Закон 152 рф: » » 27.07.2006 N 152- ( ) /

Федеральный закон о персональных данных — Российская газета

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 6. Заключительные положения

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент
Российской Федерации
В. Путин

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.

В соответствии со ст. 85.1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года – «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, — М., 1935, с. 326 – 339.) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.

Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».

Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил «Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.

так ли страшен черт, как его малюют? — Офтоп на vc.ru

1 июля 2017 года в силу вступили поправки к закону “О персональных данных” (152-ФЗ). Теперь операторы (так в законе названы государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных) обязаны хранить и обрабатывать личные данные граждан РФ на территории страны, предварительно получив на это согласие субъектов персональных данных.

{«id»:31376,»url»:»https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut»,»title»:»\u0417\u0430\u043a\u043e\u043d \u043e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445: \u0442\u0430\u043a \u043b\u0438 \u0441\u0442\u0440\u0430\u0448\u0435\u043d \u0447\u0435\u0440\u0442, \u043a\u0430\u043a \u0435\u0433\u043e \u043c\u0430\u043b\u044e\u044e\u0442?»,»services»:{«facebook»:{«url»:»https:\/\/www.facebook.com\/sharer\/sharer.php?u=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut»,»short_name»:»FB»,»title»:»Facebook»,»width»:600,»height»:450},»vkontakte»:{«url»:»https:\/\/vk.com\/share.php?url=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut&title=\u0417\u0430\u043a\u043e\u043d \u043e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445: \u0442\u0430\u043a \u043b\u0438 \u0441\u0442\u0440\u0430\u0448\u0435\u043d \u0447\u0435\u0440\u0442, \u043a\u0430\u043a \u0435\u0433\u043e \u043c\u0430\u043b\u044e\u044e\u0442?»,»short_name»:»VK»,»title»:»\u0412\u041a\u043e\u043d\u0442\u0430\u043a\u0442\u0435″,»width»:600,»height»:450},»twitter»:{«url»:»https:\/\/twitter.com\/intent\/tweet?url=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut&text=\u0417\u0430\u043a\u043e\u043d \u043e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445: \u0442\u0430\u043a \u043b\u0438 \u0441\u0442\u0440\u0430\u0448\u0435\u043d \u0447\u0435\u0440\u0442, \u043a\u0430\u043a \u0435\u0433\u043e \u043c\u0430\u043b\u044e\u044e\u0442?»,»short_name»:»TW»,»title»:»Twitter»,»width»:600,»height»:450},»telegram»:{«url»:»tg:\/\/msg_url?url=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut&text=\u0417\u0430\u043a\u043e\u043d \u043e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445: \u0442\u0430\u043a \u043b\u0438 \u0441\u0442\u0440\u0430\u0448\u0435\u043d \u0447\u0435\u0440\u0442, \u043a\u0430\u043a \u0435\u0433\u043e \u043c\u0430\u043b\u044e\u044e\u0442?»,»short_name»:»TG»,»title»:»Telegram»,»width»:600,»height»:450},»odnoklassniki»:{«url»:»http:\/\/connect.ok.ru\/dk?st.cmd=WidgetSharePreview&service=odnoklassniki&st.shareUrl=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut»,»short_name»:»OK»,»title»:»\u041e\u0434\u043d\u043e\u043a\u043b\u0430\u0441\u0441\u043d\u0438\u043a\u0438″,»width»:600,»height»:450},»email»:{«url»:»mailto:?subject=\u0417\u0430\u043a\u043e\u043d \u043e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445: \u0442\u0430\u043a \u043b\u0438 \u0441\u0442\u0440\u0430\u0448\u0435\u043d \u0447\u0435\u0440\u0442, \u043a\u0430\u043a \u0435\u0433\u043e \u043c\u0430\u043b\u044e\u044e\u0442?&body=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut»,»short_name»:»Email»,»title»:»\u041e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u043d\u0430 \u043f\u043e\u0447\u0442\u0443″,»width»:600,»height»:450}},»isFavorited»:false}

11 835 просмотров

Информационный ажиотаж, вызванный вступлением в силу поправок к закону “О персональных данных”, можно сравнить разве что с реакцией на оперативно разработанный и принятый летом 2016 года “пакет Яровой”. С той лишь разницей, что инициативой господина Озерова и госпожи Яровой остались недовольны преимущественно представители ИТ-компаний и операторы связи, вынужденные выделять из бюджета дополнительные средства на реализацию ТЗ. А вот закон “О персональных данных” коснулся огромного количества людей и организаций, взаимодействующих с гражданами России, — компаний, социальных сетей, государственных органов, визовых центров и даже обыкновенных блоггеров. Ведь многие владельцы блогов на том же WordPress даже не догадываются о том, что являются операторами персональных данных. Между тем, получить штрафные санкции за несоблюдение закона они могут уже завтра.

Что считать персональными данными?

Строгого их перечня в российской действительности не существует. Комментировать значение термина представители Минкомсвязи и Роскомнадзора отказываются в силу отсутствия полномочий. Поэтому всем заинтересованным приходится догадываться. Справедливости ради, Минкомсвязь разработало памятку по основным вопросам обработки персональных данных. Не сказать, что она вносит ясность в ситуацию, зато по ссылке любой желающий может задать экспертам уточняющий вопрос.

В “допоправочную” эпоху персональными данными признавались фамилия, имя, отчество, номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора — в различных комбинациях, но не по отдельности.

Олег Ефимов, управляющий партнер правового партнерства “Ефимов и партнеры”, который консультировал ATLEX по практической стороне вопроса, уточнил, что достаточно сочетания имени и адреса электронной почты, чтобы Роскомнадзор признал указанные данные персональными.

Помимо прочего, к персональным данным относятся и специфические сведения, вроде информации об отпечатках пальцев, геноме человека или его здоровье.

Можно ли хранить и обрабатывать персональные данные за границей?

Новость о том, что теперь наши персональные данные должны храниться и обрабатываться внутри страны вызвала у моих коллег пару панических атак. Не менее взволнованы представители российского бизнеса, которые хостятся за рубежом. Для них размещение серверов за границей — вопрос принципиальный. Ведь иностранные хостинг-услуги зачастую дешевле отечественных, а релокация в ряде случаев может обеспечить непрерывность бизнес-процессов.

Так, перенос серверов за границу избавляет российские компании от возможных административных атак. Например, если на вашу компанию поступила жалоба (в том числе и необоснованная) о том, что на вашем сервере хранится запрещенная в РФ информация, то правоохранители должны и могут изъять оборудование из коммерческого дата-центра на экспертизу. В этой ситуации они могут навестить хостера без предупреждения (постановление суда им не требуется). Внеплановые проверки могут затянуться на несколько месяцев. Если нарушений не будет выявлено, оборудование вернут, но бизнес понесет серьезные финансовые и репутационные убытки.

Европейское (в частности чешское) законодательство более лояльно относится к хостерам и их клиентам. Оборудование провайдер выдаст исключительно по решению чешского суда — в том числе и по запросу российских правоохранительных органов.

Кроме того, многие российские компании арендуют у зарубежных хостинг-провайдеров вычислительные мощности под сервис восстановления данных после сбоев (Disaster Recovery). В случае выхода из строя основной площадки он позволяет восстановить функционирование ИТ-системы за пределами страны.

Можно, но осторожно

Если персональные данные россиян должны обрабатываться на родине, значит ли это, что оборудование нужно вернуть в Россию?

Этот вопрос Олег Ефимов прокомментировал так: “Закон “О персональных данных” обязывает размещать на территории страны основную, наиболее полную и актуальную базу персональных данных. За границей же можно держать ее копии или части. Причем разрешено (а точнее — не запрещено) как хранить, так и обрабатывать персональные данные россиян в дочерних базах — с тем лишь условием, что использоваться они будут в тех же целях, что и в основной базе данных”.

Таким образом, нет необходимости возвращать все оборудование в Россию. Достаточно размещения нескольких серверов в коммерческом дата-центре под основную базу персональных данных. В результате клиент получает географически распределенные ИТ-площадки, которые можно синхронизировать.

Отдельно стоит сказать об иностранных компаниях, которые работают на российском рынке. Для соблюдения закона им тоже придется разместить серверы на территории нашей страны. В противном случае их ждет судьба социальной сети LinkedIn.

Самоидентификация: как понять, что вы — оператор персональных данных

Вернемся к вопросу о получении согласия субъектов на обработку их персональных данных.

Прежде, чем оператор начнет производить с данными какие-либо действия, он должен получить согласие субъекта. Речь идет о сборе, использовании, обезличивании, блокировании, удалении и уничтожении данных.

Казалось бы, это требование соблюсти гораздо проще, чем перенести базы данных на территорию России. Однако здесь есть другая проблема: не каждый оператор персональных данных (а тем более, если он — физическое лицо) понимает и знает, что он является оператором. Но, как известно, незнание не освобождает от ответственности.

Если у вас есть сайт с формой регистрации или, скажем, обратной связи, — вы являетесь оператором персональных данных. А значит, вам необходимо подготовить документ (пользовательское соглашение, согласие на обработку персональных данных, договор, политику конфиденциальности — название не имеет значения), в котором будут прописаны условия обработки персональных данных пользователей (кто вы, какие данные и зачем собираете, как будете их обрабатывать и т.д.). Этот документ следует опубликовать на сайте в свободном доступе. После этого под каждой формой сбора персональных данных надо разместить поле, в котором посетитель сайта сможет оставить свое согласие.

Если вы — обычный пользователь, ведете в сети личный блог, где читатели могут зарегистрироваться (то есть оставить свои личные данные) и комментировать посты, то, с большой долей вероятности, вы — оператор персональных данных.

Не умеешь — научим, не хочешь — заставим

Подведем итоги. Поправки в силу вступили. Но трагедии не произошло. Хоть закон и обязывает хранить и обрабатывать основную базу персональных данных наших граждан на территории России, выносить отдельные части и копии за рубеж — можно. А значит, повода для паники нет: российский бизнес, который хостится за границей, может продолжать сотрудничать с иностранными провайдерами.

Для того, чтобы получить согласие на обработку персональных данных, достаточно разового общения с квалифицированными юристами и составления соответствующего документа. На мой взгляд, задача вполне выполнимая.

Не стоит забывать и то, что закон “О персональных данных“ призван в первую очередь защищать права физических лиц, то есть — нас с вами.

Принятие поправок также показало: необходимо повышать общий уровень цифровой грамотности пользователей. Например, с помощью таких ликбезов.

Соседи тоже стараются

В мае будущего года в силу вступает европейский регламент, регулирующий обработку персональных данных. Документ более четко, нежели российский аналог, прописывает, что такое персональные данные: “имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица”.

Кроме того, в европейском законодательстве прописаны схожие с российскими нормы обработки персональных данных, которые касаются вероисповедания, интимной жизни, политических взглядов и проч. — работать с ними разрешается только с отдельного согласия субъекта.

что нового в 2017 году.

Выбрать журналАктуальные вопросы бухгалтерского учета и налогообложенияАктуальные вопросы бухгалтерского учета и налогообложения: учет в сельском хозяйствеБухгалтер Крыма: учет в унитарных предприятияхБухгалтер Крыма: учет в сельском хозяйствеБухгалтер КрымаАптека: бухгалтерский учет и налогообложениеЖилищно-коммунальное хозяйство: бухгалтерский учет и налогообложениеНалог на прибыльНДС: проблемы и решенияОплата труда: бухгалтерский учет и налогообложениеСтроительство: акты и комментарии для бухгалтераСтроительство: бухгалтерский учет и налогообложениеТуристические и гостиничные услуги: бухгалтерский учет и налогообложениеУпрощенная система налогообложения: бухгалтерский учет и налогообложениеУслуги связи: бухгалтерский учет и налогообложениеОплата труда в государственном (муниципальном) учреждении: бухгалтерский учет и налогообложениеАвтономные учреждения: акты и комментарии для бухгалтераАвтономные учреждения: бухгалтерский учет и налогообложениеБюджетные организации: акты и комментарии для бухгалтераБюджетные организации: бухгалтерский учет и налогообложениеКазенные учреждения: акты и комментарии для бухгалтераКазенные учреждения: бухгалтерский учет и налогообложениеОплата труда в государственном (муниципальном) учреждении: акты и комментарии для бухгалтераОтдел кадров государственного (муниципального) учрежденияРазъяснения органов исполнительной власти по ведению финансово-хозяйственной деятельности в бюджетной сфереРевизии и проверки финансово-хозяйственной деятельности государственных (муниципальных) учрежденийРуководитель автономного учрежденияРуководитель бюджетной организацииСиловые министерства и ведомства: бухгалтерский учет и налогообложениеУчреждения здравоохранения: бухгалтерский учет и налогообложениеУчреждения культуры и искусства: бухгалтерский учет и налогообложениеУчреждения образования: бухгалтерский учет и налогообложениеУчреждения физической культуры и спорта: бухгалтерский учет и налогообложение

20192020

НомерЛюбой

Электронная версия

Законопроектная деятельность — Правительство России

Распоряжение от 29 июня 2019 года №1396-р. Законопроектом предлагается сведения, которые характеризуют генетические особенности человека, отнести к персональным данным, в отношении которых установлена дополнительная защита. Цель – обеспечить соблюдение конституционных прав граждан в сфере отношений, связанных с обработкой биометрических персональных данных.

Документ

• Распоряжение от 29 июня 2019 года №1396-р

Проект федерального закона «О внесении изменений в статью 11 Федерального закона “О персональных данных” в части обработки биометрических персональных данных» (далее – законопроект) внесён Роспотребнадзором.

Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» регулируются вопросы защиты информации физических лиц как субъектов персональных данных, определяется общий запрет на обработку отдельных категорий персональных данных без согласия на это субъекта персональных данных. В настоящее время в законодательстве имеется пробел в части защиты информации о человеке, полученной из его биоматериала, который содержит генетическую информацию, позволяющую получить о нём дополнительные сведения (о состоянии здоровья, образе жизни, поведенческих особенностях, чувствительности к фармакологическим препаратам или аллергенам и других индивидуальных характеристиках).

В целях устранения этого пробела законопроектом предлагается сведения, которые характеризуют генетические особенности человека, отнести к персональным данным, в отношении которых установлена дополнительная защита.

Цель – обеспечить соблюдение конституционных прав граждан в сфере отношений, связанных с обработкой персональных данных, содержащих информацию о генетических особенностях человека.

Законопроект рассмотрен и одобрен на заседании Правительства Российской Федерации 27 июня 2019 года.

Федеральный закон РФ № 152 “О защите персональных данных”. В чем подвох?

Федеральный закон РФ № 152 “О защите персональных данных”

Прошу Вас внимательно прочитать данную статью! Краткая выжимка…

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Статья 10.
Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных – мы каждый раз даем свое согласие когда подписываем этот документ;
2) персональные данные являются общедоступными;

Статья 11.
Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Статья 3Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.Не кажется ли Вам, что в дальнейшем мы можем оказаться узниками электронного концлагеря, что люди станут изгоями, перед которыми могут быть закрыты ВСЕ ДВЕРИ. Допустим из за блокировки банковской карты – Вы не сможете приобрести жизненно важные товары. Потому что согласие на обработку Персональных данных – требуют в данное время практически везде (больницы, банки, страховые и даже при устройстве на работу,- хотя это не является обязательным документом согласно трудового кодекса)Спрашивается ? – Для чего все это ??????!!!

https://moskvichev.site/

152-ФЗ — Статья 11 — Биометрические персональные данные

1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

Положения статьи 11 закона №152-ФЗ используются в следующих статьях:

• Статья 6 Условия обработки персональных данных

  2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона. Открыть статью

• Статья 9 Согласие субъекта персональных данных на обработку его персональных данных

  2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. Открыть статью

Справочник для иностранных компаний в России

Ольга Ермакова Старший специалист по юридическим вопросам и комплаенсу Linxdatacenter

Российский рынок имеет большой потенциал для иностранных компаний. Но из-за мифов о рынке и неточного представления о связанных с этим рисках они часто не решаются развивать здесь свой бизнес. В частности, они считают соблюдение местного законодательства о персональных данных — вызов для любого бизнеса, заботящегося о репутации и будущем росте — сложным и дорогостоящим.

Для иностранных компаний, работающих или планирующих свою деятельность в России, эта статья предлагает краткое руководство по соблюдению правил защиты персональных данных в России. Мы надеемся, что это устранит некоторые опасения по поводу обработки данных в России и поможет предприятиям начать жить в соответствии с Федеральным законом № 152, который является основой закона о защите данных в этой стране.

Немного предыстории

В дополнение к стандартным решениям для колокации почти все коммерческие центры обработки данных предлагают своим клиентам широкие возможности подключения.Когда компания размещает свою ИТ-инфраструктуру в центре обработки данных, она может получить доступ к ИТ-услугам от нескольких операторов по всему миру. Синхронизация многих систем различных технологий и стандартов уже сложна. Обеспечение правовой гармонии добавляет еще один уровень сложности.

Хотя цифровой бизнес давно начал трансгранично и количество компаний, работающих в глобальном масштабе, продолжает расти, мир еще не стал глобальной деревней. Во многом это связано с различиями в местном законодательстве.Защита персональных данных — это область, в которой существенные различия требуют пристального внимания со стороны внешних компаний, выходящих на российский рынок.

Федеральный закон № 152 (ФЗ-152), различные постановления правительства России и постановления регулирующих органов регулируют обработку персональных данных граждан России. В Европейском союзе аналогичную роль играют Общие правила защиты данных (GDPR) и местные законы стран-членов.

Мы прогнозируем, что унификация российского закона FL-152 и европейского GDPR (и, в конечном итоге, аналогичного законодательства в других регионах мира) является лишь вопросом времени.У них уже есть некоторые сходства, но также и важные различия, связанные с путями развития законодательства и практики.

Проверки гарантируют, что компании соблюдают правила.С 2019 года политика Роскомнадзора (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) по проверке включает:

• Компании, работающие с особыми категориями данных (например, биометрия), и операторы, передающие данные иностранным государствам, компаниям и гражданам, могут проверяться каждые два года.

Иностранная компания, осуществляющая сбор данных о гражданах России на территории Российской Федерации (РФ), имеет два способа обеспечить защиту данных в соответствии с законодательством:

Сценарий №1: Иностранная компания регистрируется как дочерняя компания, филиал или представительство в России.

Единственная проблема — техническая поддержка защиты персональных данных: инфраструктура и средства шифрования.Компания должна назначить специалиста по информационной безопасности, который обеспечит техническое соответствие инфраструктуры директиве FL-152.

Этот специалист должен иметь подготовку и опыт применения определенных инструкций Федеральной службы по техническому и экспортному контролю России (ФСТЭК) и Федеральной службы безопасности России (ФСБ).

Поскольку компания, только выходящая на российский рынок, вряд ли будет обладать таким опытом, ей может потребоваться помощь извне.Местные провайдеры предлагают услугу «под ключ» по стандарту FL-152 и создают защищенные зоны для обработки персональных данных в собственной инфраструктуре.

Требуется наличие локальной инфраструктуры для обработки персональных данных граждан России. Это критически важно для любой иностранной компании, обрабатывающей персональные данные в России. Несоблюдение этого правила представляет серьезный риск.

Сценарий №2: Иностранная компания не имеет зарегистрированного представительства в России, но обрабатывает персональные данные граждан России.

В этой ситуации очень маловероятно, что Роскомнадзор будет проверять бизнес-процессы компании, но он может запросить местоположение ее ИТ-инфраструктуры и ее политику в отношении обработки данных. Компания должна быть готова предоставить регулирующему органу ответы и сопутствующие документы по запросу.

Даже если они физически не присутствуют в стране, компании, ведущие бизнес в России, не должны игнорировать требования российского законодательства. Неудачная проверка приведет к тому, что власти заблокируют российским пользователям доступ к цифровым ресурсам и сервисам компании.Это может оказать сильное влияние на бизнес. Наказания за нарушение тоже неприятны, и репутация компании может пострадать, потому что подобные истории всегда появляются в средствах массовой информации.

Как выглядит поддержка FL-152?

Итак, что происходит, когда иностранная компания, нуждающаяся в помощи в соблюдении требований FL-152, обращается за помощью к российскому поставщику услуг?

Первый шаг — решить, нужна ли компании полная услуга соответствия FL-152: полный набор организационных мер.Это будет включать анализ бизнес-процессов, подготовку внутренней документации, обучение персонала и т. Д. Предлагаемая здесь услуга представляет собой индивидуальный проект, отвечающий конкретным потребностям бизнеса клиента.

Компания должна детально определить каждый этап проекта защиты персональных данных, особенно первый этап — аудит. Здесь он закладывает основу для эффективного будущего решения и распределяет роли людей, которые будут нести ответственность за его разработку и поддержку.

В дальнейшем компания должна обеспечить непрерывность обработки персональных данных в рамках своих бизнес-процессов. Любые изменения в этих процессах, в том числе в протоколах безопасности, системе доступа, структуре персонала и программном обеспечении, должны включать обновление соответствующих политик, процессов, архитектуры, моделей угроз и т. Д.Об этом жизненно важно помнить.

При запуске иностранная компания может избежать внеплановых, неожиданных проверок Роскомнадзора, четко и публично разместив свою политику в отношении персональных данных на русском и английском языках на своем веб-сайте. Эти программные заявления должны содержать подробное описание всех сценариев обработки данных: данные граждан ЕС, обработанные в соответствии с GDPR, данные граждан РФ, обработанные в соответствии с FL-152, и т. Д.

Если проверка неизбежна, важно помнить это: по всей видимости, это будет делать только Роскомнадзор, а внимание регулятора будет сосредоточено в основном на бизнес-процессах и их документации («документальная проверка»).Регулятора также будет интересовать расположение инфраструктуры в РФ и ее соответствие закону.

Теоретически у ФСБ и ФСТЭК могут возникнуть вопросы по техническим деталям обработки персональных данных и системам безопасности, но это маловероятно. Даже если они это сделают, нет причин для беспокойства, потому что провайдеры создают подробное и прозрачное описание окончательной архитектуры ИТ-инфраструктуры (включая документы, схемы, сертификаты).

Поставщики услуг предоставляют свои услуги в строгом соответствии со своими лицензиями. В противном случае они рискуют привлечь внимание контролирующих органов к своим собственным процессам.

Преимущества FL-152 перед GDPR?

FL-152 гласит: «Выполните эти требования, выполнив эти конкретные действия». GDPR гласит: «Добейтесь этого результата» (защита прав физических лиц на их персональные данные).

С одной стороны, европейский подход дает компании больше свободы. С другой стороны, отсутствие четкого пошагового руководства увеличивает ответственность компании и ее риск неудачи.

На наш взгляд, обеспечить соблюдение требований FL-152 проще: мы рассматриваем законы, указы и инструкции как инструментарий или шаблон, который компания может использовать для обеспечения соблюдения.

GDPR не предлагает такого набора. Ключевым моментом является конечная цель: защита прав человека. Влияние политики компании на эти права показывает эффективность ее подхода, и инспектор решает, соответствует ли компания требованиям.

Итак, подход GDPR намного сложнее. Без шаблонов требуется больше усилий и более глубокое понимание задач и процессов для обеспечения соответствия.

Штрафы за нарушение в России увеличились, но остаются ниже, чем в Европе: GDPR требует гораздо более строгого наказания за потенциальную утечку персональных данных.Взгляните, например, на оператора веб-сайта юридических новостей, который был оштрафован на 15 000 евро за то, что его заявление о конфиденциальности было доступно только на английском языке, хотя оно также адресовано голландской и франкоязычной аудитории. Что еще хуже, первую версию заявления о конфиденциальности было нелегко найти, и в ней не упоминалась правовая основа для обработки данных в соответствии с GDPR.

В другом примере регулирующий орган оштрафовал немецкую компанию Deutsche Wohnen SE на 14,5 миллионов евро за архивирование личных данных клиентов без их разрешения и за отказ предоставить возможность удалить данные, которые больше не нужны.

GDPR и FL-152 в будущем

Конечно, нам, возможно, придется вернуться к этому обсуждению. Нормы GDPR могут еще стать частью законодательства РФ, поскольку Россия присоединяется к обновленной Конвенции Совета Европы о защите частных лиц в отношении автоматической обработки персональных данных. * Эта конвенция является основным международным соглашением о защите персональных данных и основой местного законодательства. в этом районе. Обновленная версия включает подход GDPR. Мы ожидаем, что со временем он приблизит FL-152 к европейским нормам.

Мы надеемся, что российские предприятия наблюдают за изменениями в обработке данных во всем мире и видят области для улучшения своих собственных процессов.

Заключение

Соблюдение российского закона о персональных данных требует тщательного изучения и подготовки, но это достижимая цель. Ожидания российских властей понятны и разумны.

Тем не менее, их удовлетворение требует усилий и опыта. Для компании, стремящейся эффективно использовать свое время и финансовые ресурсы, лучший подход — найти надежного местного партнера, обладающего опытом в этой области.

* Обновлено протоколом CETS № 223 от 18 мая 2018 г., за неделю до вступления в силу GDPR.

Ольга Ермакова — старший специалист по юридическим вопросам и комплаенс в Linxdatacenter. Ее опыт работы более 15 лет включает обширную юридическую практику в области консалтинга и ИТ-решений. Выпускница юридического факультета Санкт-Петербургского государственного университета, она имеет сертификат GDPR Data Privacy Professional (GDPR DPP) и сертификат соответствия ICA.

Профессиональные достижения Ольги в Linxdatacenter включают участие в создании системы защиты персональных данных, поддержку процесса лицензирования информационной безопасности (ФСТЭК, ФСБ), обучение персонала обработке персональных данных и построение системы комплаенс-менеджмента.

Россия одобрила повышенные штрафы за нарушение требований к обработке данных | Морган Льюис

Госдума одобрила проект изменений в Кодекс Российской Федерации об административных правонарушениях, которые значительно увеличивают денежные штрафы за нарушение законодательства Российской Федерации о неприкосновенности частной жизни.

10 февраля 2021 года Государственная Дума РФ приняла в третьем чтении законопроект [1] (Законопроект), который предлагает ужесточить штрафные санкции за нарушение правил обработки персональных данных в России, установленных Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г. (Закон о ПД).

Законопроект предлагает внести поправки в статью 13.11 Кодекса об административных правонарушениях, которая устанавливает административную ответственность в сфере конфиденциальности, следующим образом: (а) значительно увеличить размер государственных штрафов за несоблюдение требований ПД. Закон; и (б) ввести новые виды ответственности за повторные правонарушения.

Арт. 13,11	Вид нарушения [1]	Действующая сумма государственного штрафа (в долларах США [2])	Вновь предложенный размер государственного штрафа (в долларах США 3 )
Часть 1	Обработка персональных данных без надлежащих правовых оснований или несовместимая с целями сбора данных	40 5 — 675	815 — 1,355
Часть 1.1 (новый)	Повторное правонарушение, предусмотренное частью 1 статьи 13.11	н / д	1,355 — 4,065
Часть 2	Обработка персональных данных без письменного согласия субъекта данных (если такое согласие требуется) или несоблюдение требований к содержанию таких письменных согласий	205 — 1015	405 — 2,030
Часть 2.1 (новый)	Повторное правонарушение, предусмотренное частью 2 статьи 13.11	н / д	4 065 — 6 770
Часть 3	Неспособность опубликовать (или иным образом предоставить доступ) политику конфиденциальности и другую информацию об обработке данных	205-405	40 5 — 815
Часть 4	Несообщение субъекту данных об обработке его персональных данных	270-540	540 — 1,085
Часть 5	Невыполнение запроса субъекта данных об изменении, блокировании или уничтожении его / ее личных данных	340 — 610	680 — 1,215
Часть 5.1 (новый)	Повторное правонарушение, предусмотренное частью 5 статьи 13.11	н / д	4 065 — 6 770
Часть 6	Необеспечение защиты и конфиденциальности физических носителей, содержащих персональные данные	340 — 675	675 — 1,355

Практикующие юристы ожидали, что Законопроект положит решительный конец длительным дискуссиям о том, можно ли умножить сумму государственных штрафов на количество нарушений, допущенных компанией.Другими словами, если нарушение прав на неприкосновенность частной жизни 20 субъектов данных будет означать, что сумма государственного штрафа будет умножена на 20. Вопреки ожиданиям, Законопроект об этом ничего не говорит. Как и прежде, механизм применения новых штрафов будет зависеть от правоприменительной практики Росатома (Роскомнадзор).

Примечательно, что Законопроект не предлагает изменять штрафы за нарушение так называемого «требования локализации». Штрафы по частям 8 и 9 статьи 13.11 остаются нетронутыми. Напомним, что несоблюдение требования о локализации может повлечь за собой штраф в размере до 81 000 долларов США за первое нарушение и примерно до 244 000 долларов США за второе нарушение.

Кроме того, в отличие от действующей редакции Кодекса об административных правонарушениях, которая позволяет Роскомнадзору в определенных случаях выносить так называемое «предупреждение за нарушения», чтобы дать компании время исправить нарушение, в Законопроекте предлагается ужесточить ответственность и позволить властям только налагать штрафы, а не выносить предупреждения.

Чтобы свести к минимуму риск штрафных санкций, любая организация, работающая в России или с персональными данными российских граждан (имеющая юридическое присутствие в России или нет), должна гарантировать, что во время обработки данных всегда существуют действительные правовые основания для обработки таких данных. (включая согласие субъектов данных в письменной форме, если этого требует Закон о ПД) и что все действия по обработке данных должным образом формализованы, как того требует Закон о ПД (включая любые трансграничные передачи данных). Пожалуйста, обратитесь к одной из наших недавних публикаций, в которых обсуждаются требования по защите данных , здесь.

СРОК ОГРАНИЧЕНИЯ

Законопроектом также предлагается увеличить срок давности за нарушения Закона о ПД до одного года с даты нарушения. Примечательно, что большинство нарушений требований к обработке персональных данных являются так называемыми «продолжающимися правонарушениями», что означает, что срок давности исчисляется с даты обнаружения нарушения.

ДАТА ДЕЙСТВИЯ

Для вступления в силу законопроект должен быть одобрен Советом Федерации, верхней палатой российского парламента, затем подписан президентом России и официально опубликован.Предлагается вступить в силу через 30 дней после официального опубликования.

Важно отметить, что помимо административной ответственности согласно Кодексу об административных правонарушениях, который был изменен Законопроектом, нарушение Закона о ПД в определенных случаях может также повлечь за собой гражданскую или даже уголовную ответственность по российскому законодательству.

Юрист-стажер Алена Нескоромюк внесла свой вклад в создание этого LawFlash.

[1] Законопроект « О внесении изменений в Кодекс Российской Федерации об административных правонарушениях. ”

[2] Для удобства мы отразили штрафы, применимые только к юридическим лицам. Также на должностных лиц компании налагаются отдельные государственные штрафы.

[3] Рассчитано по курсу EX на 11.02.2021 г.

[Просмотр исходного кода.]

Смотри, но не трогай — Россия ограничивает обработку общедоступных данных — Конфиденциальность

Эта статья была впервые опубликована в IAPP Privacy Advisor.

С 1 марта 2021 г. в России будут введены ограничения на обработка персональных данных, общедоступных в Интернете, и не в сети.Законодательные изменения направлены на борьбу с бесконтрольное распространение личной информации.

Изменение правовой основы

В соответствии с действующей статьей 6 (1) (10) Федерального закона «О Персональные данные »№152- ?? от 27.07.2006, любые данные оператор (русский эквивалент термина «контролер») может обрабатывать персональные данные, если субъект данных сделал это публично доступным или проинструктировал другое лицо сделать это. По сравнению с Статья 6 (1) Общего регламента ЕС по защите данных, есть нет необходимости обосновывать обработку законными интересами, выполнение контракта, согласия субъекта данных или других общеправовые основы.Когда »Внесены изменения в Федеральный закон о Персональные данные »№519- ?? от 30 декабря 2020 г. действие, это правило и термин общедоступные данные будут пропадать.

Поправки вводят новый термин «персональные данные разрешено к распространению субъектом данных «, и определите это как личные данные, доступ к которым предоставляется общественности субъект данных, дающий свое согласие на обработку этого данные. Проще говоря, согласие субъекта данных станет единственное законное основание, согласно которому личные данные могут быть размещены в общедоступных источниках и впоследствии используются любыми заинтересованный оператор данных.

Согласно пояснительной записке к изменениям, их цель — предотвратить «сбор и неконтролируемое использование такие личные данные на веб-сайтах для целей, отличных от первоначальная цель, для которой он был распространен «. Однако правовой текст поправок не исключает их применения к офлайн-публикации данных (например, указание профессиональных биографий в печатные маркетинговые бюллетени).

Составление согласия субъекта данных

Согласно изменениям, согласие на обработку персональных данных разрешено к распространению субъектом данных, должно быть задокументировано отдельно от других форм согласия, если оператор данных запрашивает несколько согласий одновременно.Согласие должно быть составлено таким образом что субъекты данных могут:

Четко выражают готовность предоставить личные данные общественные.

• Выберите конкретные категории данных для распространение.
• Ограничить методы распространения, кроме предоставления доступа к данным.
• Установить условия и запреты для обработка распространенных данных операторами данных, имеющими доступ такие данные в открытых источниках.

Указанные ограничения, условия и запреты не применяются. к обработке данных в государственных и иных общественных интересах.

Роскомнадзор, российский орган по защите данных, имеет разработали более конкретные требования к содержанию согласия, но они еще не приняты.

Получение согласия субъекта данных

Субъект данных может либо лично дать согласие на оператор данных, стремящийся распространить или отправить личные данные через специальную ИТ-систему Роскомнадзора. Пока неясно как будет работать ИТ-система. Роскомнадзор должен внести это в операция 1 июля 2021 г.

Согласно новой статье 10.1 (10) Закона о персональных данных, данные оператор должен публиковать ограничения, условия и запреты указанные в согласии в течение трех рабочих дней с момента получения Это. Поправки не уточняют, как должна выглядеть публикация. лайк и нужно ли ставить его рядом с опубликованными данными (например, на той же странице). Операторы данных, имеющие публичный доступ к личным данным источники должны искать указанные ограничения, условия и запреты и соблюдайте их.Они несут бремя доказательства того, что они законно обрабатывать данные.

Информирование субъектов данных

В отличие от статьи 14 GDPR, текущая редакция Статья 18 (4) (3) Закона о персональных данных не требует, чтобы данные операторы информируют субъектов данных об обработке их данных из общедоступные источники. После вступления поправок в силу операторы данных будут освобождены от этой обязанности только в том случае, если они будут подчиняться условия и запреты на обработку распространяемых данных определяется в согласии.

Прекращение распространения данных

Поправки устанавливают право субъекта данных на отзыв согласие в любое время и с немедленным вступлением в силу путем направления уведомления оператору данных без объяснения причин. В этой ситуации Оператор данных может продолжить обработку, за исключением раскрытия данных категории, указанные в уведомлении. Поправки не объясняют кому субъекты данных могут адресовать свои уведомления — к данным оператор, впервые опубликовавший данные, последующие операторы или все они.

Кроме того, новая статья 10.1 (14) Закона о персональных данных заявляет, что субъекты данных могут связываться с любым, кто обрабатывает их данных и запретить им распространение, передачу, предоставление и доступ к их данным или даже подать в суд на такой запрет в в случае нарушения требований законодательства, введенных поправки. Оператор данных, получивший запрещающее уведомление должен прекратить эти действия в течение трех рабочих дней. Юридическая текст не дает никаких подсказок о принципиальной разнице между этим процедура и упомянутый отзыв согласия.Вероятный случай закон сделает его более ответственным.

Что делать?

Новые правила касаются онлайн-бизнеса, особенно больших данных компании и социальные сети, рекрутеры, собирающие резюме в Интернете, компании размещают биографии и профили своих сотрудников на корпоративные сайты, маркетинговые агентства и другие предприятия распространение личных данных или использование любых общедоступных источников. Это таким компаниям представляется разумным поступить следующим образом:

• Аудит их перерабатывающей деятельности связанных с общедоступными данными, включая операции с их корпоративные сайты.
• Проект новых шаблонов согласия, когда Роскомнадзор утверждает требования к их содержанию.
• Сопроводить все публикации персональные данные с описанием условий обработки, ограничения и запреты, указанные в соответствующих согласие.
• Приказать сотрудникам соблюдать условия обработки, ограничения и запреты, если они используют личные данные из открытых источников.
• Обновить ответ субъекта данных процедуры с акцентом на поправки.
• Обновите другие процедуры конфиденциальности и документы, если в них упоминается обработка общедоступных данные основаны на устаревшем законодательстве.
• Подать обновленное уведомление о личных данных с Роскомнадзором, если в предыдущем уведомлении упоминалась обработка общедоступных данных.
• Продолжать мониторинг Роскомнадзора обновления новой ИТ-системы для обработки согласий и ожидайте развертывание около 1 июля 2021 года.

Данная статья предназначена для ознакомления руководство по предмету. Следует обратиться за консультацией к специалисту. о ваших конкретных обстоятельствах.

Повышенные штрафы за нарушение Закона о локализации в РФ

13 июня 2019 года в ВУЗ был внесен законопроект ^[1] об увеличении штрафов за нарушение Федерального закона № 242-ФЗ ^[2] (Закон о локализации данных). Государственная Дума (т.е. . , нижняя палата Федерального Собрания).После принятия законопроектов максимальный штраф для юридических лиц в соответствии с Законом о локализации данных составит 6 миллионов рублей (около 82 190 евро). Законопроект также предусматривает усиление санкций за неоднократные нарушения этого законодательства — максимальный штраф составляет 18 миллионов рублей (около 247 тысяч евро).

Цель законопроекта — побудить иностранные компании соблюдать российское законодательство о защите данных. Поэтому компаниям, ведущим бизнес в России, важно оценить соблюдение ими этого законодательства, чтобы снизить риск увеличения штрафов.

I. Объем обязательств по локализации данных

Сбор и использование персональных данных в России в основном регулируется Федеральным законом № 152-ФЗ ^[3] (Закон о персональных данных). В сентябре 2015 года этот закон был существенно изменен Законом о локализации данных. Он ввел новую обязанность для контроллеров данных при сборе персональных данных граждан России в режиме онлайн или офлайн: « записывать, систематизировать, накапливать, хранить, обновлять, изменять и извлекать такие данные в базе данных, расположенной на территории Российской Федерации. ” ^[4]

Закон о локализации данных в первую очередь применяется к операторам, зарегистрированным в России в контексте этого учреждения. В своем официальном руководстве, ^[5] российский орган по защите данных (Роскомнадзор) подтвердил, что этот закон также применим к любому оператору данных, учрежденному за пределами России, но ведущему свою деятельность с использованием веб-сайта «, нацеленного на территорию России. . »В соответствии с инструкциями, веб-сайт считается« , направленным на территорию России », если у него есть доменное имя, связанное с Россией (например,g., ru, su, Moscow) и / или русскоязычная версия сайта содержит одну из следующих функций:

• Возможность оплаты в рублях
• Возможность выполнения контракта на территории России (например, . , предоставление согласованных услуг в России)
• Реклама в России
• Другие признаки, указывающие на намерение оператора выйти на российский рынок

Операторы, которые удовлетворяют вышеуказанным условиям, должны гарантировать, что собираемые ими персональные данные о гражданах России должны обрабатываться через базы данных, расположенные в России.Требование локализации данных не распространяется на персональные данные граждан России, собранные за пределами России, если оператор не нацелен на российский рынок (например, данные граждан России, проживающих за пределами России).

Есть пять исключений из обязательства по локализации данных, например, при обработке:

• Требуется для достижения целей международного договора или по закону, или для целей соблюдения обязательств, возложенных на контролера данных российским законодательством
• Относится к участию субъекта данных в любом судебном разбирательстве, включая арбитраж.
• В целях правоприменения
• Выполняется государственными органами, оказывающими общественные услуги
• Осуществляется средствами массовой информации или журналистом в ходе своей профессиональной или научной или иной творческой деятельности, если права и законные интересы субъектов данных не нарушаются ^[6]

II.Не влияет на правила трансграничной передачи данных

Закон о локализации данных не внес поправок в правила трансграничной передачи данных. Действительно, Роскомнадзор подтвердил, что Закон о локализации данных предусматривает только то, что база данных, в которой изначально записываются персональные данные, должна находиться в России. Однако информация из такой базы данных может быть позже перенесена в базы данных, расположенные за пределами России, в соответствии с положениями Закона о персональных данных о трансграничных переводах. ^[7]

Закон «О персональных данных» разрешает передачу персональных данных в юрисдикцию с надлежащей защитой при соблюдении других положений этого закона и любых ограничений российской конституционной системы. Государства, являющиеся участниками Конвенции № 109 ^[8] Совета Европы, считаются обеспечивающими адекватный уровень защиты, а также те государства, которые были специально названы Роскомнадзором как обеспечивающие этот уровень защиты.

Передача персональных данных в другие юрисдикции возможна только в следующих ситуациях:

• С предварительного письменного согласия субъекта данных
• По международному договору
• В соответствии с федеральным законом и если это требуется для обеспечения обороны и безопасности государства или защиты конституционного строя Российской Федерации
• Для обеспечения безопасности транспортной системы
• В контексте исполнения договора с субъектом данных
• Для защиты жизни, здоровья или других жизненно важных интересов субъекта данных или других лиц, когда невозможно получить согласие субъекта данных

Следует отметить, что хотя российское законодательство не требует предварительного уведомления Роскомнадзора о трансграничной передаче данных, такое уведомление требуется до первой обработки персональных данных, ^[9] , если оператор данных не подлежит освобождение.Это исключение применяется, если данные:

• Обработано для трудоустройства
• Получено в связи с договором без дальнейшей передачи таких персональных данных третьим лицам
• Связано с обработкой общественного объединения или религиозной организации
• Обнародовано субъектом данных
• Ограничено фамилией, именем и отчеством субъекта данных
• Необходимо для обеспечения единовременного доступа субъекта данных к помещениям контролера
• Часть информационных систем персональных данных, отнесенных к государственным автоматизированным информационным системам или созданных для обеспечения общественного порядка
• Обработано без использования автоматизированного оборудования
• Обработано в соответствии с требованиями законодательства, касающимися безопасности транспортной системы

Это уведомление должно содержать информацию о возможной трансграничной передаче личных данных, а также о локализации базы данных.

III. Текущие санкции за нарушение обязательств по локализации данных

В настоящее время не существует конкретных штрафов за несоблюдение обязательства по локализации данных. Кодекс РФ об административных правонарушениях предусматривает наказание « за непредставление или несвоевременное представление данных (информации) в государственный орган ». ^[10] Размер штрафа может достигать 5 000 рублей (около 70 евро). ^[11] Такие штрафы вряд ли можно считать эффективными, особенно по сравнению с теми, которые предусмотрены Общим регламентом о защите данных ^[12] и размером компаний, таких как Facebook.

Таким образом, единственным риском несоблюдения обязательства по локализации данных для иностранных компаний является право Роскомнадзора потребовать судебного постановления о блокировании доступа к веб-сайту, через который соответствующий оператор данных обрабатывает персональные данные в нарушение российского законодательства о защите данных. В ноябре 2016 года Роскомнадзор использовал это право, приказав крупным российским интернет-провайдерам заблокировать доступ к LinkedIn за нарушение Закона о локализации данных № ^[13] ; LinkedIn по-прежнему не работает в России.

Усиление санкций за нарушение обязательства по локализации данных, вероятно, побудит иностранные компании более строго соблюдать российское законодательство о защите данных, которое обеспечивает определенную степень гибкости, особенно в отношении требований к трансграничной передаче данных. В этом отношении в Европе действуют более строгие правила, поскольку GDPR ограничивает передачу личных данных за пределы ЕС.

---

[1] https://sozd.duma.gov.ru/bill/729516-7.

[2] Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О полномасштабном локальном хранении и обработке персональных данных граждан Российской Федерации».

[3] Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

[4] Статья 18 (5) Закона РФ «О персональных данных».

[5] Минкомсвязи России, Обработка и хранение персональных данных в Российской Федерации (последнее обновление: 12 февраля 2016 г.): https://digital.gov.ru/ru/personaldata/.

[6] Статья 6 Закона РФ «О персональных данных».

[7] Статья 12 Закона РФ «О персональных данных».

[8] Совет Европы, Конвенция о защите частных лиц в отношении автоматической обработки персональных данных, № 108, 28 января 1981 г.

[9] Статья 22 Закона РФ «О персональных данных».

[10] Facebook был оштрафован на 3000 рублей (около 43 евро) за непредоставление информации о локализации данных граждан России в российских базах данных: https://rkn.gov.ru/news/rsoc/news65764.htm.

[11] Ст. 19.7 КоАП РФ.

[12] Регламент (ЕС) 2016/679 от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC; штраф до 10 миллионов евро или 2 процентов от оборота
или до 20 миллионов евро или 4 процентов от годового оборота.

[13] https://www.mos-gorsud.ru/rs/taganskij/cases/docs/content/27b4bb17-652a-4e2f-a101-d3c82bcdf2c4.

Требования к локализации персональных данных в России — соответствие требованиям Microsoft

• 05.02.2021
• Читать 3 минуты

В этой статье

С 1 сентября 2015 года организации, считающиеся операторами персональных данных, должны обеспечить, чтобы при сборе персональных данных запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан России осуществлялись через базы данных, расположенные в России («требование локализации персональных данных»). ¹

Услуги Microsoft, доступные организациям (включая, но не ограничиваясь, образовательные учреждения) (далее именуемые «клиент»), включая те, которые позволяют обрабатывать личные данные, такие как Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform, предоставляются из данных процессинговые центры, расположенные за пределами России (подробнее см. в Центре управления безопасностью Microsoft).

В зависимости от типа и содержания информации, обрабатываемой информационными системами клиентов, такие системы, включая системы, использующие облачные продукты Microsoft, могут считаться информационной системой персональных данных (PDIS, ISPD).В случаях, когда заказчик желает использовать службы Microsoft в системе, которая квалифицируется как PDIS по своей архитектуре и типам обрабатываемой информации, Microsoft предлагает своим клиентам, среди прочего, рассмотреть доступные решения, указанные ниже. Все представленные сценарии доступны для клиентов как дополнительная опция к стандартным бизнес-предложениям.

Следует отметить, что именно заказчик как оператор персональных данных PDIS отвечает за соблюдение нормативных требований, анализирует и оценивает применимые законодательные требования к локализации персональных данных и по своему усмотрению самостоятельно определяет достаточные меры для обеспечения того, чтобы персональные данные обработка в PDIS соответствует российскому закону о персональных данных. ²

Подписка на службы Microsoft

Управление идентификаторами Microsoft

Microsoft предлагает клиентам рассмотреть возможность подписки на услуги Microsoft; Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform — через партнера Microsoft Cloud Solution Provider (CSP). Для получения дополнительной информации см. Этот список партнеров CSP.

Управление идентификацией пользователей и доступом для служб Microsoft

Для служб Microsoft, таких как Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform, проверка пользователей и управление доступом выполняются через Azure Active Directory (Azure Active Directory).В случаях, когда клиент Microsoft использует локальную систему управления идентификацией для облачных служб Microsoft (например, Windows Server Active Directory (AD) или любую другую систему управления идентификаторами), у клиента есть возможность быстро интегрировать такую ​​систему с Azure Active Directory. (Azure Active Directory) через Azure AD Connect. Дополнительные сведения см. В разделе Azure AD Connect. Клиенты Microsoft могут также рассмотреть возможность использования приложений и решений сторонних поставщиков для управления своими пользователями и интеграции своей локальной системы идентификации с Azure AD.

Используйте Microsoft Compliance Manager для оценки риска

Microsoft Compliance Manager — это функция центра соответствия Microsoft 365, которая поможет вам понять состояние соответствия вашей организации и предпринять действия для снижения рисков. Compliance Manager предлагает шаблон премиум-класса для построения оценки для этого правила. Найдите шаблон на странице шаблонов оценки в Compliance Manager. Узнайте, как создавать оценки в Compliance Manager.

Вопросы и поддержка

По техническим вопросам и вопросам оплаты обращайтесь к ресурсам поддержки Microsoft ниже.С дополнительными вопросами или разъяснениями обращайтесь в отдел конфиденциальности Microsoft.

Microsoft Azure

Microsoft 365

• Бесплатный номер : 8 10800 2548 1044
• Местный вызов : 499 922 8623
• Онлайн-поддержка : отправка запросов через Центр администрирования

Динамика 365

• Бесплатный номер : 8 10800 2548 1044
• Местный вызов : 499 922 8623
• Онлайн-поддержка : отправка запросов через портал поддержки Dynamics

Силовая платформа

• Бесплатный номер : 8 10800 2548 1044
• Местный вызов : 499 922 8623
• Онлайн-поддержка : отправка запросов через службу поддержки Power Platform

Примечание

¹ Федеральный закон №242-ФЗ (редакция от 31.12.2014) «О внесении изменений в отдельные законодательные акты Российской Федерации по уточнению порядка обработки персональных данных в информационно-телекоммуникационных сетях» от 21.07.2014 г.
² Федеральный закон № 152- ФЗ «О Персональных данных» от 27.07.2011. 2006

Конфиденциальность

Генеральный директор

Некоммерческое партнерство

«Ассоциация европейского бизнеса»

Положение о персональных данных

для Некоммерческого партнерства «Ассоциация европейского бизнеса»

Москва

2016

1.Общие положения

1.1. Данное положение разработано на основании Федерального закона 152-ФЗ «О персональных данных» от 27 июля 2006 года.

1.2. В соответствии с п. 1, арт. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» под персональными данными (далее — «персональные данные») понимается любая информация, относящаяся прямо или косвенно к лицу, идентифицированному или идентифицируемому на основании такой информации.

Персональные данные физического лица подразумевают его или ее фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семью, социальное и имущественное положение, образование, род занятий, доход, расходы и другую информацию.

1.3. Некоммерческое партнерство «Ассоциация европейского бизнеса» (далее именуемое «Организация» или «АЕБ») является оператором, который устанавливает и (или) выполняет обработку персональных данных, а также определяет цели и содержание обработка персональных данных.

1,4. Сотрудники, уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иных нормативных правовых актов Российской Федерации и несут ответственность за в соответствии с законодательством Российской Федерации за нарушение безопасности этих персональных данных.

1.5. Список лиц, уполномоченных получать, обрабатывать, хранить, передавать или использовать персональные данные иным образом в Организации, утверждается настоящим Положением и приказом ответственного лица.

1.6 Целями настоящего Регламента являются создание и определение условий для сопоставления, обработки и хранения персональных данных.

1.7 Согласие лица, полученное Организацией, остается в силе в течение всего срока действия договорных отношений или других юридически обязывающих отношений с этим лицом.

1.8 При получении, обработке, хранении и передаче персональных данных лица, уполномоченные получать, обрабатывать, хранить, передавать и иным образом использовать персональные данные, должны соответствовать следующим требованиям:

а) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

б) персональные данные должны быть получены лично от владельцев персональных данных (далее — собственник или лицо), либо от уполномоченных на то представителей владельцев персональных данных.

В случае необходимости получения персональных данных от третьего лица необходимо заранее уведомить об этом лицо, получить письменное согласие и проинформировать его о целях, предполагаемых источниках и способах получения персональных данных;

c) запрещено получать, обрабатывать или прикреплять к личному файлу личные данные о политических, религиозных или иных убеждениях, личной жизни, членстве в общественных объединениях, в том числе в профсоюзах;

г) при принятии решений запрещается основывать их на персональных данных, полученных исключительно в результате автоматизированной обработки или использования электронных носителей;

д) защита персональных данных от несанкционированного использования или утраты обеспечивается за счет средств Организации в порядке, установленном Федеральным законом от 25.07.2012 г.152-ФЗ «О персональных данных» от 27 июля 2006 г. и другие нормативные правовые акты Российской Федерации;

е) передача персональных данных третьим лицам без письменного согласия владельцев персональных данных не допускается, за исключением случаев, установленных федеральными законами;

ж) владельцы персональных данных и их представители должны быть ознакомлены под подпись с документами Организации, устанавливающими порядок обработки персональных данных, и их соответствующие права и обязанности;

h) владельцы персональных данных не отказываются от своих прав на хранение и защиту конфиденциальности персональных данных;

i) при необходимости Организация, владельцы персональных данных и их представители совместно разрабатывают меры по защите персональных данных.

1.9 Персональные данные, обрабатываемые в ИТ-системах, должны быть защищены от несанкционированного доступа и копирования. Безопасность персональных данных при обработке в ИТ-системах обеспечивается с помощью системы защиты персональных данных, которая включает организационные меры и средства защиты информации. Обработка персональных данных в Организации осуществляется при непосредственном участии человека. Аппаратное и программное обеспечение должно соответствовать требованиям к защите информации, установленным в соответствии с законодательством Российской Федерации.

2. Хранение персональных данных в Организации

2.1. Организация гарантирует безопасность и конфиденциальность используемых персональных данных.

2.2. В случае необходимости Организация вправе проверить достоверность предоставленной информации.

3. Подготовка, обработка и хранение персональных данных

3.1. В Организации установлен следующий порядок получения персональных данных:

3.1.1. Организация не имеет права получать и обрабатывать персональные данные владельца персональных данных, связанные с его расой, национальностью, политическими взглядами, религиозными или философскими убеждениями, здоровьем или частной жизнью.

3.2. Организация вправе обрабатывать персональные данные владельцев персональных данных с их письменного согласия.

3.3. Письменное согласие владельцев персональных данных на обработку персональных данных должно включать:

• фамилия, имя, отчество, адрес владельцев персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и органе выдачи;

• наименование и адрес оператора, получившего согласие от владельца персональных данных;

• цель обработки персональных данных;

• перечень персональных данных, на обработку которых дает согласие собственник персональных данных;

• перечень операций с персональными данными, на которые дается согласие, общее описание методов обработки персональных данных оператором;

• срок действия договора и порядок его отзыва.

3.4. Согласие владельца персональных данных на обработку персональных данных не требуется в следующих случаях:

• личные данные общедоступны;

• обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и владельцев, персональные данные которых подлежат обработке, а также конкретные полномочия Организации;

• по требованию уполномоченных государственных органов — в случаях, предусмотренных федеральным законом;

• обработка персональных данных для выполнения договора;

• обработка персональных данных осуществляется в статистических или иных исследовательских целях с обязательной анонимизацией персональных данных;

• обработка персональных данных необходима для защиты жизни, здоровья или других жизненно важных интересов владельца персональных данных, если получить согласие невозможно.

3.5 Организация обеспечивает безопасное хранение персональных данных, в том числе:

3.5.1. Хранение, сбор, учет и использование документов, содержащих персональные данные, организованы в виде отдельного архива Организации. Такой архив хранится в электронном виде при непосредственном участии человека, а также на бумажном носителе. Обработка персональных данных не автоматизирована и проводится Организацией при непосредственном участии лица (сотрудника Организации).

3.5.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить владельца персональных данных в сроки, не превышающие цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, соглашением. в отношении которой владельцем персональных данных является сторона, бенефициаром или гарантом которой является владелец. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении цели обработки или при отсутствии необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.5.3. Хранимые персональные данные должны быть защищены от несанкционированного доступа и копирования. Безопасность хранимых персональных данных обеспечивается с помощью системы защиты персональных данных, которая включает организационные меры и средства защиты информации. Аппаратное и программное обеспечение должно соответствовать требованиям к защите информации, установленным в соответствии с законодательством Российской Федерации.

3.5.4. При хранении персональных данных Организация:

а) осуществляет действия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) их передачи лицам, не имеющим права доступа к такой информации;

б) своевременно обнаруживает несанкционированный доступ к персональным данным;

c) предотвращает любое вмешательство в аппаратное или программное обеспечение для обработки персональных данных или бумажные документы, в результате чего их функционирование может быть нарушено;

d) обеспечивает немедленное восстановление персональных данных, которые были изменены или уничтожены из-за несанкционированного доступа;

д) обеспечивает постоянный контроль уровня защиты персональных данных.

4. Передача персональных данных

4.1. Персональные данные передаются с соблюдением следующих требований:

• запрещается раскрывать персональные данные третьим лицам без письменного согласия владельца персональных данных, за исключением случаев, когда это необходимо для предотвращения угрозы жизни и здоровью человека, а также в иных случаях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

• персональные данные в коммерческих целях без письменного согласия владельца таких данных не могут быть разглашены;

• лиц, получающих персональные данные, должны быть предупреждены о том, что эти данные могут использоваться только в тех целях, для которых они раскрыты, и эти лица должны подтвердить, что это правило соблюдается.Лица, получающие персональные данные, обязаны соблюдать правила о неразглашении. Данное положение не распространяется на обмен персональными данными в порядке, установленном Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

• разрешать доступ к персональным данным только специально уполномоченным лицам, и эти лица имеют право получать только те персональные данные, которые необходимы для выполнения определенных функций;

• не запрашивать информацию о состоянии здоровья владельца персональных данных;

• передавать персональные данные правообладателя персональных данных своим представителям в порядке, установленном Федеральным законом от 25.07.2012 г.152-ФЗ «О персональных данных» от 27 июля 2006 г. и ограничивают эту информацию только персональными данными, которые необходимы этим представителям для выполнения своих полномочий.

5. Доступ к персональным данным

5.1 Право доступа к персональным данным имеют следующие лица:

• Генеральный директор АЕБ;

• Исполнительный директор АЕБ;

• лицо (лица), назначенное приказом генерального директора АЕБ;

• сотрудников, работающих с конкретным владельцем персональных данных;

• сотрудников финансового отдела;

• заведующих отделами при необходимости в работе.

5.2. В целях обеспечения защиты персональных данных владельцы персональных данных имеют следующие права:

• для ознакомления с настоящим Положением;

• для получения полной информации о своих персональных данных и обработке этих данных;

• бесплатно неограниченный доступ к своим персональным данным, в том числе право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;

• , чтобы определить своих представителей для защиты своих персональных данных;

• требовать удаления или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона от 23.07.2012 г.152-ФЗ «О персональных данных» от 27 июля 2006 г. В случае отказа Организации от удаления или исправления персональной информации, владелец персональных данных вправе письменно заявить Организации о своем несогласии с указанием оснований. за такое несогласие;

• на запрос о том, чтобы Организация уведомляла всех лиц, которым ранее были предоставлены неверные или неполные персональные данные, обо всех внесенных в них исключениях, исправлениях или дополнениях;

• обращаться в суд по поводу неправомерных действий или бездействия Организации при обработке и защите персональных данных.

5.3 Копирование и извлечение персональных данных разрешено только уполномоченным сотрудникам AEB в деловых целях.

6. Порядок получения согласия собственника

для обработки персональных данных

6.1. При первом взаимодействии с владельцами персональных данных, включая получение информации о владельце персональных данных в первый раз, ответственный сотрудник AEB должен получить предварительное письменное согласие от владельца персональных данных (далее именуемое «согласие») в соответствии с образец приведен в Приложении №1 к настоящему Положению.

6.2. Согласие должно быть получено:

• член Правления АЕБ;

• кандидат в члены Правления АЕБ;

• член Совета национального представительства АЕБ;

• Ревизионная комиссия АЕБ —

  человек;

• членов и участников комитетов, подкомитетов, рабочих групп и иных временных и постоянных органов и групп, образованных представителями членов АЕБ;

• индивидуальных участников мероприятий АЕБ — физических лиц, самостоятельно (от своего имени) участвующих в мероприятии;

• любое лицо, фото и видео изображения которого получены и / или использованы АЕБ, при этом изображение такого человека в этих материалах должно быть основным объектом;

• других лиц, предоставивших АЕБ персональные данные, в том числе родственники сотрудников АЕБ.

6.3. Согласие заполняется, распечатывается ответственным сотрудником АЕБ и подписывается владельцем персональных данных в одном экземпляре, после чего отправляется уполномоченному сотруднику АЕБ и хранится в порядке, установленном настоящим Положением.

6.4. В заявках на членство в АЕБ обязательно указать:

«Компания настоящим (название компании-члена) удостоверяет и гарантирует, что компания имеет надлежащие полномочия для получения, передачи, обработки, использования и хранения личных данных, которые АЕБ получает от компании при выполнении АЕБ этих полномочий. , а также в рамках прав и обязанностей участника в соответствии с положениями действующего законодательства.«

6.5. В формах договоров АЕБ с физическими лицами обязательным является следующий пункт:

«В соответствии с этим соглашением АЕБ имеет право получать, передавать, обрабатывать, использовать и хранить личные данные, полученные от физических лиц. Это согласие действительно с даты его подачи до даты письменного отзыва. . »

6.6. В формах договоров АЕБ с контрагентами обязательным является следующий пункт:

«В соответствии с настоящим соглашением Стороны обязуются соблюдать порядок получения, передачи, обработки, использования и хранения персональных данных в соответствии с действующим законодательством и обязуются получить соответствующее согласие физических лиц на обработку их персональных данных.».

6.7 В онлайн-системе АЕБ при получении персональных данных обязательна следующая оговорка:

«Подтверждаю, что владелец (и) персональных данных ознакомился (а) с порядком работы с персональными данными АЕБ и даю согласие на обработку и передачу персональных данных, в том числе, без ограничений, свободно, путем по его (ее) воле и в его (ее) интересах такое лицо (лица) предоставило надлежащее согласие на обработку, включая сопоставление, запись, систематизацию, хранение, уточнение (обновление, изменение), извлечение, использование, передачу ( распространение, предоставление доступа), в том числе третьим лицам, обезличивание, блокирование, удаление, уничтожение или другие действия в отношении персональных данных, введенных в (название системы).Это согласие действительно с даты его подачи до даты письменного отзыва ».

7. Ответственность за нарушение правил, регулирующих

обработка персональных данных

7.1. Сотрудники АЕБ, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

7.2. Возмещение ущерба, причиненного неправомерным использованием информации, содержащей персональные данные, производится в соответствии с законодательством Российской Федерации.

Приложение № 1

к Положению о персональных данных

для Некоммерческого партнерства «Ассоциация европейского бизнеса»

Согласие

для обработки персональных данных

владелец персональных данных

(экз.)

Москва __, ______________ 20__ г.

Я, __________________________________________________________ (Ф.И.О.),

зарегистрирован по адресу _________________________________________

__________________________________________________________,

паспорт (или другой документ, удостоверяющий личность)

серия _______ №_________ выдан ______________, ___________________________

(дата) (кем выдан)

__________________________________________________________,

Свободно, по собственному желанию и в моих интересах передаю Ассоциации европейского бизнеса (AEB), расположенной по адресу: Bld. Краснопролетарская улица, д. 16, г. Москва, 127473, Российская Федерация, согласие на обработку, в том числе сопоставление, запись, систематизацию, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление доступа), обезличивание, блокирование, уничтожение мои личные данные, в том числе:

(указываются конкретные данные, которые будут обрабатываться, например, «фамилия, имя, отчество, место работы, адрес, адрес электронной почты, должность, фото и / или видеоизображение» и т. Д.)

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________

Я отправляю свои персональные данные на обработку, чтобы: (например, «проводить мероприятия АЕБ» или «обеспечивать членство в АЕБ» или «осуществлять права и обязанности члена Совета АЕБ»)

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________

Я ознакомлен с Положением о личных данных Ассоциации европейского бизнеса.

Настоящее согласие действительно с даты его подачи до даты письменного отзыва.

Дата начала обработки персональных данных:

____________________________

[дата]

____________________________

(подпись)

Защита данных в РФ: обзор

6 августа 2018

Это руководство по вопросам и ответам дает общий обзор правил и принципов защиты данных, включая обязательства контроллера данных и согласие субъектов данных; права на доступ к персональным данным или возражение против их сбора; и требования безопасности.Он также распространяется на файлы cookie и спам; обработка данных третьими лицами; и международная передача данных. В этой статье также подробно описывается национальный регулирующий орган; его правоприменительные полномочия; и санкции и средства правовой защиты.

Чтобы сравнить ответы в разных юрисдикциях, посетите инструмент вопросов и ответов о защите данных о странах.

Эта статья является частью глобального руководства по защите данных. Полный список материалов можно найти на сайте global.practicallaw.com/dataprotection-guide.

Постановление

Законодательство

1.Какие национальные законы регулируют сбор и использование личных данных?

Общие законы

Основные положения закона о защите данных и конфиденциальности можно найти в:

— Страсбургская конвенция о защите частных лиц в отношении автоматической обработки персональных данных 2005 г. (Страсбургская конвенция).

— Конституция РФ 1993 г. (статьи 23 и 24).

— Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите данных» 2006 г. (Закон о защите данных).

— Федеральный закон № 152-ФЗ «О персональных данных» 2006 г. (Закон о защите персональных данных).

Основным законом в этой области является Закон о защите личных данных.

Отраслевые законы

Положения, касающиеся защиты данных, также можно найти в различных отраслевых законах, например:

— Трудовой кодекс РФ (глава 14).

— Воздушный кодекс России (статья 85.1).

— Федеральный закон № 323 «Об основах охраны здоровья граждан в Российской Федерации».

Существуют также определенные местные административные правила и официальные требования, регулирующие сбор, хранение и использование персональных данных, изданные:

— Президент России.

— Правительство РФ.

— Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

— Федеральная служба по техническому и экспортному контролю (ФСТЭК).

— Федеральная служба безопасности (ФСС).

Сфера действия законодательства

2. На кого распространяется действие закона?

Законы о защите данных применяются ко всем операторам данных и третьим лицам, действующим с разрешения операторов данных.

Российское законодательство о защите данных не содержит понятий «контролер данных» и «обработчик данных». Однако в Законе о защите личных данных упоминаются понятия «оператор данных» и «лицо, действующее в соответствии с инструкциями» оператора данных.

Оператором данных может быть государственный или муниципальный орган, юридическое или физическое лицо, которое:

— Организует и / или осуществляет (самостоятельно или совместно с другими лицами) обработку персональных данных.

— Определяет цели обработки персональных данных, содержание персональных данных и действия (операции), связанные с персональными данными.

Обработка данных может быть делегирована третьей стороне с согласия субъекта данных, который будет действовать с разрешения оператора данных на основании соответствующего соглашения или на основании специального государственного или муниципального закона.

3. Какие данные регулируются?

Законы о защите данных регулируют все персональные данные, обрабатываемые операторами данных или третьими сторонами. Персональные данные — это любая информация, прямо или косвенно относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных).

Российское законодательство о защите данных не делает различий между прямыми персональными данными и косвенными персональными данными. Таким образом, личные данные будут рассматриваться как «прямые» или «косвенные» в зависимости от обстоятельств каждого дела.

4. Какие законы регулируются?

Законы о защите данных применяются ко всем действиям по обработке данных, включая сбор, запись, систематизацию, накопление, хранение, изменение (обновление, модификация), извлечение, использование, передачу (распространение, предоставление, доступ), анонимизацию, блокирование, удаление или уничтожение данных. Электронный (автоматизированный) и ручной (неавтоматический) учет личных данных и смешанная обработка данных регулируются законодательством о защите данных.

5. Какова юрисдикция правил?

Законы о защите данных не содержат каких-либо явных положений, касающихся их юрисдикции или территориального действия. Таким образом, обычно предполагается, что национальные правила защиты данных применяются к:

— Обработка данных, которая происходит в России или нацелена на нее.

— Сбор, хранение и использование персональных данных граждан России (субъектов данных).

Независимо от того, где установлены и расположены операторы данных.

В контексте трансграничного потока данных национальное законодательство о защите данных также может применяться в определенной степени, если российское физическое лицо является стороной соглашения о передаче данных или пользовательского соглашения либо дает согласие на обработку своих личных данных. данные от стороннего оператора данных.

Какие основные исключения (если таковые имеются)?

Законы о защите данных не распространяются на следующие действия:

— Обработка персональных данных физическими лицами исключительно для личных и семейных нужд (при условии, что права субъектов данных не нарушаются).

— Организация хранения, сбора, учета и использования архивных документов, содержащих персональные данные, в соответствии с национальными законами об архивных фондах и делах.

— Обработка персональных данных, которые могут быть отнесены к сведениям, составляющим государственную тайну.

— Предоставление компетентными органами сведений о деятельности судов в России в соответствии с действующим судебным законодательством.

Уведомление

7.Требуется ли уведомление или регистрация перед обработкой данных?

Оператор данных, обрабатывающий персональные данные, должен уведомить Роскомнадзор до начала обработки персональных данных. Уведомление может быть подано оператором данных на бумаге или в электронном виде.

Уведомление должно содержать следующую информацию:

— Имя и адрес оператора данных.

— Цели обработки персональных данных.

— Категории персональных данных.

— категории субъектов данных, данные которых обрабатываются.

— Список разрешенных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.

— Описание ИТ-систем и мер безопасности (включая шифрование).

— Имя и контактные данные уполномоченного по защите данных.

— Дата начала обработки персональных данных.

— Продолжительность обработки или условия прекращения обработки персональных данных.

— Информация о трансграничной передаче данных.

— расположение базы данных, которая будет содержать персональные данные российских физических лиц (см. Вопрос 21).

Роскомнадзор зарегистрирует оператора данных в течение 30 дней с даты получения соответствующего уведомления (при отсутствии дополнительных вопросов или запросов). Перечисленная выше информация (за исключением описания ИТ-систем оператора данных и соответствующих мер безопасности) становится общедоступной после включения в реестр.Роскомнадзор ведет реестр операторов данных на основе информации, содержащейся в получаемых им уведомлениях. Реестр операторов данных является общедоступным и доступен на русском языке по адресу http://rkn.gov.ru/personal-data/register.

Требование об уведомлении / регистрации применяется к любому оператору данных, который участвует в обработке различных категорий персональных данных на территории России или за ее пределами (или обрабатывает персональные данные граждан России) и использует свою внутреннюю ИТ-систему или базу данных в соответствии с законодательство о защите данных.Однако оператор данных может быть освобожден от этого законодательного требования и иметь возможность обрабатывать персональные данные без уведомления / регистрации при определенных обстоятельствах. Например, где личные данные:

— обрабатывается только в соответствии с трудовым законодательством.

— Получено оператором данных в связи с договором с субъектом данных (физическим лицом) при условии, что персональные данные:

— не передается третьим лицам без согласия физического лица;

— используется только для выполнения контракта или заключения дополнительных контрактов с физическим лицом.

— относится к определенному типу обработки, осуществляемой общественным объединением или религиозной организацией, действующей в соответствии с действующим законодательством, при условии, что личные данные не передаются или не раскрываются третьим лицам без согласия субъекта данных.

— Субъект данных сделал общедоступным.

— Состоит только из фамилии, имени и отчества субъекта данных.

— необходим для предоставления субъекту данных единовременного доступа в помещение, где находится оператор данных.

— Включен в ИТ-системы, которые приобрели статус государственных компьютерных ИТ-систем в соответствии с действующим законодательством, или в государственные ИТ-системы, созданные в целях государственной безопасности и общественного порядка.

— обрабатывается без использования автоматизированных систем в соответствии с действующим законодательством при соблюдении прав субъекта данных.

— обрабатывается в соответствии с законами и постановлениями, касающимися транспортной безопасности.

Уведомление и регистрация не требуют оплаты официальных сборов.

Основные правила и принципы защиты данных

Основные обязательства и требования к обработке

8. Какие основные обязанности возлагаются на контроллеры данных для обеспечения правильной обработки данных?

Основные обязательства, возлагаемые на операторов данных по обеспечению надлежащей обработки персональных данных, заключаются в следующем:

— Определение категорий персональных данных, целей обработки данных и продолжительности обработки.

— Получение согласия субъекта данных (если иное не предусмотрено законом).

— Назначение сотрудника по защите данных, принятие политики защиты данных (и других необходимых документов) и принятие других соответствующих мер безопасности (особенно юридических, технических и организационных) для предотвращения несанкционированной / незаконной обработки данных и нарушения законодательства о защите данных.

— Размещение центра обработки данных или сервера данных на территории России, если данные российских физических лиц должны обрабатываться оператором данных (см. Вопрос 21).

— Уведомление Роскомнадзора с целью регистрации (если иное не предусмотрено законом) (см. Вопрос 7).

9. Требуется ли согласие субъектов данных перед обработкой персональных данных?

В большинстве случаев перед обработкой персональных данных требуется согласие субъекта данных. Согласие субъекта данных должно быть конкретным, информированным и преднамеренным.

Если иное не предусмотрено законом, согласие субъекта данных может быть получено в любой форме, в том числе в Интернете.Если закон требует, чтобы согласие субъекта данных было дано в письменной форме (например, для обработки биометрических данных), подразумеваемое или предполагаемое согласие не будет считаться действительным.

Электронные подписи разрешены и могут использоваться в соответствии с положениями применимого законодательства о цифровых подписях, если согласие субъекта данных представляет собой электронную форму документа о согласии.

Оператор данных несет бремя доказательства того, что согласие субъекта данных получено.

Нет предписанной или утвержденной формы согласия. Однако Закон о защите личных данных определяет информацию, которая должна быть указана в письменном согласии субъекта данных:

— Имя, отчество, фамилия и адрес субъекта данных, идентификационный номер (например, номер паспорта), дата выдачи удостоверения личности и орган, выдавший удостоверение личности.

— Имя, отчество, фамилия и адрес представителя субъекта данных, номер удостоверения личности (например, паспорт), дата выдачи удостоверения личности и выданный орган, реквизиты доверенности или другие применимый документ (если согласие было дано представителем субъекта данных).

— Имя, отчество, фамилия и адрес оператора данных.

— Цель обработки данных.

— Список предоставленных персональных данных.

— Имя, отчество, фамилия и адрес любой третьей стороны, которая обрабатывает персональные данные с разрешения оператора данных.

— Список согласованных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.

— Срок действия согласия субъекта данных и способ его отзыва.

— Подпись субъекта данных.

Обработка персональных данных несовершеннолетних возможна с согласия законного представителя.

10. Если согласие не дано, какими еще основаниями (если таковые имеются) может быть оправдана обработка?

Обработка персональных данных без согласия субъекта данных может быть оправдана при определенных обстоятельствах. Например, если обработка данных требуется для:

— Цели, определенные международным договором или законодательством Российской Федерации.

— Для определенных судебных целей.

— Осуществление определенных полномочий федеральными органами власти, оказывающими государственные и муниципальные услуги.

— Соглашение с субъектом данных или соглашение, в котором субъект данных является бенефициаром или гарантом.

— Защита жизни, здоровья или других жизненно важных интересов субъекта данных.

— Защита прав и интересов оператора данных или третьих лиц или в общественных целях, при условии, что нет нарушений прав и свобод субъекта данных.

— Профессиональная журналистская, медийная, научная, литературная или другая творческая деятельность при условии отсутствия нарушений прав и свобод субъекта данных.

— Статистические или другие научные цели (при условии, что соответствующие личные данные были анонимны).

— Обработка данных, которые стали общедоступными субъектом данных по его / ее запросу.

— Обязательная публикация или раскрытие в соответствии с действующим законодательством.

Особые правила

11. Применяются ли особые правила к определенным типам персональных данных, например к конфиденциальным данным?

В соответствии с Законом о защите личных данных конфиденциальные данные относятся к любой информации, которая относится к национальности, расовому или этническому происхождению, политическим взглядам, религиозным или философским убеждениям и состоянию здоровья или половой жизни человека. Конфиденциальные данные могут быть обработаны только в том случае, если:

— Субъект данных предоставил письменное согласие на обработку данных.

— Субъект данных сделал общедоступными персональные данные.

— Обработка требуется в соответствии с международным договором России о повторном въезде (например, о возвращении иммигрантов в страну).

— Обработка ведется для Всероссийской переписи населения.

— Обработка осуществляется в соответствии с законодательством о социальной поддержке, занятости или пенсиях.

— Обработка требуется для защиты жизни, здоровья или жизненно важных интересов субъекта данных или других лиц, при условии, что получить согласие субъекта данных невозможно.

— Обработка выполняется лицом, которое занимается различной медицинской деятельностью в определенных медицинских целях, при условии, что обработка выполняется профессионалом с соблюдением медицинской конфиденциальности.

— Обработка осуществляется общественными обществами или религиозными организациями в отношении личных данных их членов для целей, определенных их учредительными документами, при условии, что личные данные не передаются третьим лицам без письменного согласия субъекта данных.

— Обработка требуется для установления или обеспечения соблюдения прав субъекта данных или третьих лиц или для отправления правосудия.

— Обработка осуществляется в соответствии с законодательством Российской Федерации о государственной обороне, безопасности, борьбе с терроризмом, транспортной безопасности, борьбе с коррупцией, правоприменении, исполнении, уголовном расследовании и судебном преследовании.

— Обработка производится прокуратурой в рамках особого исполнения наказаний.

— Обработка производится в соответствии с законодательством о страховании.

— Обработка производится государственными органами, муниципальными учреждениями или организациями для целей усыновления ребенка.

— Обработка производится в соответствии с действующим законодательством о гражданстве.

Обработка конфиденциальных персональных данных (если это разрешено законом) будет немедленно прекращена, если причины для обработки больше не существуют.

Права физических лиц

12.Какая информация должна быть предоставлена ​​субъектам данных в момент сбора персональных данных?

В момент сбора персональных данных субъекту данных должна быть предоставлена ​​следующая информация:

— Цель сбора / обработки данных.

— Объем сбора / обработки данных.

— Срок сбора / обработки данных.

— Подробная информация об операторе данных (или любой третьей стороне, действующей с разрешения оператора данных).

— Иная информация, предусмотренная законом.

13. Какие еще конкретные права предоставляются субъектам данных?

Субъект данных имеет право на доступ к данным, обрабатываемым оператором данных, и право на получение информации, связанной с обработкой данных, включая:

— Подтверждение обработки данных оператором данных.

— Правовые основания и цели обработки данных.

— Методы и цели обработки данных, используемые оператором данных.

— Имя и местонахождение оператора данных, а также информация о лицах (кроме сотрудников), которые имеют доступ к персональным данным или которым персональные данные могут быть раскрыты в соответствии с соглашением с оператором данных или в соответствии с законом.

— Продолжительность обработки данных, включая продолжительность хранения личных данных.

— Информация о любой завершенной или предполагаемой трансграничной передаче данных.

— Другая информация, предоставленная Законом о защите личных данных и другими законами.

Кроме того, субъект данных имеет право:

— Исправление и блокировка данных.

— Возражение против обработки данных.

— Возражение против прямого маркетинга.

— Возражать против решений, принимаемых исключительно на основе автоматизированной обработки данных.

— пожаловаться на действия или бездействие оператора данных и потребовать возмещения убытков, включая моральный ущерб.

14. Имеют ли субъекты данных право требовать удаления своих данных?

Субъекты данных могут запросить удаление своих персональных данных, если они:

— Незавершенное.

— Устаревший.

— Неточно.

— Получено незаконно.

— Не требуется для заявленных целей обработки данных.

Требования безопасности

15. Какие требования безопасности предъявляются к личным данным?

Оператор данных должен принимать необходимые и достаточные меры защиты в соответствии с законодательством о защите данных, включая следующие:

— Назначение сотрудника по защите данных.

— Принятие политики защиты данных и других документов, включая местные / корпоративные правила, предназначенных для предотвращения и обнаружения нарушений законодательства о защите данных.

— Осуществление соответствующих правовых, организационных и технических мер безопасности.

— Осуществление внутреннего контроля и / или аудита для обеспечения соответствия обработки данных законодательству о защите данных и политике, документам и / или местным правилам оператора данных.

— Оценка ущерба, который может быть причинен субъектам данных в случае нарушения законодательства о защите данных.

— Раскрытие соответствующих положений законодательства о защите данных и требований к защите данных, которые определяют его политику, документы и / или местные правила для своих сотрудников.

В любом случае оператор данных должен принять необходимые правовые, организационные и технические меры для защиты персональных данных от любого несанкционированного / незаконного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления или распространения, а также от любых других несанкционированных действий в отношении персональных данных.Дополнительные меры безопасности могут быть установлены:

— Обнаружение угроз безопасности при обработке персональных данных в соответствующих ИТ-системах.

— Обеспечение надлежащего уровня защиты обработки персональных данных в соответствующих ИТ-системах.

— Применение различных сертифицированных методов защиты персональных данных (включая шифрование).

— Оценка эффективности мер безопасности (до реализации каких-либо мер безопасности).

— Запись на любой компьютерный носитель, содержащий личные данные.

— Выявление несанкционированного доступа к персональным данным.

— Получение личных данных, которые были изменены или уничтожены из-за несанкционированного доступа.

— Принятие правил, регулирующих доступ к персональным данным, обрабатываемым в соответствующих ИТ-системах, регистрацию и запись всех действий, связанных с персональными данными, в соответствующих ИТ-системах, контроль мер безопасности в отношении персональных данных и уровень защиты соответствующие ИТ-системы.

16. Есть ли требование об уведомлении субъектов данных или национального регулирующего органа о нарушениях безопасности личных данных?

Как правило, закон не требует сообщать об утечке данных субъектам данных или Роскомнадзору.

При обнаружении или обнаружении несанкционированной обработки личных данных оператор данных (или соответствующее уполномоченное лицо) должен прекратить обработку в течение трех рабочих дней.

Если невозможно преобразовать несанкционированную обработку персональных данных в законную обработку, оператор данных должен уничтожить персональные данные в течение десяти рабочих дней.

После прекращения обработки персональных данных или уничтожения персональных данных оператор данных должен уведомить субъекта данных (или его представителя).

Если запрос о прекращении или уничтожении был сделан Роскомнадзором, уведомление должно быть отправлено в Роскомнадзор.

Обработка третьими сторонами

17. Какие дополнительные требования (если таковые имеются) применяются, когда третья сторона обрабатывает данные от имени контроллера данных?

Субъект данных должен дать согласие на передачу персональных данных третьим лицам.Третьи стороны подчиняются тем же юридическим требованиям и обязательствам, что и операторы данных, и должны соблюдать правила обработки данных, определенные законом. Оператор данных будет нести ответственность за все действия или бездействие третьих лиц, действующих с его разрешения, в то время как соответствующие третьи стороны будут нести ответственность перед оператором данных за любое нарушение данных.

Электронная связь

18. При каких условиях контроллеры данных могут хранить файлы cookie или аналогичные устройства на оконечном оборудовании субъекта данных?

Закон не определяет «куки».Также отсутствуют официальные инструкции Роскомнадзора (или другого государственного органа) по использованию, применению или распространению файлов cookie.

В соответствии с Законом о защите данных лицо, распространяющее информацию, должно предоставить адресату явную возможность отклонить информацию (при использовании метода, позволяющего идентифицировать адресата), в том числе при отправке обычных почтовых сообщений и электронных сообщений. Поэтому обычно предполагается, что для всех типов файлов cookie требуется согласие субъекта данных (в отсутствие более конкретного законодательства по этому вопросу).

19. Какие требования предъявляются к рассылке нежелательных электронных коммерческих сообщений (спама)?

Незапрашиваемые электронные коммерческие сообщения (спам) в России запрещены. Такие сообщения могут быть отправлены только с предварительного согласия адресата и должны быть немедленно остановлены по его / ее запросу. Несоблюдение этих требований может повлечь за собой различные виды ответственности, в том числе административную.

Международная передача данных

Передача данных за пределы юрисдикции

20.Какие правила регулируют передачу данных за пределы вашей юрисдикции?

Статья 12 Закона о защите личных данных регулирует трансграничные потоки данных. В случае международной передачи персональных данных все операторы данных должны обеспечить (до того, как передача будет произведена), что права и интересы соответствующего субъекта данных полностью защищены надлежащим образом в соответствующей зарубежной стране. Все страны, подписавшие Страсбургскую конвенцию, считаются юрисдикциями, обеспечивающими «адекватную защиту» прав и интересов субъектов данных.Кроме того, Роскомнадзор принял официальный список стран (включая Австралию, Аргентину, Канаду, Израиль, Мексику и Новую Зеландию), которые обеспечивают адекватный уровень защиты для целей трансграничной передачи персональных данных.

Международная передача данных в любую юрисдикцию с адекватным уровнем защиты не подлежит никаким ограничениям при условии получения согласия соответствующего субъекта данных.

Трансграничная передача персональных данных в страны, которые не обеспечивают должного уровня защиты, разрешена только в том случае, если:

— Получено письменное согласие соответствующего субъекта данных.

— Трансграничная передача данных разрешена в соответствии с международным договором, участником которого является Россия.

— Трансграничная передача данных разрешена в соответствии с действующим законодательством, если это необходимо для целей:

— защита конституционного строя России;

— защита обороны государства и безопасности государства;

— обеспечение технического обслуживания транспортной системы России и защита интересов граждан, общества и государства в транспортном секторе от незаконного вторжения.

— Трансграничная передача данных осуществляется для выполнения контракта, стороной которого является субъект данных.

— Трансграничная передача данных необходима для защиты жизни, здоровья или других жизненно важных интересов субъекта данных, и получить его / ее предварительное согласие в письменной форме невозможно.

Обычно компании, которые действуют как операторы данных, проверяют адекватный уровень защиты данных перед передачей каких-либо личных данных за границу.Кроме того, компании получат письменное согласие от соответствующих субъектов данных или заключат международные соглашения о передаче данных с соответствующими субъектами данных. Следуя этим шагам, компании продолжат передачу данных за границу в соответствии со своими внутренними корпоративными правилами или политиками (если применимо).

21. Есть ли требование хранить (определенные типы) персональных данных внутри юрисдикции?

21 июля 2014 г.242-ФЗ о внесении изменений в некоторые законодательные акты Российской Федерации по разъяснению порядка обработки персональных данных в информационных и телекоммуникационных сетях (Новый Закон о защите данных), вступивший в силу 1 сентября 2015 года.

Новый закон о защите данных вносит поправки в Закон о защите личных данных, главным образом, путем введения:

— Определенные новые обязательства операторов данных по сбору, хранению и обработке персональных данных граждан (физических лиц) России.

— Новый механизм для Роскомнадзора по блокировке веб-сайтов и интернет-ресурсов, незаконно обрабатывающих персональные данные граждан (физических лиц) России.

В частности, Новый Закон о защите данных вводит обязанность всех операторов данных обеспечивать запись, систематизацию, накопление, хранение, изменение и извлечение персональных данных граждан России с использованием центров обработки данных, расположенных на территории Российской Федерации. в процессе сбора соответствующих персональных данных физических лиц, в том числе через Интернет.Это означает, что любые персональные данные граждан России, собираемые операторами данных, должны храниться на серверах, ИТ-системах, базах данных или центрах обработки данных, расположенных в России.

В Новом Законе о защите данных это прямо не оговаривается, но требование интерпретируется как запрещающее хранение персональных данных российских граждан за пределами России (без предварительного размещения персональных данных российских граждан в России). Таким образом, при буквальном толковании Нового Закона о защите данных местные и иностранные компании (операторы данных) должны обрабатывать или организовывать обработку персональных данных российских граждан в первую очередь в России при соблюдении всех других общих требований законодательство о защите данных.

В целом Новый закон о защите данных не предусматривает:

— Запретить доступ к серверам, ИТ-системам или дата-центрам, находящимся на территории России, из-за границы.

— установить какие-либо особые ограничения на последующую передачу, в том числе за границу, персональных данных, относящихся к гражданам России.

— Запретить копирование персональных данных граждан России на зарубежные базы данных или серверы.

Договоры передачи данных

22.Предусматриваются или используются ли соглашения о передаче данных? Были ли утверждены какие-либо стандартные формы или прецеденты национальными властями?

Соглашения о передаче данных специально не регулируются законом, но они широко используются на практике, особенно когда в них участвуют иностранные стороны. Роскомнадзор не принял стандартную форму договора о передаче данных. Таким образом, любое соглашение о передаче данных будет составлено в соответствии с конкретными обстоятельствами и подписано сторонами в соответствии с основным принципом свободы контактов.

23. Достаточно ли соглашения о передаче данных для узаконивания передачи или должны быть выполнены дополнительные требования (например, необходимость получения согласия)?

Соглашения о передаче данных обычно достаточно для узаконивания международной передачи личных данных при условии, что согласие субъекта данных прямо указано в таком соглашении или приложено к нему. В некоторых случаях соглашения о передаче данных будут заключаться в виде трехсторонних договоров.

Кроме того, оператор данных должен уведомить Роскомнадзор о своем праве на трансграничную передачу данных во время отправки уведомления для целей регистрации.

24. Должен ли соответствующий национальный регулирующий орган утверждать соглашение о передаче данных?

Роскомнадзору не нужно утверждать или регистрировать договор о передаче данных. Соглашение о передаче данных должно быть подписано соответствующим оператором данных, третьим лицом и субъектом данных в письменной форме, чтобы оно было эффективным и имеющим исковую силу.

Правоприменение и санкции

25. Каковы правоприменительные полномочия национального регулирующего органа?

Роскомнадзор наделен определенными правоприменительными полномочиями и несет ответственность за следующее:

— Отправка запросов физическим / юридическим лицам и получение необходимой информации по обработке данных.

— Проведение проверок и проверка информации, содержащейся в уведомлениях об обработке персональных данных, представленных операторами данных, или взаимодействие с другими государственными органами для этой конкретной цели.

— Исправление, блокирование или уничтожение ложных или незаконно полученных личных данных.

— Ограничение доступа к данным, которые обрабатываются с нарушением законодательства о защите данных (см. Вопрос 21).

— Приостановка или прекращение обработки персональных данных, инициированной нарушением законодательства о защите данных.

— Подача гражданских исков в компетентные суды для защиты прав субъектов данных и представления интересов субъектов данных в суде.

— Подача ходатайств в ФСТЭК, ФСС и другие государственные органы с целью приостановления или аннулирования соответствующих лицензий.

— Подача материалов в прокуратуру и другие правоохранительные органы для возбуждения уголовных дел о нарушениях данных.

— Выдача обязательных постановлений и привлечение виновных к административной ответственности.

26. Каковы санкции и средства правовой защиты за несоблюдение законов о защите данных?

В России несоблюдение законов о защите данных обычно карается:

— Гражданские санкции (например, возмещение морального вреда).

— Административные санкции (например, административные штрафы).

— Уголовные санкции (например, лишение свободы).

Российские законы о защите данных в последние годы были достаточно жесткими, и субъекты данных направили много жалоб в Роскомнадзор. Также растет число жалоб со стороны операторов данных на приказы и решения Роскомнадзора о наложении различных санкций на операторов данных и блокировке их интернет-ресурсов. В результате национальная прецедентная и судебная практика в отношении санкций за несоблюдение российского законодательства о защите данных продолжает постоянно развиваться.

Поправки к соответствующим законам о защите данных и Кодексу Российской Федерации об административных правонарушениях вступили в силу 1 июля 2017 года, существенно усилив административные санкции за утечку данных. Нарушения защиты данных подразделяются на следующие типы нарушений конфиденциальности, которые подлежат следующим административным штрафам (если нарушение не является преступлением):

— Обработка персональных данных в случаях, не предусмотренных действующим законодательством, и обработка персональных данных, несовместимая с целями обработки (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1 000 до 3 000 рублей;

— индивидуальные предприниматели: от 5 000 до 10 000 рублей;

— должностные лица компании и государственные служащие: от 5 000 до 10 000 рублей;

— компании: от 30 000 до 50 000 рублей.

— Обработка персональных данных осуществляется без письменного согласия субъекта данных в случаях, когда такое согласие необходимо, или с письменного согласия, не соответствующего обязательным требованиям:

— физические лица: от 3 000 до 5 000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компании и государственные служащие: от 10 000 до 20 000 рублей;

— компании: от 15 000 до 75 000 рублей.

— Неспособность опубликовать или предоставить доступ к политике конфиденциальности или информации о требованиях к защите персональных данных (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 700 до 1 500 рублей;

— индивидуальные предприниматели: от 5 000 до 10 000 рублей;

— должностные лица компании и государственные служащие: от 3 000 до 6 000 рублей;

— компании: от 15 000 до 30 000 рублей.

— Непредоставление индивидуальной информации об обработке своих персональных данных (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1000 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 15 000 рублей;

— должностные лица компании и государственные служащие: от 4 000 до 6 000 рублей;

— компании: от 20 000 до 40 000 рублей.

— Невыполнение (в установленный срок) запроса об уточнении, блокировании или уничтожении персональных данных (в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или ненужными для заявленной цели обработки данных) (a вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1000 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компании и государственные служащие: от 4 000 до 10 000 рублей;

— компании: от 25 000 до 45 000 рублей.

— Несоблюдение требований безопасности при хранении материальных носителей, содержащих персональные данные, и несанкционированный доступ, который приводит к незаконному или случайному доступу к персональным данным или их уничтожению, изменению, блокированию, копированию, отправке или распространению:

— физические лица: от 700 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компании и государственные служащие: от 4 000 до 10 000 рублей;

— компании: от 25 000 до 50 000 рублей.

— Несоблюдение государственным или муниципальным органом обязательства по анонимизации персональных данных или соблюдение методов или требований анонимности (вместо штрафа может быть вынесено предупреждение): от 3000 до 6000 рублей.

Если Роскомнадзор расследует и выявляет любое нарушение данных, он имеет право:

— Возбуждение дела об административном правонарушении.

— Составить протокол об административном правонарушении в отношении нарушителя.