это через сайт. Роскомнадзор ведет специальный реестр операторов персональных данных и обновляет его по мере поступления новой информации.
В некоторых случаях нет необходимости уведомлять Роскомнадзор. Например, если вы обрабатываете только данные сотрудников или если ПД собираются только в целях выполнения конкретного договора с конкретным лицом и в дальнейшем использоваться не будут.
Заключение
В настоящее время правильная обработка персональных данных в компании приравнивается к таким обязательствам, как своевременная уплата налогов или соблюдение прав сотрудников.
Несоблюдение данных требований законодательства может повлечь наложение штрафа в размере до 295 000 рублей.
Во избежание финансовых потерь от уплаты штрафов и возмещения морального вреда гражданам или приостановки деятельности из-за блокировки сайта и проверок Роскомнадзором, компании должны с самого начала обеспечить обработку персональных данных в соответствии с закон.
Штрафы за нарушение законодательства РФ о персональных данных 152-ФЗ
Могут ли нарушения законодательства о защите персональных данных привести к административному или уголовному наказанию? Как будут преследоваться такие нарушения? В статье описаны последствия несоблюдения закона.
Конституция Российской Федерации (статья 24) запрещает сбор, хранение и использование сведений о частной жизни любого лица без его согласия. Это конституционное право также защищено Законом «О персональных данных». Согласно статье 24 152-ФЗ лица, нарушающие закон, несут гражданско-правовую, административную или уголовную ответственность.
Ответственность за нарушение 152-ФЗ
гражданский – к нарушителю закона применяются имущественные санкции;
административное – уплата штрафа, приостановление деятельности, запрет занимать определенные должности;
уголовный – лишение свободы на срок, определяемый законодательством по конкретному делу;
дисциплинарная – работник подлежит выговору или увольнению.
Гражданско-правовая ответственность
Согласно статье 13.11 КоАП РФ оператор данных или его должностные лица могут быть привлечены к ответственности за ряд нарушений при обработке персональных данных.
часть 1 статьи 13.11 – Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации, либо обработка персональных данных, несовместимая с целями сбора ПДн.
Штрафы за несоблюдение
Например, сканы документов, собранные через веб-сайт, могут считаться избыточной информацией.
Также будет нарушением, если вы получите данные субъекта для выполнения контракта, но используете эту информацию для других целей, например, для маркетинговой деятельности.
часть 2 статьи 13.11 – обработка данных без письменного согласия субъекта когда требуется получение такого согласия.
Штрафы за несоблюдение
IP и файлы cookie относятся к ПД. Если вы соберете эту информацию на своем веб-сайте без уведомления пользователей, вас могут оштрафовать.
часть 3 статьи 13.11 – неразмещение политики обработки данных на сайте.
Штрафы за несоблюдение
Компании – до 35 000 руб.
Официальные лица – до 6 000 руб.
Индивидуальные предприниматели – 10 000 руб.
часть 4 статьи 13.11 – Неисполнение оператором обязанности, предусмотренной законодательством Российской Федерации в области персональных данных, по предоставлению субъекту ПДн сведений об их обработке.
Штрафы за несоблюдение
Компании – до 40 000 руб.
Официальные лица – до 6 000 руб.
Индивидуальные предприниматели – до 15 000 руб.
Если вы игнорируете запросы физических лиц относительно обработки и защиты их персональных данных или предоставляете ложную информацию.
часть 5 статьи 13.11 – Неисполнение оператором требования субъекта персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае их неполной, устаревшей, недостоверной, незаконно полученной или не необходимые для целей обработки.
Штрафы за несоблюдение
Компании – до 45 000 руб.
Официальные лица – до 10 000 руб.
Индивидуальные предприниматели – до 20 000 руб.
Обработка персональных данных должна быть прекращена по требованию субъекта персональных данных или Роскомнадзора.
Если это требование будет проигнорировано, будет наложен штраф.
часть 6 статьи 13.11 – Неисполнение оператором при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении на материальных носителях, и исключающих несанкционированный доступ к ним, если это повлекло незаконный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение или иные неправомерные действия в отношении персональных данных, при отсутствии признаков преступной деятельности.
Штрафы за несоблюдение
Компании – до 50 000 руб.
Официальные лица – до 10 000 руб.
Индивидуальные предприниматели – до 20 000 руб.
Для выполнения данного требования необходимо обеспечить раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется для различных целей; предоставить список лиц, которым разрешено обрабатывать персональные данные.
Дисциплинарная ответственность
Трудовой кодекс в главе 14 касается защиты личных данных работников. Они имеют право обжаловать действия работодателя по обработке их персональных данных в суде, а виновные в нарушениях сотрудники получат выговор или даже будут уволены. Также указывается, что за разглашение любой охраняемой законом тайны, в том числе персональных данных другого работника, может последовать увольнение по инициативе работодателя.
Уголовная ответственность
Уголовный кодекс Российской Федерации обеспечивает защиту личной или семейной тайны от незаконного сбора или разглашения сведений о частной жизни. В качестве наказания за правонарушение может быть назначен штраф в размере 300 000 рублей и более. Также установлено наказание в виде лишения свободы на срок до четырех лет.
Как избежать ответственности за нарушение 152-ФЗ
Утечка персональных данных и штрафные санкции наносят серьезный ущерб репутации бизнеса и провоцируют потерю клиентов.
Особенно, если личная информация использовалась для незаконного оформления кредита или для участия в рекламных кампаниях.
Подводя итоги, отметим, что Роскомнадзор всегда уделял особое внимание не пакету документов, а принципам и условиям обработки персональных данных.
Cloud4Y настоятельно рекомендует соблюдать требования российского законодательства и серьезно относиться к защите и хранению персональных данных.Наша компания готова взять на себя ответственность за организацию безопасной и соответствующей требованиям системы хранения. для ваших личных данных. Мы сотрудничаем как с бизнесом, так и с государственными структурами. Наша охранная схема имеет все необходимые сертификаты ФСБ, ФСТЭК и других организаций.
Защита данных 2021 | Законы и правила | Россия
1.
Соответствующее законодательство и компетентные органы
1.
1 Каково основное законодательство о защите данных?
Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 г. (Закон о ПДн) является основным законом, регулирующим вопросы защиты персональных данных в России. Он был принят в 2005 году после ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбургская конвенция).
Закон о ПД основан на международных документах о конфиденциальности и защите данных в определенных аспектах; он имеет концепции, аналогичные тем, которые содержатся в Общем регламенте по защите данных (GDPR) (действует в ЕС с 25 мая 2018 г.).
1.2 Существует ли какое-либо другое общее законодательство, влияющее на защиту данных?
В целом Конституция России признает за каждым конкретным человеком основное право на неприкосновенность частной жизни (статьи 23 и 24).
В частности, основное национальное законодательство о конфиденциальности и защите информации содержится также в Федеральном законе № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (2006 г.
) (Закон о защите информации).
Наконец, Страсбургская конвенция, ратифицированная Россией в 2005 году, защищает и обеспечивает защиту данных на международном уровне.
В российском законодательстве о защите данных особое внимание уделяется техническим мерам защиты данных. Многочисленные правовые и технические требования изложены в нормативных актах, издаваемых Правительством Российской Федерации и специализированными государственными органами в области защиты информации.
1.3 Существует ли какое-либо отраслевое законодательство, влияющее на защиту данных?
Конкретные положения о защите данных можно найти в других законах, в том числе в главе 14 ТК РФ (2001 г.), статье 85.1 Воздушного кодекса Российской Федерации (1997 г.), Федерального закона № 395-1 «О банках и банковской деятельности» (1990 г.), Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (2011 г.), Федеральный закон № 38-ФЗ «О рекламе» (2006 г.
), КоАП РФ (2001 г.) и др.
1.4 Какие органы отвечают за защиту данных?
Основным локальным органом регулирования защиты информации является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций ( Роскомнадзор ).
К профильным государственным органам в сфере защиты информации также относятся Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ).
2.
Определения
2.1 Укажите ключевые определения, используемые в соответствующем законодательстве:
■ « Персональные данные »
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
■ « Обработка »
Обработка – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых как автоматически, так и вручную, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление или уничтожение персональных данных.
■ « Контроллер »
Законодательство Российской Федерации не содержит понятия и термина «контролер».В Законе о ПДн РФ упоминается понятие «оператор данных», которым может быть государственный орган, орган муниципального образования, юридическое или физическое лицо, организующее и (или) осуществляющее (самостоятельно или совместно с другими лицами) обработку персональных данных и также определяет цели обработки персональных данных, состав персональных данных и действия (операции) с персональными данными.
■ “ Процессор ”
Законодательство Российской Федерации не содержит понятия или термина «процессор»; однако он относится к понятию «оператор данных», к стороне, которая может действовать (обрабатывать персональные данные) с согласия субъекта данных, с разрешения оператора данных на основании соответствующего соглашения или путем операции специального государственного или муниципального акта.
■ « Субъект данных »
Субъект данных определяется как конкретное или идентифицируемое физическое лицо (физическое лицо).
■ « Конфиденциальные персональные данные »
Вместо термина «конфиденциальные персональные данные» Закон о ПД оперирует термином «особые категории персональных данных», под которым понимается любая информация, относящаяся к расовой или этнической принадлежности, национальности, политическим взглядам, религиозным или философским убеждениям, состоянию здоровья или сексуальной жизни.
■ « Утечка данных »
Российское законодательство не содержит термина «утечка данных». Однако обработка данных в нарушение принципов и обязательств, предусмотренных Законом о ПД, может быть квалифицирована как утечка данных.
■ Другие ключевые определения – укажите (например, «Псевдонимные данные», «Прямые персональные данные», «Косвенные персональные данные»)
- «Биометрическая информация персональных данных» — отдельный вид информации о физиологических и биологических особенностях лица, по которой его можно идентифицировать и которая используется оператором для установления личности субъекта персональных данных (ст.
Закон о ПД). - «Трансграничная передача персональных данных» означает любую передачу персональных данных иностранному государству, иностранному государственному органу и/или иностранному физическому или юридическому лицу.
Закон о ПД).
3.
Территориальный охват
3.1 Распространяются ли законы о защите данных на компании, зарегистрированные в других юрисдикциях? Если да, то при каких обстоятельствах бизнес, созданный в другой юрисдикции, будет подпадать под действие этих законов?
Как указано в абз.1 статьи 12 Закона о ПД, трансграничная передача персональных данных на территории иностранных государств, являющихся участниками Совета Страсбургской конвенции, а также других иностранных государств, обеспечивающих надлежащую защиту прав субъектов данных, осуществляется в соответствии с Законом о ПД и может быть запрещен или ограничен в целях защиты основ конституционного строя Российской Федерации, нравственности и здоровья населения, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства .
Роскомнадзор утверждает перечень иностранных государств, не являющихся участниками Совета Страсбургской конвенции и обеспечивающих адекватную защиту прав субъектов данных.
Оператор должен получить разрешение своих клиентов на передачу их персональных данных третьим лицам и за границу.
Кроме того, согласно абз. 5 статьи 18 Закона о ПДн, при сборе персональных данных, в том числе с использованием сети Интернет, оператор (как российский, так и зарубежный) осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) или извлечение персональных данных российских граждан с использованием любых баз данных, находящихся на территории Российской Федерации, за исключением обработки данных для государственных целей или в средствах массовой информации.При этом оператору не нужно удалять аналогичные данные из каких-либо зарубежных баз данных, содержащих данные о гражданах России.
4.
Ключевые принципы
4.1 Какие ключевые принципы применяются к обработке персональных данных?
■ Прозрачная пленка
Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных для обработки.Он имеет право знать цели и способы обработки персональных данных, наименование и местонахождение оператора данных, получателей персональных данных, лиц, имеющих доступ к персональным данным, срок обработки и хранения персональных данных. данные и любую другую информацию, необходимую для обеспечения прозрачной обработки персональных данных. При этом субъект персональных данных дает согласие оператору данных. Такое согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.Обязанность предоставления доказательств получения согласия субъекта персональных данных возлагается на оператора.
■ Законное основание для обработки
Персональные данные должны обрабатываться на законной и справедливой основе. В частности, обработка персональных данных осуществляется с согласия субъекта данных (если не применяются определенные правовые исключения), которое предоставляется добровольно, по собственной воле субъекта данных и в его собственных интересах; оператор данных или иное лицо (лица), получившие доступ к персональным данным, не вправе разглашать или распространять такие персональные данные третьим лицам без согласия субъекта данных, если иное не предусмотрено законом.
■ Целевое ограничение
Обработка персональных данных должна ограничиваться достижением целей (целей), которые должны быть конкретными, заранее определенными и правомерными. Обработка, не соответствующая целям такой обработки, запрещена.
■ Минимизация данных
Объем и содержание обрабатываемых персональных данных должны полностью соответствовать предполагаемым целям такой обработки данных.
Персональные данные, подлежащие обработке, не должны быть чрезмерными или нерелевантными заявленным целям обработки данных.
■ Соразмерность
Обработка персональных данных должна обеспечивать точность, достаточность, адекватность и актуальность таких персональных данных и, при необходимости, их актуальность в соответствии с целями обработки данных. Оператор данных обязан принять все необходимые меры или обеспечить выполнение мер, связанных с удалением или исправлением неполных или недостоверных персональных данных.
■ Удержание
Персональные данные, подлежащие обработке, подлежат уничтожению либо обезличиванию по достижении цели обработки данных, а также в случае утраты эффективности, актуальности или необходимости достижения таких целей, если иное не предусмотрено федеральным законом.
■ Другие ключевые принципы – укажите
Любая интеграция баз данных, содержащих персональные данные, обрабатываемые в несогласованных целях, запрещена.
5.
Индивидуальные права
5.1 Каковы основные права физических лиц в отношении обработки их персональных данных?
■ Право доступа к данным/копиям данных
В соответствии с п.п.1 статьи 14 Закона о ПДн, физическое лицо имеет право на доступ к своим данным, обрабатываемым оператором данных, в том числе к информации, содержащей: (1) подтверждение факта обработки его персональных данных оператором данных; (2) правовые основания и цели обработки персональных данных; (3) цели и методы, используемые оператором данных для обработки персональных данных; (4) наименование и местонахождение оператора данных и сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором данных или на основании закона; (5) обрабатываемые персональные данные, относящиеся к рассматриваемому субъекту персональных данных, и источник, из которого они были получены; (6) срок обработки персональных данных, в том числе срок хранения; (7) порядок осуществления субъектом персональных данных прав, предусмотренных Законом о ПДн; (8) информацию о любой фактической или предполагаемой трансграничной передаче персональных данных; (9) наименование (фамилия, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если применимо; и (10) любую другую информацию, предусмотренную Законом о ПД.
■ Право на исправление ошибок
Субъект персональных данных вправе обратиться к оператору данных с просьбой исправить, заблокировать или удалить его персональные данные в случае, если они являются неполными, неактуальными, неточными или неправомерно полученными, либо не нужны для заявленной цели их обработки.
■ Право на удаление/право на забвение
Российский закон закрепляет право на забвение, предусматривая досудебный механизм ограничения распространения ссылок на сайты, содержащие недостоверную, устаревшую или распространяемую с нарушением законодательства информацию о физическом лице (п.1 статьи 10.3 Закона о защите данных). Физическое лицо вправе потребовать, направив соответствующее заявление, чтобы оператор поисковой системы в Интернете прекратил предоставление ссылок, позволяющих получить доступ к информации о данном физическом лице. В то же время этот механизм не ограничивает доступ к самим ресурсам, которые фактически распространяют информацию.
Если физическое лицо не удовлетворено результатом досудебного урегулирования, оно вправе обратиться в суд с исковым заявлением об ограничении выдачи ссылок на сайты, содержащие информацию о физическом лице.
■ Право возражать против обработки
По требованию субъекта персональных данных, в том числе в случаях отзыва субъектом персональных данных согласия на обработку персональных данных, оператор данных обязан незамедлительно прекратить обработку его персональных данных. За исключением случаев, когда обработка персональных данных не может быть прекращена или может привести к нарушению закона (например, трудового законодательства), оператор данных должен прекратить обработку данных или организовать ее прекращение.
■ Право на ограничение обработки
В российском законодательстве нет четкого разграничения права на ограничение и права на возражение, как это предусмотрено GDPR.
■ Право на переносимость данных
Субъект персональных данных имеет право на доступ к своим персональным данным.
Информация должна быть представлена в доступной форме. Закон не запрещает передачу персональных данных другим операторам.
■ Право на отзыв согласия
В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор данных обязан прекратить обработку персональных данных или обеспечить ее прекращение, а в случае утраты необходимости в предоставлении персональных данных хранимых в целях их обработки, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней со дня получения отзыва, если иное не предусмотрено договором (пункты 5 и 6 статьи 12 Закона о ПД).
■ Право возражать против маркетинга
Обработка персональных данных в целях реализации/рекламы товаров, работ, услуг непосредственно потенциальным потребителям (по телефону, электронной почте, факсу) допускается только с предварительного согласия субъекта персональных данных. Бремя доказывания того, что согласие субъекта данных было должным образом получено, лежит на операторе данных.
Федеральный закон «О рекламе» также запрещает электронные публикации и массовую рассылку без предварительного согласия адресата.Лицо имеет право отозвать согласие в любое время. По требованию субъекта персональных данных оператор данных обязан немедленно прекратить обработку его персональных данных.
■ Право на подачу жалобы в соответствующие органы по защите данных
В случае, если субъект персональных данных считает, что оператор данных осуществляет обработку его персональных данных с нарушением законодательства о защите информации или иным образом ущемляет его права и свободы, субъект персональных данных вправе подать жалобу на действия или бездействия оператора данных в Роскомнадзор либо обратиться с гражданским иском в компетентный суд.Субъект данных может использовать различные средства правовой защиты, включая возмещение убытков, предусмотренные законом.
■ Другие ключевые права – укажите
Закон запрещает принимать какие-либо юридически значимые решения в отношении субъекта персональных данных исключительно на основании автоматизированной обработки данных.
Исключением из этого правила является наличие у субъекта персональных данных согласия в письменной форме либо в случаях, предусмотренных федеральными законами, также установление мер по обеспечению соблюдения прав и законных интересов субъекта персональных данных.Оператор данных обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки данных и возможные правовые последствия принятия такого решения.
6.
Регистрационные формальности и предварительное одобрение
6.1 Существует ли юридическое обязательство предприятий регистрироваться или уведомлять орган по защите данных (или любой другой государственный орган) в отношении своей деятельности по обработке данных?
Оператор данных должен уведомить Роскомнадзор до начала обработки любых персональных данных, а сведения об операторе данных должны быть внесены в публичный реестр операторов персональных данных ((Гиперссылка) Уведомление может быть направлено в электронном или бумажном виде.
Уведомление не требуется в отдельных случаях: при обработке исключительно в соответствии с трудовым законодательством, при обработке только ФИО субъектов, при обработке общедоступных или общедоступных персональных данных, при обработке персональных данных для в целях предоставления субъекту персональных данных разового пропуска в охраняемые помещения.
6.2 Если такая регистрация/уведомление необходимы, должно ли оно быть конкретным (например, с перечислением всех действий по обработке, категорий данных и т. д.) или общим (например, с предоставлением общего описания соответствующих действий по обработке)?
Уведомление Роскомнадзора должно быть конкретным и должно быть подписано уполномоченным лицом заявителя.
6.3 На каком основании производятся регистрации/уведомления (например,г., на юридическое лицо, на цель обработки, на категорию данных, на систему или базу данных)?
Уведомление должно быть сделано для целей обработки.
6.4 Кто должен зарегистрироваться/уведомить орган по защите данных (например, местные юридические лица, иностранные юридические лица, подпадающие под действие соответствующего законодательства о защите данных, представительства или филиалы иностранных юридических лиц, подпадающие под действие соответствующего законодательства о защите данных)?
Местные юридические лица, иностранные юридические лица или их представительства, при условии соблюдения соответствующего законодательства о защите данных, должны уведомить орган по защите данных.
6.5 Какая информация должна быть включена в регистрацию/уведомление (например, данные уведомляющей организации, затронутые категории лиц, затронутые категории персональных данных, цели обработки)?
В уведомлении Роскомнадзора должны быть указаны: наименование и адрес оператора данных; имя и контактные данные уполномоченного по защите данных; цель обработки персональных данных; категории обрабатываемых данных; категории потенциальных субъектов данных, чьи данные обрабатываются; источник данных; процессинговая деятельность; правовая основа обработки персональных данных; перечень действий, подлежащих совершению в отношении обработки персональных данных, и описание способов обработки персональных данных; описание ИТ-систем и мер безопасности; дата начала обработки данных; срок обработки или условие прекращения обработки персональных данных; расположение личных баз данных; и намерение трансграничной передачи данных.
6.6 Какие санкции предусмотрены за отсутствие регистрации/уведомления в необходимых случаях?
КоАП РФ предусматривает ответственность за непредставление или несвоевременное направление в Роскомнадзор уведомления о деятельности по обработке данных (статья 19.7) со штрафом в размере от 3000 до 5000 рублей для юридических лиц и от 300 до 500 рублей для их должностных лиц .
6.7 Какова плата за регистрацию/уведомление (если применимо)?
Плата за регистрацию или уведомление не взимается.
6.8 Как часто необходимо обновлять регистрацию/уведомления (если применимо)?
Нет обязанности регулярно обновлять информацию; однако оператор данных должен уведомить Роскомнадзор о любых изменениях сведений, предоставленных в реестр, в течение 10 рабочих дней с даты возникновения таких изменений.
6.9 Требуется ли какое-либо предварительное разрешение от регулирующего органа по защите данных?
Для выполнения действий по обработке данных не требуется предварительного одобрения регулятора защиты данных.
6.10 Можно ли пройти регистрацию/уведомление онлайн?
Уведомление можно заполнить онлайн на официальном сайте Роскомнадзора .
6.11 Существует ли общедоступный список завершенных регистраций/уведомлений?
Реестр операторов находится в открытом доступе на официальном сайте Роскомнадзора .
6.12 Сколько времени обычно занимает процесс регистрации/уведомления?
Роскомнадзор в течение 30 дней со дня подачи уведомления вносит сведения о заявителе в реестр операторов.
7.
Назначение сотрудника по защите данных
7.1 Является ли назначение ответственного за защиту данных обязательным или необязательным? Если назначение сотрудника по защите данных является обязательным только при некоторых обстоятельствах, пожалуйста, укажите эти обстоятельства.
В соответствии с законодательством Российской Федерации оператор данных, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных (статья 22.1 Закона о ПД), который по смыслу выполняемой функции является уполномоченным по защите данных.
7.2 Какие санкции предусмотрены за неназначение ответственного за защиту данных, где это необходимо?
Особых санкций за отказ назначить сотрудника по защите данных не предусмотрено. При этом Роскомнадзор вправе проводить проверки применения операторами Закона о ПДн. В случае нарушения законодательства Роскомнадзор имеет право издавать обязательные для исполнения предписания об устранении нарушения, а также может налагать соответствующие штрафы.
7.3 Защищен ли сотрудник по защите данных от дисциплинарных мер или других служебных последствий в связи с его или ее ролью сотрудника по защите данных?
Сотрудник по защите данных не исключен и не защищен от дисциплинарных мер или других служебных последствий в отношении его/ее функций в качестве сотрудника по защите данных.
7.4 Может ли компания назначить одного сотрудника по защите данных для защиты нескольких организаций?
Да; один сотрудник по защите данных может быть назначен для защиты нескольких организаций.
7.5 Пожалуйста, опишите любые конкретные требования к сотруднику по защите данных, требуемые по закону.
Российское законодательство не устанавливает каких-либо специальных требований к специалисту по защите данных. Однако сотрудник по защите данных должен иметь хорошие общие знания законодательства о защите данных.
7.6 Каковы обязанности сотрудника по защите данных в соответствии с требованиями закона или передовой практикой?
Уполномоченный по защите данных обязан, в частности, осуществлять внутренний контроль за соблюдением оператором данных и его работниками законодательства о защите данных, информировать работников оператора данных о соответствующих положениях законодательства о защите данных, подзаконных актов, локальных правил или актов об обработке персональных данных и любых требований по защите данных, а также организовывать прием и обработку запросов субъектов данных или их представителей и осуществлять необходимый контроль за их обработкой.
Иные функции и обязанности могут быть предусмотрены внутренними корпоративными правилами или правилами управления или актами оператора данных.
7.7 Должно ли назначение ответственного за защиту данных быть зарегистрировано/уведомлено в соответствующем(их) органе(ах) по защите данных?
Уполномоченный по защите данных указывается в уведомлении Роскомнадзора и регистрируется в реестре операторов данных.
7.8 Должен ли сотрудник по защите данных быть указан в общедоступном уведомлении о конфиденциальности или аналогичном документе?
Нет, не требуется, за исключением требования об указании в уведомлении Роскомнадзора .
8.
Назначение процессоров
8.1 Если компания назначает обработчика персональных данных от своего имени, должна ли компания заключать соглашение с этим обработчиком в какой-либо форме?
Оператор данных вправе поручить обработку персональных данных иному лицу, которое может осуществлять обработку персональных данных по поручению и поручению оператора данных (третьи лица, действующие по поручению оператора данных).
Оператор данных и третье лицо, действующее по поручению оператора данных для осуществления обработки персональных данных, заключают об этом договор.
8.2 Если необходимо заключить соглашение, каковы формальности этого соглашения (например, письменное, подписанное и т. д.) и какие вопросы оно должно решать (например, обработка персональных данных только в соответствии с соответствующими инструкциями, обеспечение безопасности личных данных и т. д.)?
Соглашение заключается в письменной форме и подписывается уполномоченными лицами сторон.В таком соглашении должны быть указаны перечень действий, совершаемых при обработке персональных данных лицом, осуществляющим обработку, и цели обработки. Также устанавливаются обязанность лица, осуществляющего обработку данных, соблюдать принципы безопасности и конфиденциальности персональных данных, а также ответственность за их несоблюдение.
9.
Маркетинг
9.1 Пожалуйста, опишите любые законодательные ограничения на отправку электронного прямого маркетинга (например, для маркетинга по электронной почте или SMS требуется ли предварительное согласие получателя?).
Обработка персональных данных в целях реализации (рекламы) товаров, работ, услуг, непосредственно у потенциального потребителя (по телефону, электронной почте, SMS-сообщениям), без предварительного согласия субъекта персональных данных или адресата рекламы, является несанкционированным и, следовательно, не допускается.Бремя доказывания того, что предварительное согласие субъекта персональных данных или адресата было выдано в установленном порядке, возлагается на оператора данных. Согласие субъекта данных или адресата также может быть отозвано, и в этом случае оператор данных или распространитель рекламы должен немедленно прекратить любые маркетинговые коммуникации, чтобы избежать нарушения.
9.2 Применяются ли эти ограничения только к маркетингу между предприятиями или они также применяются в контексте взаимодействия между предприятиями?
Ограничения Закона о защите персональных данных применяются только к маркетингу между бизнесом и потребителем.Ограничения Федерального закона «О рекламе» (массовая рассылка) могут распространяться и на маркетинг/продвижение между компаниями.
9.3 Пожалуйста, опишите любые законодательные ограничения на рассылку маркетинговых материалов с помощью других средств (например, для маркетинга по телефону необходимо заранее проверить национальный реестр отказа; для маркетинга по почте не требуется согласия или отказа от рассылки). , и т.д.).
Любое распространение рекламы по сетям электронной связи, включая телефонную, факсимильную и мобильную телефонную связь, допускается только в случае, если адресат дал согласие на получение такой рекламы.Распространитель рекламы обязан немедленно прекратить распространение рекламы лицу, которое потребовало этого.
Запрещается реклама с использованием средств автоматической дозвонки или автоматической рассылки (статья 18 Федерального закона «О рекламе»).
9.4 Распространяются ли указанные выше ограничения на маркетинговые материалы, отправленные из других юрисдикций?
Вышеупомянутое правило является общим и применяется без исключений для иностранных юридических лиц.
9.5 Активны ли соответствующие органы по защите данных в борьбе с нарушениями маркетинговых ограничений?
Федеральная антимонопольная служба является уполномоченным федеральным органом исполнительной власти, осуществляющим функции в области рекламы. В соответствии с Законом о защите прав потребителей (1992 г.) Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека (также известная как « Роспотребнадзор ») также обязана защищать потребителей от преднамеренно навязываемых услуг, отправляемых с помощью электронных средств.
9.6 Законно ли приобретение маркетинговых списков у третьих лиц? Если да, то есть ли рекомендации по использованию таких списков?
Как правило, физические лица должны дать предварительное письменное согласие на внесение своего имени и других данных в маркетинговый список покупок или запросить их удаление из него. Бремя доказывания того, что предварительное согласие адресата рекламы было выдано должным образом, лежит на юридическом или физическом лице, которое приобрело маркетинговые списки, содержащие персональные данные, у третьих лиц.
9.7 Каковы максимальные санкции за отправку маркетинговых сообщений в нарушение применимых ограничений?
Штраф за осуществление электронного маркетинга/рекламы товаров, работ или услуг с нарушением соответствующего законодательства о защите прав потребителей, в том числе без предварительного согласия адресата, влечет наложение административного штрафа на юридических лиц в размере до 500 000 рублей и до 20 000 рублей для их должностных лиц (статья 14.
3 КоАП РФ).
10.
Печенье
10.1 Пожалуйста, опишите любые законодательные ограничения на использование файлов cookie (или аналогичных технологий).
Российское законодательство не содержит определения файлов cookie или какого-либо конкретного регулирования в отношении файлов cookie. Официальных руководств Роскомнадзора или другого государственного органа по использованию или распространению файлов cookie нет, за исключением краткой справки в Профессиональных стандартах Минтруда для ИТ-специалистов относительно объема знаний и использования файлов cookie.Если файлы cookie или аналогичные технологии используются оператором данных для аутентификации пользователя, хранения его учетной записи, личных предпочтений и настроек или отслеживания состояния сеанса доступа клиента в маркетинговых целях, все эти виды использования могут быть квалифицированы как обработка.
персональных данных в целях маркетинга/продвижения товаров, работ или услуг, для чего требуется предварительное согласие заказчика (ст. 15 Закона о ПД).
10.2 Различают ли применимые ограничения (если таковые имеются) разные типы файлов cookie? Если да, то каковы соответствующие факторы?
Нет ограничений, различающих разные типы файлов cookie; важным фактором является возможность идентификации пользователя.
10.3 Принимали ли на сегодняшний день соответствующие органы по защите данных какие-либо принудительные меры в отношении файлов cookie?
В настоящее время развивается практика, когда Роскомнадзор возбуждает исполнительные действия в российских судах, в том числе в отношении файлов cookie.
10.4 Каковы максимальные санкции за нарушение применимых ограничений на использование файлов cookie?
Поскольку файлы cookie считаются маркетинговыми коммуникациями, любое нарушение соответствующих правил защиты данных и рекламы или телекоммуникаций влечет за собой административные санкции, применимые к нарушениям персональных данных.
11.
Ограничения на международную передачу данных
11.1 Пожалуйста, опишите любые ограничения на передачу персональных данных в другие юрисдикции.
Законом о ПДн предусмотрено требование о локальном хранении, которое распространяется на любого оператора данных, осуществляющего обработку персональных данных граждан Российской Федерации, независимо от его юрисдикции, в том числе в отношении его деятельности в сети Интернет.Таким образом, при сборе персональных данных, в том числе с использованием сети Интернет, оператор обязан осуществлять запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) или извлечение персональных данных граждан Российской Федерации с использованием любых баз данных, физически находящихся на территории Российской Федерации.
, за исключением: обработки данных для достижения целей международных договоров или реализации законных полномочий и обязанностей оператора; для государственных целей; за профессиональную деятельность журналистов или законную деятельность средств массовой информации; или научная, литературная или иная творческая деятельность, которая может осуществляться непосредственно в иностранных базах данных (статья 18(5) Закона о ПД).
В случае трансграничной передачи персональных данных оператор данных перед такой передачей должен обеспечить полную защиту прав и интересов соответствующего субъекта данных «надлежащим образом» в соответствующем иностранном государстве (статья 12 Закона о ПД). Все страны, подписавшие Страсбургскую конвенцию, считаются юрисдикциями, обеспечивающими «адекватную защиту» прав и интересов субъектов данных. Кроме того, Роскомнадзор утвердил официальный список стран, не подписавших Страсбургскую конвенцию, но обеспечивающих «адекватную защиту» в целях трансграничной передачи персональных данных.
Международная передача данных в любую юрисдикцию с уровнем «адекватной защиты» не подлежит никаким ограничениям при условии, что оператор данных получил предварительное согласие соответствующего субъекта данных. Кроме того, Закон о ПД устанавливает особые требования к трансграничной передаче персональных данных в страны, не обеспечивающие уровень «адекватной защиты».
11.2 Пожалуйста, опишите механизмы, которые предприятия обычно используют для передачи персональных данных за границу в соответствии с применимыми ограничениями на передачу (например,g., согласие субъекта данных, выполнение договора с субъектом данных, утвержденные договорные положения, соблюдение юридических обязательств и т. д.).
На практике перед передачей персональных данных за границу оператор данных должен сначала проверить уровень защиты данных в соответствующей иностранной юрисдикции. Кроме того, для передачи персональных данных в другие юрисдикции требуется предварительное письменное согласие соответствующих субъектов данных.
Оператор данных может также заключить договор международной передачи данных с субъектом персональных данных.
11.3 Требуется ли для передачи персональных данных в другие юрисдикции регистрация/уведомление или предварительное одобрение соответствующего(их) органа(ов) по защите данных? Пожалуйста, опишите, какие типы переводов требуют одобрения или уведомления, какие шаги включают в себя эти шаги и сколько времени они обычно занимают.
Трансграничная передача персональных данных не требует какой-либо регистрации или предварительного согласования с Роскомнадзором . Однако уведомление Роскомнадзора для целей оформления статуса оператора данных должно содержать информацию о том, будет ли происходить трансграничная передача персональных данных при их обработке.
11.4 Какие указания (если таковые имеются) были изданы органом(ами) по защите данных после решения Суда ЕС по делу Schrems II (Дело C-311/18)?
Такого руководства Российского органа по защите данных нет.
11.5 Какие указания (если таковые имеются) были изданы органом(ами) по защите данных в отношении пересмотренных Стандартных договорных условий Европейской комиссии?
Такого руководства Российского органа по защите данных нет.
12.
Горячие линии для информаторов
12.1 Каков разрешенный объем корпоративных горячих линий для информаторов (например, ограничения на типы проблем, о которых можно сообщать, лица, которые могут подавать сообщения, лица, которых сообщение может касаться, и т. д.)?
Российское законодательство не содержит каких-либо конкретных положений о корпоративных горячих линиях для информирования о нарушениях.Кроме того, нет обязательных указаний Роскомнадзора по этому поводу. Применяются общие требования законодательства о персональных данных. Сотрудники также могут быть обязаны «сообщать о нарушениях» в соответствии с внутренними корпоративными правилами или политиками работодателя как оператора данных.
12.2 Запрещено ли анонимное сообщение, настоятельно не рекомендуется или вообще разрешено? Если это запрещено или не приветствуется, как предприятия обычно решают эту проблему?
Анонимные сообщения не запрещены и не поощряются действующим законодательством.Обычно операторы данных решают эту проблему в своих внутренних корпоративных правилах или политиках.
13.
Видеонаблюдение
13.1 Требует ли использование видеонаблюдения отдельной регистрации/уведомления или предварительного разрешения от соответствующего(их) органа(ов) по защите данных и/или какой-либо особой формы публичного уведомления (например,г., знак повышенной видимости)?
CCTV не требует отдельного уведомления/регистрации или предварительного согласования с Роскомнадзором . При определенных обстоятельствах оборот или использование специальных технических средств, предназначенных для негласного получения информации, может стать основанием для привлечения к уголовной ответственности (статья 138.1 УК РФ). Однако к таким специальным техническим средствам не относятся предметы с функциями аудио-, видео-, фотофиксации и (или) геолокации бытового назначения, имеющие органы управления, индикации и (или) какие-либо маркировки, открыто указывающие на их назначение, функции и (или) режим работы.
13.2 Существуют ли ограничения на использование данных видеонаблюдения?
Конституция Российской Федерации гарантирует право на неприкосновенность частной жизни, личную и семейную тайну. Таким образом, следует оценивать, было ли это право нарушено в каждом конкретном случае.
14.
Мониторинг сотрудников
14.1 Какие виды наблюдения за сотрудниками разрешены (если есть) и при каких обстоятельствах?
На практике в соответствии с внутренними корпоративными правилами и политиками работодателей могут быть разрешены различные виды наблюдения за сотрудниками, включая видеонаблюдение, просмотр электронной почты/Интернета, мониторинг социальных сетей и прослушивание аудио, а также иногда отслеживание GPS. Однако при любом таком мониторинге работодатель (оператор данных) должен соблюдать конституционные права граждан и требования по защите данных (п.1 статьи 24 Конституции РФ). Работодатель вправе применять любой вид наблюдения за работником при условии, что это предусмотрено трудовым договором или регулируется внутренними корпоративными правилами или политиками, работники ознакомлены с ними до подачи заявки и работники дали свое согласие на такое наблюдение. Любой мониторинг сотрудников должен применяться разумно, и следует избегать раскрытия видеоконтента третьим лицам.
14.2 Требуется ли согласие или уведомление? Опишите, как работодатели обычно получают согласие или уведомляют.
Предварительное письменное согласие работника требуется для проведения законного мониторинга сотрудников. На практике письменное согласие всех работников получается при заключении трудовых договоров или является частью коллективного трудового договора. Все сотрудники должны быть должным образом ознакомлены с внутренними корпоративными правилами и политиками в отношении мер контроля за работниками. Также должны соблюдаться законодательные положения об обработке персональных данных работников.В частности, такая обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности работников, содействия работникам в трудоустройстве, контроля за количеством и качеством выполняемой работы и обеспечения безопасности. имущества и др. (ст. 86 ТК РФ). Для этих конкретных целей дополнительное согласие не требуется. Письменное согласие работника требуется и должно быть получено заранее работодателем, если персональные данные должны быть переданы работодателем третьим лицам.
14.3 В какой степени необходимо уведомлять рабочие советы/профсоюзы/представителей работников или консультироваться с ними?
Особых требований относительно уведомления рабочих советов/профсоюзов/представителей работников или проведения консультаций по этому поводу не существует.
15.
Безопасность данных и утечка данных
15.1 Существует ли общее обязательство по обеспечению безопасности персональных данных? Если да, то какие организации несут ответственность за обеспечение безопасности данных (например, контроллеры, обработчики и т. д.)?
Оператор данных или иное лицо (лица), получившие доступ к персональным данным, обязаны воздерживаться от их раскрытия третьим лицам или распространения этих персональных данных без предварительного письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами. .
15.2 Существует ли юридическое требование сообщать об утечке данных в соответствующие органы по защите данных? Если да, опишите, какие детали должны быть сообщены, кому и в какие сроки. Если юридические требования отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.
Как правило, нет юридических требований сообщать об утечке данных в орган по защите данных. Роскомнадзор рассматривает требования, заявленные субъектом персональных данных в добровольном порядке, в отношении соответствия содержания персональных данных, наличия или отсутствия согласия субъекта персональных данных, способов обработки персональных данных и ее соответствия заявленным целям, для которых они обрабатываются. Роскомнадзор принимает по этому поводу соответствующее решение, и в случае выявления нарушения оператор данных обязан прекратить такую несанкционированную обработку в течение трех рабочих дней. В случае невозможности преобразования несанкционированной обработки персональных данных в законный способ обработки, оператор данных обязан уничтожить такие персональные данные в течение 10 рабочих дней (п. 3 ст. 21 Закона о ПДн). Оператор данных обязан уведомить субъекта данных или его представителя о прекращении обработки или уничтожении персональных данных, а в случае поступления запроса о прекращении или уничтожении со стороны Роскомнадзора такое уведомление должно быть направлено в Роскомнадзор .
15.3 Существует ли юридическое требование сообщать об утечке данных затронутым субъектам данных? Если да, опишите, какие детали должны быть сообщены, кому и в какие сроки. Если юридические требования отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.
Нет специального юридического требования сообщать об утечке данных затронутым субъектам данных. При этом субъект персональных данных, права которого нарушены, вправе обратиться с претензией в Роскомнадзор , который может провести соответствующую проверку и принять решение в отношении предполагаемого нарушителя и его неправомерных действий с персональными данными.
15.4 Каковы максимальные санкции за нарушение безопасности данных?
Оператор данных может нести ответственность за несколько нарушений обработки персональных данных, в том числе за обработку данных без письменного согласия субъекта данных в случае необходимости, неразмещение политики обработки данных на сайте или непредоставление информации субъекту данных в связи с обработкой его персональных данных — со штрафом за правонарушение до 75 000 рублей (статья 13.11(2) КоАП РФ).
Оператор данных может быть оштрафован на сумму до 6 000 000 рублей при первом нарушении и до 18 000 000 рублей при повторном нарушении требования о локальном хранении (статья 13.11 (8 и 9) Кодекс об административных правонарушениях).
Наконец, УК РФ предусматривает уголовную ответственность за: неправомерный сбор или распространение, в том числе публичное, персональных данных, составляющих личную или семейную тайну, без согласия этого лица — со штрафом до 200 000 рублей; а также неправомерный доступ к компьютерной информации, повлекший уничтожение, блокирование, изменение или копирование персональных данных, — со штрафом до 500 000 рублей.Следует отметить, что по российскому законодательству уголовное наказание может быть назначено только физическим, но не юридическим лицам.
16.
Правоприменение и санкции
16.1 Опишите правоприменительные полномочия органа (органов) по защите данных.
- Следственные полномочия : Роскомнадзор имеет следующие следственные полномочия: запрашивать и получать необходимую информацию для осуществления своих полномочий, а также получать такую информацию безвозмездно; проверять информацию, содержащуюся в уведомлении об обработке персональных данных, и вносить такую информацию в реестр операторов данных; осуществлять соответствующие проверки; направлять материалы в органы прокуратуры и другие правоохранительные органы.
- Корректирующие полномочия : Роскомнадзор имеет следующие корректирующие полномочия: требовать исправления, блокирования или уничтожения ложных или полученных незаконным путем персональных данных; ограничение доступа к данным, которые обрабатываются в нарушение законодательства о защите данных; и приостановление или прекращение обработки персональных данных, которая была начата в связи с нарушением законодательства о защите данных.
- Разрешительные и совещательные полномочия : Роскомнадзор не имеет специальных разрешительных полномочий, за исключением внесения оператора данных в реестр операторов персональных данных, что является правовым основанием для реализации права на обработку персональных данных, хотя может направить заявление в орган, лицензирующий деятельность оператора (например, в Федеральную службу по техническому и экспортному контролю, Федеральную службу безопасности и другие государственные органы) для рассмотрения вопроса о принятии мер по приостановлению или аннулированию соответствующей лицензии в порядке, установленном законодательством Российской Федерации. применимого права, если одним из условий лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.При осуществлении своих совещательных полномочий Роскомнадзор вправе издавать пояснительные письма или подзаконные акты в пределах своей компетенции, а также вносить в Правительство Российской Федерации предложения по совершенствованию правового регулирования защиты прав на данные. предметы.
- Наложение административных штрафов за нарушение определенных положений GDPR : Роскомнадзор имеет право принимать административные меры в отношении лиц, виновных в нарушении Закона о персональных данных, в частности путем наложения административных штрафов за нарушение прав субъекта персональных данных или нарушение других соответствующих законодательных положений.
- Несоблюдение требований органа по защите данных : В случае несоблюдения решений Роскомнадзора или обязательных приказов Роскомнадзор может подать гражданские иски в компетентные суды для защиты прав субъектов данных и представление интересов субъектов данных до суда или направление материалов в прокуратуру и другие правоохранительные органы для целей возбуждения уголовных дел по фактам утечки данных.
16.2 Имеет ли орган по защите данных право налагать запрет на определенную деятельность по обработке данных? Если да, то требует ли такой запрет решения суда?
Роскомнадзор имеет право потребовать от оператора данных прекратить конкретное нарушение или нарушение, в том числе конкретную деятельность по обработке данных, такую как блокировка его веб-сайта или определенных страниц в Интернете. Для таких мер требуется решение суда.
16.3 Опишите подход органа по защите данных к осуществлению этих полномочий с примерами недавних дел.
В случае выявления какого-либо нарушения Роскомнадзор сначала направляет предупреждение с соответствующими предписаниями о мерах, которые необходимо принять для пресечения такого нарушения. Судебная практика в России по этому поводу еще только формируется. Например, в 2020 году российский суд оштрафовал Twitter и Facebook на 4 000 000 рублей каждый за отказ определить местонахождение их серверов, на которых хранятся данные о российских гражданах на территории России.Есть также множество завершенных или нерешенных дел, связанных с Telegram Messenger; в частности, использование Telegram-ботов для сбора персональных данных граждан России.
16.4 Применяет ли когда-либо орган по защите данных свои полномочия в отношении компаний, зарегистрированных в других юрисдикциях? Если да, то как это обеспечивается?
Роскомнадзор может заблокировать доступ к информации, обрабатываемой с нарушением законодательства о персональных данных; например, после невыполнения требования о локализации персональных данных LinkedIn был заблокирован в 2016 году.
17.
Электронное обнаружение / раскрытие информации иностранным правоохранительным органам
17.1 Как компании обычно реагируют на иностранные запросы на раскрытие электронной информации или запросы на раскрытие информации от иностранных правоохранительных органов?
Российское законодательство не содержит каких-либо положений, касающихся процедур раскрытия информации в электронной форме за рубежом или раскрытия информации за рубежом.Таким образом, российские компании не обязаны отвечать на запросы иностранных компаний об электронном раскрытии или раскрытии информации, если только императивные положения не установлены соответствующими международными договорами о взаимной правовой поддержке (содействии) или аналогичными международными договорами, стороной которых является Россия. Кроме того, существует практика, когда компании отвечают на иностранные запросы о раскрытии информации от иностранных правоохранительных органов через компетентные российские органы.
17.2 Какие инструкции издал(а) орган(ы) по защите данных?
Таких указаний Роскомнадзор не издавал .
18.
Тенденции и разработки
18.1 Какие тенденции правоприменения возникли за последние 12 месяцев? Опишите любую соответствующую судебную практику.
Конфиденциальность и защита данных остаются новой и актуальной областью развития законодательства в России.Заметна тенденция увеличения штрафов за нарушение защиты данных с целью приведения их в большее соответствие с зарубежным законодательством.
18.2 Какие «актуальные темы» в настоящее время находятся в центре внимания регулятора по защите данных?
В соответствии с последними изменениями в законодательстве иностранные интернет-сайты, веб-страницы, информационные системы и программы, ориентированные на российских пользователей, могут быть обязаны открывать местные офисы в соответствии с законопроектом, который находится на рассмотрении российского парламента.В ближайшее время Роскомнадзор может предъявить новые требования к отдельным хостинг-провайдерам, организаторам распространения информации или операторам рекламных систем. Также существуют различные инициативы по внедрению и реализации концепции «больших данных» и установлению прав пользователей при таком использовании их персональных данных.
Политика обработки персональных данных Ситибанка
Введение
Обеспечение достаточной и адекватной информационной безопасности активов, включая, среди прочего, персональные данные и процессы, используемые при обработке данных, является ключом к выполнению нашей миссии.
АО Ситибанк (далее «Банк») полностью привержен соблюдению прав и свобод физических лиц при обработке персональных данных и защите их прав на неприкосновенность частной жизни, личные и семейные тайны.
При обработке персональных данных Банк строго придерживается следующих принципов:
- Обработка данных, несовместимая с целями сбора персональных данных, не допускается;
- Запрещена обработка персональных данных, не соответствующих целям обработки данных.Содержание и состав персональных данных, обрабатываемых в Банке, соответствуют заявленные цели обработки данных;
- При обработке персональных данных Банк обеспечивает достоверность, достаточность и, при необходимости, актуальность персональных данных;
- Персональные данные хранятся не дольше, чем это необходимо для целей обработки данных и требуется федеральными законами и договорами, стороной, выгодоприобретателем или поручителем по которым является субъект данных;
- Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных нормативными правовыми актами Российской Федерации.
Персональные данные являются конфиденциальной и строго охраняемой информацией, к которой применяются все требования, установленные внутренними документами Банка в части охраны конфиденциальной Информация.
Понятие и состав персональных данных
Перечень персональных данных, подлежащих защите, формируется в соответствии с ФЗ №
.№ 152-ФЗ от 27.07.2006 № «О персональных данных» .
Информация, составляющая персональные данные для Банка, – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту данных).
Цели обработки персональных данных
Банк обрабатывает персональные данные в следующих целях:
- Осуществление банковских операций и иных видов деятельности, предусмотренных уставом и лицензиями Банка, нормативными актами Банка России и действующим законодательством Российской Федерации, в том числе федеральными законами Нет.№ 395-1 от 2 декабря 1990 г. « О банках и банковской деятельности» , № 218-ФЗ от 30 декабря 2004 г., «О кредитных историях» , № 115-ФЗ от 7 августа, 2001, «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» , № 173-ФЗ от 10 декабря 2003 года, «О валютном регулировании и валютном контроле» , от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг» , №№ 177-ФЗ от 23.12.2003 № «О страховании вкладов населения в банках Российской Федерации» № , от 1 апреля 1996 г. № 27-ФЗ, «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» , от 3 июля 2016 г., № 230-ФЗ, «О защите прав и законных интересов граждан». физических лиц при осуществлении коллекторской деятельности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»» , Нет.№ 152-ФЗ от 27.07.2006 № «О персональных данных» № , в том числе: взыскание просроченной задолженности; уведомление клиентов о транзакциях; обеспечение соблюдения Банком Российские нормативно-правовые акты: выполнение функций валютного контроля, выявление операций, подлежащих обязательному контролю, и операций, подозреваемых в совершении в целях легализации/отмывания денег доходы от преступной деятельности или финансирования терроризма; открытие счетов, выпуск банковских карт; оценка кредитоспособности, проведение комплексной проверки перед заключением договоров и предоставлением продуктов и услуги клиентам; предоставление клиентам банковских, инвестиционных и страховых продуктов и услуг; прием и обработка обращений и жалоб.
- Проведение маркетинговых кампаний, продвижение товаров и услуг, оценка качества обслуживания клиентов.
- Заключение, исполнение и расторжение гражданско-правовых договоров с физическими, юридическими и иными лицами в случаях, предусмотренных действующими нормативными правовыми актами и уставом Банка; выполнение комплексная проверка перед заключением договоров;
- Подбор и прием на работу персонала; организация кадрового учета, обеспечение соблюдения нормативных правовых актов, заключение и исполнение обязательств по трудовым договорам; ведение кадрового делопроизводства, помощь сотрудникам в вопросах трудоустройства, обучения, продвижения по службе и использования различных льгот; обеспечение соблюдения налогового законодательства в связи с исчислением и выплатой доходов физических лиц налог и взносы в Фонд социального страхования и Фонд обязательного медицинского страхования; обеспечение соблюдения пенсионного законодательства в части формирования и предоставления персонифицированных данных на каждого получателя доходов, подлежащих включению в расчет взносов на обязательное пенсионное страхование, заполнение первичных статистических документов в соответствии с Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, федеральные законы (например, «Об индивидуальном (персональном) учете в системе обязательного пенсионного страхования» и «О персональных данных» ), а также внутренние документы; добровольное медицинское страхование; страхование жизни, болезней и несчастных случаев; оформление визы.
- В целях оптимизации веб-ресурсов Банка и электронных коммуникаций с клиентами с учетом индивидуальных особенностей и предпочтений посетителей сайта citibank.ru сайта и получателей электронных писем с домена @citibank.ru (далее — «сайт») Банк собирает и обрабатывает следующие данные:
- Количество посетителей (новых посетителей) сайта;
- Адрес страницы и количество посещений страниц сайта;
- Количество посещений сайта;
- Среднее время, проведенное на сайте за одно посещение;
- Количество вернувшихся посетителей на сайт;
- Пол и возраст посетителей сайта;
- Интересы посетителей сайта;
- География: язык и местонахождение посетителей сайта;
- Тип устройства посетителя: браузер и ОС, мобильные устройства;
- Источники трафика, последний источник трафика;
- Сравнение производительности источников трафика;
- Пути посетителей через веб-сайт;
- Контент веб-сайта;
- Поведение на сайте;
- Скорость загрузки сайта;
- Поиск по сайту, поисковая фраза;
- Статистика страницы.Страницы входа и выхода;
- Цели;
- Многоканальные последовательности;
- Атрибуция;
- Отказы;
- Глубина обзора;
- Переходы получателя по ссылкам в электронном письме, отправленном с домена @citibank.ru;
- Информация о входных устройствах;
- Информация о посещениях и использовании Citibank ® Online;
- Отслеживание использования внешних и внутренних ссылок, баннеров и взаимодействия с элементами страницы;
- Идентификатор файла cookie;
- Идентификатор пользователя для акции «Пригласи друга»;
- Информация о сообщениях об ошибках, полученных пользователями;
- Информация о продуктах/категориях/услугах, которые посетили пользователи;
- Информация о загруженных файлах, видео, инструментах, механике «Поделиться в социальных сетях» и виджетах страниц;
- Информация о «пути» клиента, заполнении заявки и сборе информации о потенциальных клиентах;
- Информация о предложениях, отображаемых пользователям;
- Поисковая информация по веб-сайту;
- Информация от пользователей, собранная через формы обратной связи.
Банк осуществляет обработку указанных данных следующими способами: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача третьим лицам (предоставление, доступ), в том числе Adobe Systems (36-38 Market St, Maidenhead SL6 8AD, Соединенное Королевство), Amazon Web Services Inc (410 Terry Avenue North, Seattle, WA 98109-5210), eClerx Services Limited (здание Sonwala Building, 1-й этаж, 29 Bank Street, Форт, Мумбаи) 400023, Индия), CitiCorp Services India Pvt.Ltd. (3-й и 4-й этаж, Brigade Magnum, Byatarayanapura, Бангалор, Карнатака 560092, Индия), Citbank North America Singapore (8 Marina View, Asia Square Tower 1, Сингапур 018960), ООО «Вейвмейкер» (127051, г. Москва, Цветной бульвар, д. 2, этаж 3, помещение II, помещение 14).
Такие данные передаются в Google Analytics, Яндекс Метрику, Facebook Ad Manager и Mail.ru My target в агрегированном виде. Обратите внимание, что Google, Яндекс, Facebook и Mail.ru являются международными компании, которые хранят и обрабатывают данные как в России, так и за ее пределами.
Ваше согласие на обработку указанных данных может быть отозвано путем письменного уведомления, направленного в Банк не менее чем за месяц до даты фактического прекращения обработки ваших персональных данных Банком.
Хранение персональных данных
Сроки хранения определяются сроком договора с субъектом данных, приказом Минкультуры №№ 558 от 25.08.2010 № «Об утверждении Перечня стандартных административных архивных документов, образующихся в ходе деятельности государственных органов, органов местного самоуправления и организаций, и сроках их хранения» , Постановление ФКЦБ от 16.07.2003 № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ» , срок исковой давности и иные требования законодательства Российской Федерации и нормативных актов Банка России.
Банк формирует и хранит документы, содержащие информацию о субъектах данных. Требования к использованию в Банке типовых форм таких документов определяются Постановлением Правительства. Российской Федерации от 15.09.2008 № 687, «Об утверждении Положения об особенностях обработки персональных данных без использования средств автоматизации» .
Безопасность персональных данных
Банк принимает технические и организационные меры информационной безопасности, необходимые для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения, посредством внутренних проверок процессов обработки данных. сбора, хранения и обработки, а также с помощью физических мер безопасности данных, предотвращающих несанкционированный доступ к личным данным.
Права и обязанности субъектов данных
Права и обязанности
Банк как оператор персональных данных вправе:
- Защищать свои интересы в судах;
- Предоставление персональных данных субъектов данных третьим лицам (налоговым органам, правоохранительным органам и т. д.).) если это предусмотрено применимым законодательством;
- Отказ от предоставления персональных данных в случаях, предусмотренных действующим законодательством;
- Использовать персональные данные субъектов данных без их согласия в случаях, предусмотренных применимым законодательством.
Субъект данных имеет право делать следующее:
- Требовать, чтобы его/ее персональные данные были обновлены, заблокированы или уничтожены, если такие персональные данные являются неполными, устаревшими, неточными, незаконно полученными или ненужными для заявленной цели обработки данных, и использовать средства правовой защиты, предусмотренные законом, для защиты своих прав;
- Требовать перечень своих персональных данных, находящихся в обработке в Банке, и источник их получения;
- Получать информацию о продолжительности обработки своих персональных данных и сроках их хранения;
- Требовать, чтобы все лица, которым ранее были предоставлены его неверные или неполные персональные данные, были уведомлены обо всех удалениях, исправлениях или дополнениях;
- Обжаловать в органе по защите данных или в суде неправомерное действие или бездействие при обработке его персональных данных;
- Защищать свои права и законные интересы, в том числе добиваться возмещения материального и морального ущерба.
Согласие на обработку персональных данных посетителей сайта
Настоящим передаю АО Ситибанк с офисом по адресу: 8-10, корп. 125047, г. Москва, ул. Гашека, д. 1 («Банк» или «Оператор») мое согласие на автоматизированную и неавтоматизированную обработку моих личных данных, перечисленных ниже:
- Мои запросы как посетителя сайта;
- Системная информация, данные из моего браузера;
- Cookies;
- Мой IP-адрес;
- Операционные системы, установленные на моем устройстве;
- Типы браузеров, установленных на моем устройстве;
- Расширения и настройки цвета экрана установлены на моем устройстве;
- языков, установленных и используемых на моем устройстве;
- версий Flash и поддержка JavaScript;
- Типы используемых мной мобильных устройств, если применимо;
- Географическое положение;
- Количество посещений сайта и просмотров страниц;
- Продолжительность пребывания на сайте;
- запросов, использованных мной при перенаправлении на сайт;
- страниц, с которых производились перенаправления;
- Информация о входных устройствах;
- Информация о посещениях и использовании Citibank Online;
- Отслеживание использования внешних и внутренних ссылок, баннеров и взаимодействия с элементами страницы;
- Идентификатор файла cookie;
- Идентификатор пользователя для акции «Пригласи друга»;
- Информация о сообщениях об ошибках, полученных пользователями;
- Информация о товарах/категориях/услугах, которые посещал пользователь;
- Информация о загруженных файлах, видео, инструментах, механике «Поделиться в социальных сетях» и виджетах страниц;
- Информация о «пути» клиента, заполнении заявки и сборе информации о потенциальных клиентах;
- Информация о предложениях, отображаемых пользователям;
- Поисковая информация по веб-сайту;
- Информация от пользователей, собранная через формы обратной связи.
В целях оптимизации Оператором своих веб-ресурсов с учетом моих индивидуальных особенностей и предпочтений Оператор может обрабатывать мои персональные данные в следующих случаях: способами: сбор, систематизация, накопление, хранение, обновление, изменение, использование, передача третьим лицам (предоставление, доступ).
Настоящее согласие вступает в силу с момента моего перехода на сайт Оператора и действует до момента его отзыва.Это согласие может быть отозвано моим письменным уведомлением направлена в Банк не менее чем за месяц до даты фактического прекращения обработки моих персональных данных Банком.
Обратная связь
Банк принимает разумные меры для обеспечения точности и актуальности имеющихся персональных данных, а также для удаления персональных данных в случаях, когда такие данные устарели, недостоверны или являются ненужными, или когда цели обработки данных были достигнуты.
Субъекты данных несут ответственность за предоставление Банку достоверной информации и своевременное обновление такой информации в случае каких-либо изменений.
Если вы, как субъект данных, хотите узнать, какие из ваших личных данных находятся в распоряжении Банка, или обновить, исправить, деидентифицировать или удалить любые неполные, неточные или устаревшие персональных данных, хотите, чтобы Банк прекратил обработку ваших персональных данных, или имеете другие законные требования, вы можете воспользоваться своим правом должным образом и в соответствии с применимым законодательством, запросив Банк, чтобы сделать это.
Однако в некоторых случаях такой запрос может также означать, что Банк больше не сможет предоставлять вам услуги (например, если вы хотите, чтобы Банк удалил или прекратил обработку ваших личных данные).
В целях выполнения ваших запросов Банк может потребовать установить вашу личность и запросить дополнительную информацию, подтверждающую вашу связь с Банком, или информацию, иным образом подтверждающую факт личной обработка данных Банком.Кроме того, применимое законодательство может устанавливать ограничения или другие условия, относящиеся к вашим вышеупомянутым правам.
Порядок запроса информации субъектами данных предусмотрен Федеральным законом от 27.07.2006 № 152-ФЗ № «О персональных данных» . В частности, информация запрос должен содержать следующее:
- Серия и номер документа, удостоверяющего личность субъекта данных или его законного представителя, дата его выдачи и орган, выдавший документ;
- Сведения, подтверждающие связь субъекта данных с Банком (номер договора, дата, условное словесное обозначение и/или иная информация) или сведения, иным образом подтверждающие факт личного обработка данных Банком;
- Подпись субъекта данных или его законного представителя.
В случае подачи запроса законным представителем субъекта данных запрос должен содержать документ, подтверждающий полномочия такого представителя, или его копию.
Контактная информация для запросов персональных данных доступна в разделе «Контакты» на сайте www.citibank.ru.
| Имя: | Трудовой кодекс Российской Федерации от 30 декабря 2001 г. с изменениями. |
| Страна: | Российская Федерация |
| Субъект(ы): | Трудовой кодекс, общие законы о труде и занятости |
| Тип законодательства: | Закон, Закон |
| Дата принятия: | 30.12.2001 |
| Вступление в силу: | |
| Опубликовано: | Собрание законодательства, 07.01.2002, №1, стр. 236-387 Неофициальный английский перевод, 176 стр. Бюллетень (текст на русском языке в редакции 2006 г.), 2006-08, № 8, с. 1-176 № 3, стр. 1-229 Юридические материалы России и республик (текст на английском языке в редакции 2007 г.), 2007-06, № 6, стр. 1-227 |
| ИНН: | РУС-2001-Л-60535 |
| Ссылка: | https://www.ilo.org/dyn/natlex/natlex4.detail?p_isn=60535&p_lang=en |
| Библиография: | Собрание законодательства, 07.01.2002, № 1, с. 236-387 Неофициальный английский перевод, 176 с. Бюллетень (текст на русском языке в редакции 2006 г.), 2006-08, № 8, с. 1-176 № 3, стр. 1-229 Юридические материалы России и республик (текст на английском языке в редакции 2007 г.), 2007-06, №6, стр. 1-227 Печатается отдельно на русском языке, Сводный текст с изменениями № 102-ФЗ от 7 мая 2013 г., 274 страницы PDF Кодекса на русском языке в редакции от мая 2013 г. Трудовой кодекс на русском языке (в редакции от 30 июня 2006 г.) URAL Human Resources, Российская Федерация PDF (проверено 06 декабря 2006 г.) |
| Аннотация/Цитирование: | Предусматривает основные принципы трудового законодательства. Содержит положения, касающиеся запрещения дискриминации в сфере труда и принудительного труда, трудовых отношений, социального партнерства (коллективных переговоров и соглашений), трудового договора, рабочего времени, отдыха и отпусков, заработной платы, гарантий и компенсаций работникам, дисциплины, профессионального обучения. , охрана труда.Содержит специальные положения по категориям лиц: среди прочего, женщины и лица с семейными обязанностями, молодые работники в возрасте до 18 лет, сезонные рабочие, учителя, транспортники, трудящиеся-мигранты. Также занимается вопросами защиты трудовых прав работников, разрешения трудовых споров и ответственности за нарушение трудового законодательства. Отменяет Закон № 69-ФЗ от 6 мая 1998 г., Трудовой кодекс 1971 г., Закон № 3543 от 25 сентября 1992 г., Закон № 59-ФЗ от 17 марта 1997 г., Закон № 84-ФЗ от 30 апреля 1999 г., Закон № .от 15 февраля 1995 г. N 14-ФЗ, от 18 января 2001 г. N 2-ФЗ, от 31 июля 1998 г. N 139-ФЗ, от 24 ноября 1996 г. N 131-ФЗ, от 24 ноября N 182-ФЗ. 1996. |
| Отмененный текст(ы) : | |
| Изменение текста : | |
| Измененный текст(ы) : | |
| Текст(ы) реализации : | |
| Связанный текст(ы) : |
Согласие на обработку персональных данных
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» при размещении Пользователем запроса на сайте https://www.abuas.ru (далее – Сайт), уполномочивает ООО «АБУ» (далее – Оператор, зарегистрированное по адресу: 125040, г. Москва, ул. Скаковая, д. 17, стр. 2) обрабатывать любую информацию, размещенную на Сайте. Информация включает в себя, но не ограничивается сбором, систематизацией, накоплением, хранением, уточнением (обновлением, изменением), использованием, распространением (в том числе передачей), обезличиванием, блокированием, уничтожением и любыми иными действиями с персональными данными с учетом текущей законодательства Российской Федерации.Пользователь также подтверждает, что давая такое согласие, он действует добровольно, в свою пользу или в пользу третьих лиц.
Давая свое согласие, Пользователь подтверждает, что третьи лица, данные которых размещены на Сайте, также согласны на передачу и обработку его персональных данных, а Пользователь уполномочивает Оператора совершать любые необходимые действия в отношении персональных данных третьих лиц для достижения целей обработки персональных данных, указанных в Политике обработки персональных данных (ссылка на Политику).
Оператор исходит из того, что он получает согласие на обработку персональных данных, как только Пользователь загружает данные и выбирает опцию «Отправить», расположенную на Сайте.
Настоящее согласие на обработку персональных данных действует до момента его отзыва Пользователем. Согласие на обработку персональных данных может быть отозвано в любое время путем направления Оператору официального запроса в порядке, указанном в Политике обработки персональных данных.
Оператор обязуется прекратить обработку, уничтожить персональные данные и уведомить Пользователя об уничтожении в течение тридцати рабочих дней с даты получения им уведомления об отзыве согласия на обработку персональных данных Пользователя.
Настоящее согласие распространяется только на персональные данные Пользователя, размещенные на Сайте.
Сравнение законов о конфиденциальности: Россия, Китай и США
Режимы конфиденциальности данных в России, Китае и США сильно отличаются от режимов в других странах. Финансовая привлекательность продажи или обработки данных резидентам ЕС сильна, что побудило другие страны принять Общий регламент по защите данных (GDPR) или что-то в этом роде. Россия, Китай и Соединенные Штаты достаточно велики, чтобы другие силы могли доминировать, включая желание хранить данные своих граждан локально, как мы увидим.
Россия
В России действует конституционная защита конфиденциальности данных и Закон о конфиденциальности данных (ЗПД) 2006 года (152-ФЗ). DPA был существенно изменен в 2014 году и стал известен как Закон о локализации данных по причинам, которые мы увидим позже.
Ключевой особенностью Закона о локализации данных является требование о том, что данные о российских гражданах должны храниться в России, включая данные отслеживания файлов cookie. Закон содержит положение, позволяющее стране блокировать сайты, которые не обрабатывают российские данные в России, что, как и следовало ожидать, привело к буму использования российских дата-центров.Первоначальное наказание за нарушение закона составляло всего 160 долларов, но в 2019 году оно было увеличено до 100 000 долларов. На момент написания статьи кажется, что точные правила соблюдения закона расплывчаты.
Аналогично GDPR, российское законодательство определяет категории конфиденциальных данных, которые не могут быть собраны или обработаны без согласия пользователя. Большим отличием от GDPR является отсутствие каких-либо требований сообщать об утечках данных.
Китай
Закон Китайской Народной Республики о кибербезопасности вступил в силу 1 июня 2017 года и ввел обязательное уведомление государства об утечке данных, но не обязывал информировать пострадавших лиц.Существует понятие более конфиденциальных персональных данных, но оно более расплывчато, чем точное определение, данное в GDPR, а правила расплывчаты. Как и в российском законодательстве, в китайском законодательстве есть правила экспорта данных, в этом случае требуется, чтобы копия данных постоянно находилась в Китае, а обработчики данных должны получить согласие отдельных лиц на обработку их данных за границей.
Ситуация в Китае может существенно измениться с принятием Закона о защите личной информации, проект которого был опубликован 21 октября 2020 года.Этот предлагаемый закон очищает и разъясняет китайское законодательство. В нем есть несколько ключевых новых положений, выходящих за рамки существующего законодательства:
- Иски об экстерриториальности, когда иностранные компании обрабатывают данные китайских граждан за пределами Китая.
- Для обработки данных третьей стороной требуется индивидуальное согласие.
- Правила автоматизированного принятия решений.
- Положение о том, что китайский регулирующий орган должен принимать контрмеры против любой страны, которая принимает необоснованную политику против Китая в отношении обработки персональных данных.
- Персональные данные должны храниться в Китае.
- Требование информировать людей, если их данные были взломаны.
На момент написания у нас нет информации о том, когда этот законопроект может стать законом.
Соединенные Штаты Америки
Соединенные Штаты представляют собой особый случай, когда речь идет о конфиденциальности данных, и, как и положено в особом случае, картина здесь непростая. Правовая база представляет собой лоскутное одеяло из федеральных правил и правил штата, при этом преобладают законы крупнейшего штата Калифорния.
The Federal View
На момент написания в США не существовало федерального закона о конфиденциальности, хотя предпринимались различные усилия по его созданию. Наиболее близким законом является Закон о переносимости и подотчетности медицинского страхования 1996 года, который применяется к медицинским записям.
Отсутствие федеральных законов делает обработку данных резидентов ЕС в США более рискованной для американских компаний. В GDPR четко изложены требования к обработке данных за границей, и в 2016 году Европейская комиссия и США достигли общего соглашения об экспорте и обработке данных (Privacy Shield).В 2020 году Европейский суд (ECJ) признал это соглашение между ЕС и США недействительным, и в настоящее время обработка данных основывается на юридических договорах. Федеральный закон о конфиденциальности, совместимый с GDPR, упростит обработку данных резидентов ЕС и снизит риск юридических рисков. например, Закон об уведомлении о нарушениях в Массачусетсе, но детали законов варьируются от штата к штату.
Наиболее важным законом штата является Калифорнийский закон о конфиденциальности потребителей (CCPA), который ввел многие, но не все идеи GDPR в законодательство штата США. Вот некоторые из прав, предоставляемых CCPA:
- По запросу компании должны раскрывать, какие личные данные о жителях Калифорнии они хранят и что они с ними делают.
- Предприятия должны удалять данные по запросу и не могут продавать личные данные по запросу.
- Для сбора данных о детях до 13 лет необходимо получить согласие родителей.
Примечательно, что закон распространяется не на все коммерческие предприятия (опять же, большое отличие от GDPR). Для применения закона должно быть выполнено одно или несколько из следующих условий:
- Иметь валовой годовой доход более 25 миллионов долларов США;
- Покупка, получение или продажа личной информации 50 000 или более жителей Калифорнии, домохозяйств или устройств; или
- Получать 50% или более своего годового дохода от продажи личной информации жителей Калифорнии.
В 2020 году избиратели Калифорнии приняли Предложение 24, которое привело к принятию Закона Калифорнии о правах на неприкосновенность частной жизни 2020 года.Это вступит в силу в 2023 году, что добавит больше прав в CCPA. Закон определяет «конфиденциальные» данные так же, как и GDPR, и создает новый регулирующий орган, приближая закон в Калифорнии к GDPR, но ключевые отличия все же есть.
Штат Вашингтон работает над Законом штата Вашингтон о конфиденциальности (WPA), который содержит положения, аналогичные CCPA, но расширяет права в отношении систем распознавания лиц.
Закон в Калифорнии распространяется только на резидентов Калифорнии, но на самом деле большинству фирм слишком сложно иметь разные правила обработки данных о резидентах разных штатов, поэтому самые ограничительные правила распространяются на всех в США.Другими словами, Калифорния устанавливает стандарты.
Будущее
Ситуация с конфиденциальностью данных в Китае, России и США сложна и быстро меняется.