Что может служить основанием для включения организации сдо

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

Руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»

специально для ГАРАНТ.РУ

Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных. Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

На что еще важно обратить внимание до сбора персональных данных?

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

***

1 С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы.

Источник

Постановление Правительства РФ от 19 августа 2015 г. N 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (с изменениями и дополнениями)

Постановление Правительства РФ от 19 августа 2015 г. N 857
«Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»

С изменениями и дополнениями от:

В соответствии с частями 3 и 4 статьи 15.5 Федерального закона «Об информации, информационных технологиях и о защите информации» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые:

Правила создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»;

2. Настоящее постановление вступает в силу с 1 сентября 2015 г.

Председатель Правительства
Российской Федерации

Правила
создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»
(утв. постановлением Правительства РФ от 19 августа 2015 г. N 857)

С изменениями и дополнениями от:

2. Создание, формирование и ведение реестра осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.

4. Реестр включает в себя:

д) информацию об устранении нарушения законодательства Российской Федерации в области персональных данных.

5. Информация об устранении нарушения законодательства Российской Федерации в области персональных данных включает в себя:

а) дату и время получения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций акта об ограничении доступа;

в) дату и время направления провайдеру уведомления о нарушении законодательства Российской Федерации в области персональных данных;

г) дату и время внесения доменного имени в реестр;

д) дату и время внесения сетевого адреса в реестр;

ж) сведения о решении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об исключении доменного имени и сетевого адреса из реестра;

з) дату и время внесения в реестр сведений об исключении доменного имени из реестра;

и) дату и время внесения в реестр сведений об исключении сетевого адреса из реестра.

7. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения акта об ограничении доступа осуществляет:

а) внесение в реестр сведений, указанных в подпунктах «а», «в» пункта 4 и подпункте «а» пункта 5 настоящих Правил;

б) определение провайдера;

в) направление провайдеру на русском и английском языках в электронном виде уведомления о нарушении законодательства Российской Федерации в области персональных данных с информацией в отношении акта об ограничении доступа, доменном имени, сетевом адресе, а также с требованием принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанные в акте об ограничении доступа;

8. Основанием для включения в реестр сведений, указанных в подпунктах «з» и «и» пункта 5 настоящих Правил, является вступивший в законную силу акт об отмене акта об ограничении доступа или решение Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об исключении доменного имени и сетевого адреса из реестра.

Информация об изменениях:

9. По истечении 3 рабочих дней со дня направления уведомления провайдеру Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций проверяет устранение нарушений, указанных в акте об ограничении доступа.

В случае отсутствия доступа к информации, обрабатываемой с нарушением законодательства, или устранения нарушения, указанного в акте об ограничении доступа, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций принимает решение об исключении доменного имени и сетевого адреса из реестра, а также вносит в реестр сведения, указанные в подпунктах «ж» и «з» пункта 5 настоящих Правил.

При наличии доступа к информации, обрабатываемой с нарушением законодательства, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций вносит в реестр сведения, указанные в подпункте «б» пункта 4 и подпункте «д» пункта 5 настоящих Правил, и направляет операторам связи доменное имя, сетевой адрес и сведения, указанные в подпункте «в» пункта 4 настоящих Правил, для принятия мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства.

После получения информации, обрабатываемой с нарушением законодательства, оператор связи незамедлительно обязан ограничить доступ к информационному ресурсу, в том числе к сайту в сети «Интернет», на котором осуществляется обработка информации с нарушением законодательства Российской Федерации в области персональных данных, за исключением случая, предусмотренного абзацем третьим пункта 5.1 статьи 46 Федерального закона «О связи».

10. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения акта об отмене акта об ограничении доступа осуществляет:

а) внесение в реестр сведений, указанных в подпунктах «е», «з» и «и» пункта 5 настоящих Правил;

б) уведомление провайдера и (или) операторов связи о внесении в реестр сведений об исключении доменного имени и сетевого адреса из реестра.

11. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения от владельца сайта, провайдера или оператора связи извещения об устранении нарушения законодательства Российской Федерации в области персональных данных проверяет изложенные в нем сведения, а также осуществляет следующие действия:

1. Наличие технической возможности для приема обращений субъектов персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

2. Наличие технических и организационных возможностей для ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», включая возможность взаимодействия с провайдерами хостинга и операторами связи, оказывающими услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет».

Установлен порядок формирования автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных».

Данная система создается в целях ограничения доступа к информации в сети Интернет, обрабатываемой с нарушением законодательства в области персональных данных.

Реестр ведет Роскомнадзор либо привлекаемая ведомством организация. Приведены требования к ней.

В реестре отражаются следующие сведения. Доменные имена и (или) указатели страниц сайтов, содержащих информацию, обрабатываемую с нарушением законодательства о персональных данных. Сетевые адреса, позволяющие идентифицировать эти сайты. Реквизиты вступившего в силу судебного акта об ограничении доступа к информации и изложенная в нем суть нарушения. Дата и время направления Роскомнадзором операторам связи вышеперечисленных сведений для принятия мер по ограничению доступа к информации. Информация об устранении нарушения законодательства в области персональных данных.

Урегулированы вопросы взаимодействия Роскомнадзора, владельцев сайтов, провайдеров и операторов связи в целях ведения реестра.

Постановление вступает в силу с 1 сентября 2015 г.

Постановление Правительства РФ от 19 августа 2015 г. N 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»

Настоящее постановление вступает в силу с 1 сентября 2015 г.

Текст постановления опубликован на «Официальном интернет-портале правовой информации» (www.pravo.gov.ru) 20 августа 2015 г., в Собрании законодательства Российской Федерации от 24 августа 2015 г. N 34 ст. 4911

В настоящий документ внесены изменения следующими документами:

Постановление Правительства РФ от 13 ноября 2019 г. N 1443

Изменения вступают в силу с 26 ноября 2019 г.

Источник

Разъяснения Минтруда России об отстранении от работы непривитых сотрудников носят рекомендательный характер

minervastock / Depositphotos.com

Совсем недавно (23 июля 2021 г.) Минтруд России и Роспотребнадзор по итогам заседания Координационного совета при Правительстве Российской Федерации по борьбе с распространением новой коронавирусной инфекции на территории РФ направили разъяснения по организации вакцинации в организованных рабочих коллективах (трудовых коллективах) и порядку учета процента вакцинированных.

В данных разъяснениях утверждалось, в частности, что группы граждан, определенные в постановлениях главных государственных санитарных врачей субъектов РФ, должны пройти вакцинацию, отказавшиеся от вакцинации должны быть отстранены от работы, что именно работодателям необходимо обеспечить уровень коллективного иммунитета не менее 80% от списочного состава коллектива. Законность этих и ряда других тезисов, содержащихся в разъяснениях, вызвала определенные сомнения.

Минтруд России в своем новом письме пояснил, что указанные разъяснения носят рекомендательный характер, не являются нормативным правовым актом и не формируют новых обязательств для работодателя и работника (Письмо Министерства труда и социальной защиты РФ от 10 августа 2021 г. № 14-2/ООГ-7691).

Мы уже неоднократно говорили о том, что не содержит такого основания для отстранения от работы, как отсутствие профилактических прививок. Абзац 8 ч. 1 ст. 76 ТК РФ, на который ссылались госорганы как на основание для отстранения от работы непривитых сотрудников, позволяет отстранять от работы в случаях, предусмотренных федеральными законами и иными нормативными правовыми актами РФ (то есть актами федерального уровня). Возможности устанавливать случаи отстранения от работы на основании постановлений санврачей субъектов РФ ТК РФ не предусматривает. К тому же, и сами постановления главных санитарных врачей субъектов РФ ничего про отстранение от работы не говорят. В настоящий момент прививка против коронавирусной инфекции внесена в Календарь профилактических прививок по эпидпоказаниям, а необходимость вакцинации от COVID-19 определяет санитарный врач региона, при этом отказ от вакцинации – если санврачом принято решение о ее проведении, – чреват отстранением от работы лишь тех работников, чья работа связана с высоким риском заболевания инфекционными болезнями и в этом качестве поименована в Перечне, утвержденном постановлением Правительства РФ от 15 июля 1999 г. № 825. Дополнительное основание для отстранения от работы лиц, являющихся носителями возбудителей инфекционных заболеваний, предусмотрено п. 2 ст. 33, подп. 6 п. 1 ст. 51 Федерального закона от 30 марта 1999 г. № 52-ФЗ. Однако оснований для отстранения работников, отказывающихся от вакцинации, данный закон не содержит.

Согласно п. 3 ст. 10 Федерального закона от от 17 сентября 1998 г. 157-ФЗ сроки проведения профилактических прививок и категории граждан, подлежащих обязательной вакцинации, утверждаются Минздравом России. Между тем постановления главных санитарных врачей субъектов РФ, как правило, содержат более широкий перечень категорий работников, чем тот, который содержится в приказе Минздрава России о включении вакцинации против COVID-19 в календарь профилактических прививок по эпидемическим показаниям. Однако данный факт органами госвласти игнорировался.

Все важные документы и новости о коронавирусе COVID-19 – в ежедневной рассылке Подписаться

Также мы отмечали, что действующее законодательство не позволяет главным санитарным врачам возлагать обязанности по проведению вакцинации на работодателя. В соответствии с п. 1 ст. 8 Федерального закона от 17 сентября 1998 г. № 157-ФЗ осуществление иммунопрофилактики обеспечивают Минздрав России, Роспотребнадзор и органы исполнительной власти субъектов РФ в сфере здравоохранения, работодатели в этом списке не упомянуты.

В письме Минтруда России также сообщается, что вопросы, связанные с проведением вакцинирования против COVID-19, регулируются не трудовым законодательством, а законодательством в сфере обеспечения санитарно-эпидемиологического благополучия населения. Поскольку федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в указанной сфере, является Роспотребнадзор, туда и направлено соответствующее обращение.

Больше новостей из сферы трудовых отношений и кадров здесь.

Источник

ВС РФ: незначительное несоответствие характеристик товара условиям контракта не может послужить основанием для включения поставщика в РНП

nupix / Depositphotos.com

По условиям контракта поставщик обязался поставить заказчику легковой автомобиль, оборудованный бензиновым двигателем с воспламенением горючего от сжатия, и номинальной мощностью 150 л. с. Вместе с тем переданный заказчику автомобиль не соответствовал ряду заявленных характеристик: мощность двигателя составила лишь 149,56 л. с., при этом двигатель не имел такой характеристики, как воспламенение горючего от сжатия (которая, впрочем, может относиться только к дизельным двигателям). Заказчик отказался от приемки товара и направил в антимонопольный орган обращение о включении сведений в отношении поставщика в РНП, которое впоследствии было удовлетворено (Определение ВС РФ от 11 октября 2021 г. № 309-ЭС21-18238).

Не согласившись с действиями заказчика и решением антимонопольного органа, поставщик обратился в суд с требованиями признать контракт незаключенным, поскольку сторонами не согласовано условие о предмете поставки (в связи с противоречивостью технических характеристик автомобиля), а также полагая, что решение о включении в РНП принято в отсутствие вины в действиях поставщика.

Суды первой, апелляционной и кассационной инстанций отказали в удовлетворении иска.

Вместе с тем суд округа нарушение, допущенное при исполнении контракта, признал незначительным и допустимым с учетом информации производителя товара, и не повлиявшим на технические характеристики автомобиля. В связи с этим суд отменил решения арбитражного суда и суда апелляционной инстанции в части отказа в признании недействительным решения антимонопольного органа.

Источник

Ответы на вопросы в сфере защиты прав субъектов персональных данных

Во исполнение № 152-ФЗ «О персональных данных»

Ответы на вопросы в сфере защиты прав субъектов персональных данных

Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

Вопрос: Кто может являться оператором персональных данных?

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: Что включает в себя понятие конфиденциальности?

Ответ: В соответствии со ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Ответ: Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 г. № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

Ответ: В соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Исключение составляют случаи, предусмотренные ч. 2 комментируемой статьи, при обработке персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора https://rkn.gov.ru/ в информационно-телекоммуникационной сети «Интернет».

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?

Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вопрос: Если при обработке персональных данных организацией нарушаются мои права, куда я могу обратиться за защитой?

Ответ: Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефона указаны на официальном сайте Роскомнадзора www.rsoc.ru в информационно-телекоммуникационной сети «Интернет».

Вопрос: Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»?

Ответ: Ст. 24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.

Административная ответственность за нарушение настоящего Федерального закона наступает за:

— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);

— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных (ст. 13.11 КоАП РФ);

— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП);

— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7. КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.

Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.

Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцептируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

Вопрос: Вправе ли оператор запрашивать сведения о судимости?

Ответ: В соответствии с ч. 3 ст. 10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Вопрос: Какие иностранные государства обеспечивают адекватную защиту персональных данных?

Ответ: До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее – Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Азербайджан, Албания, Андорра, Армения, Бельгия, Болгария, Босния и Герцеговина, Бывшая Югославская Республика Македония, Великобритания, Венгрия, Германия, Греция, Грузия, Дания, Ирландия, Исландия, Испания, Италия, Кипр, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Молдова, Монако, Нидерланды, Норвегия, Польша, Португалия, Россия, Румыния, Сан-Марино, Сербия, Словакия, Словения, Турция, Украина, Финляндия, Франция, Хорватия, Черногория, Чешская республика, Швейцария, Швеция, Эстония.

Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Австралия, Аргентинская Республика, Государство Израиль, Канада, Королевство Марокко, Малайзия, Мексиканские Соединенные Штаты, Монголия, Новая Зеландия, Республика Ангола, Республика Бенин, Республика Кабо-Верде, Республика Корея, Республика Перу, Республика Сенегал, Тунисская Республика, Республика Чили.»

Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?

Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?

В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?

Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.

Вопрос: Существуют ли стандарты или рекомендации по исполнению Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» операторами?

Ответ: Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют. Ознакомиться с ними можно в разделе «Стандарты, рекомендации и концепции» Портала «Персональные данные»:

Источник