Обработка данных

Что значит обработка персональных данных

Что такое личные данные и их обработка. Что входит в состав личной информации

Принципы обработки личной информации

Способы и условия обработки данных

Уведомление Роскомнадзора об обработке личной информации

Меры, которые должен принять оператор при обработке сведений

Запрет на обработку информации

Ответственность за нарушения в работе с личными сведениями

Итоги

Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

• Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
• Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
• Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
• Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
• Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

• Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
• Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
• Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
• Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

• данные обрабатываются в рамках трудовых отношений;
• сведения получены в результате заключения договора и не передаются иным лицам;
• информация является общедоступной;
• обрабатываются только фамилия, имя, отчество;
• данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
• данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
2. Запрашивать согласие на обработку персональной информации.
3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
6. Устанавливать правила, по которым люди могут получить доступ к информации.
7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

• исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
• в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
• направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

Ответственность за нарушения в работе с личными сведениями

За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.

Статья Кодекса Российской Федерации об административных правонарушениях	Основание для привлечения к ответственности	Мера ответственности
Ч. 1 ст. 13.11 КоАП РФ	Обработка данных в случае, если она противоречит целям их сбора	Штраф 1–3 тыс. руб. для граждан, 5–10 тыс. руб. для должностных лиц, 30–50 тыс. руб. для организаций
Ч. 2 ст. 13.11 КоАП РФ	Обработка информации без согласия ее владельца	Штраф 3–5 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 15– 70 тыс. руб. для организаций
Ч. 3 ст. 13.11 КоАП РФ	Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными	Штраф 700–1500 руб. для граждан, 3–6 тыс. руб. для должностных лиц, 5–10 тыс. руб. для ИП, 15–70 тыс. руб. для организаций
Ч. 4 ст. 13.11 КоАП РФ	Непредоставление гражданам информации об обработке их персональной информации	Штраф 1– тыс. руб. для граждан, 4–6 тыс. руб. для должностных лиц, 10–15 тыс. руб. для ИП, 25–40 тыс. руб. для организаций
Ч. 5 ст. 13.11 КоАП РФ	Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях	Штраф 1–2 тыс. руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–45 тыс. руб. для организаций
Ч. 6 ст. 13.11 КоАП РФ	Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц	Штраф 700–2000 руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–50 тыс. руб. для организаций
Ч. 7 ст. 13.11 КоАП РФ	Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений	Штраф 3–6 тыс. руб.

Итоги

Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.

Особенности сбора и обработки персональных данных в Российской Федерации

Процесс обработки персональных данных любого гражданина прописан в Федеральном Законе № 152-ФЗ «О персональных данных». Первоначально данный закон был принят 27 июля 2006 года, и уже в последующем подвергался различным изменениям и дополнениям.

Закон «О персональных данных» регулирует отношения между государственными, муниципальными органами, физическими и юридическими лицами в сфере обработки и защиты личной информации, которые совершаются при помощи средств автоматизации или же без нее.

Цель этого закона заключается в обеспечении защиты свобод и прав граждан законными методами при обработке его личных данных, в том числе неприкосновенность частной жизни, семейной и личной тайн.

Какая организация попадает под требования Федерального закона «О персональных данных»?

Любая организация имеет возможность не регламентировать свои действия согласно главе 1 статьи 2 Федерального закона за № 152-ФЗ «О персональных данных», касающиеся обработки персональных данных, в таких случаях как:

1. Обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2. Организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3. Обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
4. Предоставление уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

Когда же организация не попадает под вышеуказанные пункты, она должна в обязательном порядке подчиниться требованиям закона. Все остальные случаи, относящиеся к сбору, обработке и хранению персональных данных, регламентируются согласно Федеральному закону № 152 «О персональных данных». Практически все организации попадают под данные требования, так как почти все компании тем или иным образом производят обработку персональных данных своих сотрудников или других физических лиц. При этом все личные данные должны быть строго конфиденциальны.

Для того, чтобы риск претензий от владельцев персональных данных и государственных органов был минимальным, нужно выполнить комплекс работ, которые обосновывают необходимость обработки персональных данных. Также необходимо выполнить требования обеспечения конфиденциальности и при неавтоматизированной обработке, и в случае обработки персональных данных в информационных системах.

Персональные данные — что это?

В главе 1 статье 3 ФЗ «о персональных данных» имеется определение персональных данных:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Это может быть фамилия, имя отчество, адрес места жительства и электронной почты, контактные телефоны, место пребывания, вероисповедание, семейное положение, фотографии, сведения о родственниках и многое другое. Каждая организация, которая владеет подобной информацией, обязана защищать информационные системы, в которых должны храниться такие данные.

Сбор, хранение и обработка персональных данных

При необходимости получения персональных данных сотрудника или другого физического лица организация вправе собирать ее непосредственно у самого субъекта. Если же информацию можно получить только у третьих лиц, то субъект должен быть обязательно извещен, а также обязан дать свое письменное согласие на данную процедуру. В свою очередь, оператор обязан известить гражданина о целях, которые он преследует при получении и обработке его личных данных.

Все, что касается законных оснований обработки персональной информации, прописано в главе 2 статье 6 пункте 1 № 152 Федерального закона «О персональных данных»:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Если организация осуществляет обработку персональных данных, противоречащую вышеуказанным пунктам, то это является нарушением федерального законодательства.

Организация обязана обеспечить конфиденциальность, имеющихся персональных данных согласно статье 7 Федерального закона «О персональных данных». Исключения составляют те случаи, когда персональные данные обезличены или когда они являются общедоступными.
В статье 8 указано, что могут быть общедоступные источники персональных данных. Они могут содержать фамилию, имя, отчество, страну и год рождения, адрес проживания, номер телефона, информацию о профессии или же другие персональные данные субъекта, которые он предоставляет со своего письменного согласия. К ним относятся, например, справочники или адресные книги. Данные сведения могут быть лишены доступности по решению субъекта или государственных уполномоченных органов.

Принципы и условия обработки персональных данных

В процессе обработки персональных данных каждая организация должна придерживаться принципов, которые прописаны в главе 2 статьи 5 Федерального закона «О персональных данных»:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия, которые должна соблюдать организация в процессе обработки персональных данных, прописаны в статье 6 Федерального закона «О персональных данных» и заключаются в том, что оператор при осуществлении обработки персональных данных субъекта, имеет право обрабатывать их только с его письменного согласия.
Однако, в некоторых случаях такое согласие не требуется. Так, например, если обработка персональной информации производится в различных научных и статистических целях с обязательным условием обезличивания персональных данных. Или же когда обработка личных данных необходима для здоровья, жизни или других жизненно значимых интересов субъекта таких данных.

Обязанности оператора персональных данных

Глава 4 статьи 18 Федерального закона за 3 152 «О персональных данных» содержит полную информацию о том, что входит в обязанности оператора по обработке данных.
Рассматривая ключевые моменты данной статьи закона можно выделить несколько наиболее важных принципов.

Оператор обязан:

— проводить обработку персональных данных в соответствии с законом,
— иметь разрешение от владельца персональных данных в случаях предусмотренных законодательством,
— обеспечивать конфиденциальность,
— отвечать на все вопросы владельца, касающиеся его персональных данных, в поставленный законом срок,
— уничтожить персональные данные после того, как будут достигнуты сроки их обработки,
— извещать Управление Роскомнадзора на тему обработки персональных данных и о мерах, которые предпринимаются им для их защиты.

Также в данной статье говориться о том, что если владелец персональных данных отказывается предоставить персональную информацию, которую он обязан предоставить в соответствии с федеральным законом, оператор должен разъяснить владельцу о последствиях такого отказа.

Самостоятельная деятельность организаций при защите персональных данных

Сбор, обработка и защита персональных данных в Российской Федерации является лицензируемым видом деятельности. Разработка методик по защите персональной информации находится в ведении ФСБ России и ФСТЭК России.
Организация, в свою очередь, может лишь сделать часть таких работ. Например, осуществить сбор информации. Остальные работы требуют наличие лицензии на деятельность по технической защите конфиденциальной информации, а также на установку средств криптографической защиты.

Проверка деятельности по обработке персональных данных

Организация, которая проводит проверку на предмет законной обработки персональных данных, называется Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Роскомнадзор проводит государственный контроль и надзор за соблюдением требований действующего законодательства в сфере:
— СМИ, ТВР вещания и массовых коммуникаций — требования закона Российской Федерации за № 2124-1 от 27 декабря 1991 года «О средствах массовых коммуникаций», а также соблюдение лицензионных условий,
— связи — требования Федерального закона за № 126 от 7 июля 2003 года «О связи», а также подзаконных актов, в том числе действие лицензии и использование радиочастотного спектра,
— персональных данных — Федеральный закон от 27 июля 2006 года за № 152 «О персональных данных».

Правовым основанием для осуществления государственного контроля и надзора является Федеральный закон от 26 декабря 2008 года за № 294 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Роскомнадзор проводит несколько видов проверок:

1). Плановая проверка.
Данная проверка может быть проведена на основании и в точно поставленные сроки, которые указаны в плане проверок, подготовленного Роскомнадзором и утвержденного прокуратурой. Согласно пункту 4 статьи 27 Федерального закона «О связи» такой вид проверки Роскомнадзор имеет право проводить не более чем один раз в 3 года.
В План проверок Роскомнадзора может попасть любая организация, занимающаяся обработкой персональных данных.
Основанием для проведения плановой проверки считается факт начала обработки оператором по обработке персональных данных, в том числе прохождение трех лет с момента государственной регистрации как оператора персональных данных или завершения проведения плановой проверки в отношении оператора по истечении трех лет с предыдущей плановой проверки.

2). Внеплановая проверка.
Основаниями для проведения такого вида проверки можно считать:
— проверка исполнения предписания о ликвидации выявленного нарушения, которое было выдано раньше,
— выявление нарушений обязательных требований в результате систематического наблюдения,
— требование прокурора о проведении внеплановой проверки на основании поступивших материалов и обращений в органы прокуратуры от граждан, индивидуальных предпринимателей, юридических лиц, органов государственной и муниципальной власти,
— нарушения законных прав и интересов субъектов российской Федерации вследствие бездействия операторов, занимающихся обработкой персональных данных,
— приказ руководителя Службы, который издан согласно поручениям Президента Российской Федерации или Правительства Российской Федерации.
Проверка производится в срок не более 20 рабочих дней, но в то же время, в случае серьезных причин она может быть продлена на основании приказа руководителя Управления Роскомнадзора еще на 20 дополнительных рабочих дней.
Кроме того, проверочные мероприятия могут проводиться одним из нижеперечисленных методов:
а) выездные, т. е. проверка проходит по месту нахождения проверяемого.
б) документарные, письменный запрос оператора о предоставлении необходимых документов и информации. Если документы не были предоставлены, а предоставление их должно производится по закону в обязательном порядке, то это влечет за собой наложение штрафа. Если же административный штраф не был уплачен, он может быть увеличен в два раза.
в) систематическое наблюдение, производится без взаимодействия с лицом, которое проверяют, также от проверяемого лица не требуют никаких документов и информации. Государственные специалисты-инспекторы территориального Управления Роскомнадзора делают выводы о деятельности проверяемого, основываясь на его действия в отношении неопределенного круга субъектов.

Ответственность за незаконную обработку персональных данных

Оператор не должен допускать сбор, хранение, использование и распространение информации, касающейся личной и семейной жизни, тайной переписки, телеграфных, почтовых или иных сообщений, телефонных переговоров, если на то нет судебного решения или законного основания для этих действий.

Оператор не имеет права использовать персональные данные с целью причинения морального и имущественного ущерба гражданам, а также затруднения реализации их свобод и прав. Более того, оператор персональных данных не имеет права ограничивать права граждан Российской Федерации, используя при этом их персональную информацию, касающуюся национальной, расовой, религиозной, языковой или партийной принадлежностей.
Физические и юридические лица, которые в соответствии со своими полномочиями, владеют какой-либо частной информацией о гражданах, используют ее, нарушая при этом Федеральный закон «О персональных данных» несут ответственность за данное деяние согласно действующему законодательству Российской Федерации.

Те лица, которые своими действиями нарушили Федеральный закон «О персональных данных» несут гражданскую, административную, дисциплинарную, уголовную или иную ответственность, предусмотренную действующим законодательством Российской Федерации.

Кодекс об Административных Нарушениях (КоАП):

А) статья 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Данная статья влечет за собой предупреждение или же наложение административного штрафа на:
— граждан в размере от 300-500 рублей,
— должностных лиц в размере от 500-1000 рублей,
— юридических лиц в размере от 5000-10000 рублей.

Б) статья 13.12 Нарушение правил защиты информации.
Согласно этой статье административный штраф возлагается на нарушителей закона в размере от 500 до 30 тысяч рублей. Кроме того, к юридическим лицам может быть применена конфискация или административное приостановление деятельности сроком на 3 месяца.
В) статья 13.14 Разглашение информации с ограниченным доступом.
В соответствии с данной статьей возможно наложение административного штрафа на:
— граждан в размере от 4 до 5 тысяч рублей.

Г) статья 19.5 Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль).
Нарушителям этой статьи грозит административный штраф в размере от 300 рублей до 500 тысяч рублей, или же дисквалификация сроком до 3 лет.

Уголовный кодекс (УК).

Статья 137 Нарушение неприкосновенности частной жизни.
В этой статье говорится о том, что за незаконное собирание или распространение информации о частной жизни субъекта, которая является его семейной или личной тайной, без его на то согласия или же распространение такой информации посредством средств массовой информации несет за собой ответственность в виде
— штрафа размером до 200 тысяч рублей или же в размере равном заработной плате за 18 месяцев,
— обязательных работ сроком до 360 часов
— исправительных работ сроком до 1 года,
— принудительных работ сроком до 2 лет,
— запрета заниматься определенной деятельностью сроком до 3 лет,
— ареста сроком до 2 лет.

Трудовой кодекс (ТК).

Статья 90 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
Данная статья предусматривает наказание в виде увольнения или же возможности наказания согласно Уголовному кодексу Российской Федерации.

Требования к защите персональных данных

В соответствии со статьей 19 Федерального закона «О персональных данных» требования к защите персональной информации считаются обязательными. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

С целью достижения вышеобозначенных целей, все организации которые осуществляют обработку персональных данных, должны придерживаться следующих требований:

— выполнять требования Федерального закона за № 152 «О персональных данных», обеспечив при этом все необходимые доказательства законности сбора и обработки персональной информации,
— обеспечивать защиту от несанкционированного распространения персональных данных,
— разрабатывать нормативные локальные акты и техническую организационную документацию, для обеспечения регламентированной обработки персональных данных,
— уведомлять Управление Роскомнадзора.

Для того, чтобы выполнять эти требования нужно выполнить следующие работы:

1. Провести изучение процессов сбора и обработки персональной информации в компании. А именно, в каком месте, и каком виде они обрабатываются, в каком месте хранятся, кто отвечает за это и имеет к ним доступ, что за источник персональных данных и тому подобные вопросы. Необходимо собрать полную информацию о всех процессах, связанных с личными данными.

2. Нужно разработать пакет документов, которые относятся к процессу обработки персональных данных, а именно
А. Акт категорирования,
Б. Концепция создания системы защиты персональных данных,
В. Модель угроз,
Г. Модель нарушителя,
Д. Техническое задание на построение системы защиты персональных данных,
Е. Технический проект (пояснительную записку технического проекта) по построению системы защиты персональных данных,
Ж. Организационно распорядительная документация.

В общем, количество документов в средней организации составляет около 80 штук, в том числе журналы учета и приказы.

3. Внедрить в организации технические средства защиты, согласно разработанной документации.

4. Провести оценку соответствия или же аттестацию информационных систем.

Аттестация и оценка являются специальными установленными документами, благодаря которым организация имеет возможность подтвердить то, что она выполняет все требования действующего законодательства Российской Федерации.

Основанием для разработки утвержденных документов операторов персональных данных является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК) и Федеральная служба безопасности Российской Федерации (ФСБ), что прописано в их нормативных методических документах и приказах.

Одним из таких документов является:

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 года за № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

В данном приказе для всех организаций прописаны такие методы и способы защиты персональных данных от несанкционированного доступа как,
— реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
— ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
— разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
— регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
— учет и хранение съемных носителей информации, и их обращение, исключающее хищение, подмену и уничтожение;
— резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
— использование защищенных каналов связи;
— размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
— организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
— предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Основные методы и способы защиты данных от несанкционированного доступа в случае взаимодействия информационно-телекоммуникационных сетей международного информационного обмена и информационных систем включают:

— межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
— обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
— анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
— защита информации при ее передаче по каналам связи;
— использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
— использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы;
— фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
— периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
— активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
— анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
— использование атрибутов безопасности;
— создание канала связи, обеспечивающего защиту передаваемой информации;
— осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.

В дополнительные требования для организаций включены:

— создание канала связи, обеспечивающего защиту передаваемой информации;
— аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
— обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
— обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.

Теги: ПДн 152-ФЗ

Составление запрета на обработку персональных данных: пошаговая инструкция и перечень необходимых документов

Как составить обращение в компанию?

Отзыв персональных данных производится в письменной форме. Это обращение к организации, которой было дано право на обработку вашей личной информации (банку, работодателю, коммерческой структуре в рамках рекламной акции или программы скидок). Заявитель может отозвать разрешение полностью, или изменить перечень данных и манипуляций с ними, на которые он дает согласие.

Согласно ч.5 ст. 21 Федерального закона «О персональных данных», получив подобное обращение, компания обязана в течение месяца прекратить обработку данных и уничтожить информацию, если ее дальнейшее сохранение не требуется, прямо запрещается субъектом и не оговорено договором, стороной которого остается заявитель.

Справка! Закон предусматривает ряд ситуаций, в которых информация может обрабатываться и после официального отзыва согласия.

Кроме случаев исполнения законодательства, международных соглашений и договоров с самим субъектом, к ним относятся исполнительное производство и судебные процессы. Также не будет прекращена работа с обезличенной статистической информацией и, данными, предоставленными гражданами при регистрации на порталах госуслуг. Закон отдельно защищает права организаций на работу со сведениями о заемщиках.

Как отозвать своё согласие и какие документы потребуются?

Документы, сопровождающие процедуру отзыва персональных данных и введения запрета их обработки, во многом схожи. Основные отличия лежат в области формулировок в заявлении, и в том, откуда вы отзываете свое прежнее согласие. Чаще всего такая потребность возникает в отношениях с банками и торговыми компаниями, поэтому возьмем примерный перечень документов для обращения именно к ним.

Чтобы отозвать согласие на обработку ПДн у банка и торговой компании, понадобятся:

• личное заявление в двух экземплярах;
• копия договора с компанией-оператором;
• копия паспорта.

Внимание! Направить заявление на отзыв согласия можно лично – тогда на втором экземпляре ставится штамп или роспись должностного лица о получении, по почте заказным письмом с описью и уведомлением, или в электронном виде с удостоверением цифровой подписью.

Пошаговая инструкция, как оформить запрос

Типовой формы заявлений частных лиц об их согласии на обработку личной информации и отказе от этого согласия не существует. Заявитель не обязан указывать причины отзыва, но может это сделать, например, ссылаясь на прекращение действия кредитного или иного договора.

В обращении обязательно должны присутствовать:

1. «Шапка» – в правом верхнем углу указываются адресат и адресант заявления. Например, управляющему банка «Икс» Иванову И.И. от Попова В.В., адрес прописки, номер договора.
2. Информация о заявителе – ФИО полностью, паспортные данные, в том числе, когда и кем выдан, адрес регистрации.
3. Суть обращения – согласно закону «О персональных данных», отзываю свое согласие на их обработку, данное банку «ИКС» при заключении договора №11111 от 1.01.2018 года. Прошу прекратить обработку моих данных в установленные законом сроки.
4. Адрес для ответа – если желаете получить ответ организации не на адрес, указанный в заявлении, а, например, по электронной почте или другим способом, укажите их. Письменный ответ на заявление является подтверждением, что информация не будет использоваться, и будет удалена в положенные сроки.
5. Приложения – перечень приложенных копий документов.
6. Дата и подпись.

• Скачать бланк заявления о запрете использования персональных данных
• Скачать образец заявления о запрете использования персональных данных

Важно! Исключению из информационных баз подлежат не все сведения, предоставленные вами кредитному учреждению.

Хранение информации о договоре, финансовых операциях по нему и прочие данные, часть которых можно отнести к личным данным субъекта, подпадает под фискальное и прочее законодательство, регламентирующее хранение подобной информации.

Как добиться запрета на использование личной информации?

Структура заявления на запрет обработки данных схожа с приведенной выше. Кроме полного запрета на обработку, что фактически дублирует отзыв ранее данного согласия, заявитель может запретить:

• один из способов обработки – автоматизированный или неавтоматизированный;
• отдельные действия, например, передачу третьим лицам;
• обработку части предоставленных персональных данных (сведений о месте работы, контактную информацию родственников и подобное).

Согласно вашим целям, напишите заявление по образцу, дополнив графу «Суть обращения» нужной формулировкой, например:

• «отзываю свое согласие на обработку предоставленной информации о месте работы и рабочих телефонах, служебной почте, адресах проживания, стационарных и мобильных телефонах родственников и членов семьи»;
• «отзываю разрешение на передачу моих персональных данных третьим лицам и прошу обеспечить прекращение обработки моих персональных данных третьими лицами, согласно ст. 21 Федерального закона «О персональных данных».

Справка! Многие примеры подобных обращений содержат цитирование законодательства и выражение готовности заявителя защищать свое право на отзыв персональных данных. Но это не является обязательным – документ будет правомочен при соблюдении указанных выше норм.

Письмо коллекторам с требованием о прекращении использования сведений

Коллекторы могут оказывать услуги банку по работе с заемщиками, и тогда заявление на отзыв персональных данных подается непосредственно оператору, а коллекторам может быть направлена копия. Это обязывает обе организации сократить обработку данных до установленного законом уровня.

Или же долг, и персональные сведения вместе с ним, мог быть переуступлен самому агентству, и изымать данные из работы следует уже оттуда. Корректное оформление самой передачи долга и информирования об этом заемщика лежит вне тематики данной статьи, но и с точки зрения защиты персональных данных процедура не однозначная – как минимум добровольного согласия на обработку субъект коллекторам не давал.Основные элементы письма-претензии по данному поводу:

1. «Шапка» – шаблонное обращение на имя первого руководителя, с указанием ФИО и контактных данных заявителя. Здесь же указываются получатели копий, если таковые имеются.
2. Информация о заявителе – ФИО, контактные данные или иная информация.
3. Правовое обоснование – закон «О персональных данных», в частности его ст.6, 9, 21, которые регламентируют добровольную дачу согласия субъектом, право на отзыв и обязанность оператора, аффилированных с ним структур, и третьих лиц, которым информация была передана, не использовать отозванные данные.

   Если коллекторы нарушают другие нормы, например, не подтвердили свою правомочность в получении задолженности, прибегают к угрозам, разглашают банковскую и налоговую тайну, и прочее, сошлитесь на соответствующие законодательные акты.

4. Перечень данных, которые запрещено обрабатывать – например, номера мобильного, стационарного и служебного телефона, контактная информация третьих лиц, упомянутых в кредитном договоре, информация о рабочем месте.
5. Способ связи – укажите приемлемый для вас способ контактов – по электронной или обычной почте, отдельному телефону или через вашего юриста, чьи контакты прилагаются.
6. Разрешение споров – в судебном порядке согласно законодательству РФ.
7. Обращение о прекращении обработки данных – с момента получения заявления в установленные законом сроки.
8. Подпись, дата.

• Скачать бланк письма коллекторам с требованием прекращения использования персональных данных
• Скачать образец письма коллекторам с требованием прекращения использования персональных данных

Права кредитора на использование сведений о должнике прописаны в законе, и полностью изъять информацию нельзя, но можно оставить доступным минимум, удовлетворяющий целям обработки. В случае несоблюдения операторами требований по отзыву согласия на обработку персональных данных, субъект имеет право обратиться Роскомнадзор и в правоохранительные органы.

Отзыв персональных данных и запрет их использования – законное право гражданина, желающего избавиться от навязчивой рекламы, избежать излишнего распространения сведений о себе и близких, окончательно разорвать связи с бывшим работодателем, поставщиком услуг и прочими.

Но не следует рассматривать отзыв как панацею для недобросовестных заемщиков. Возможно, он поможет снизить коллекторскую активность, но до погашения кредита и завершения исполнений обязательств по договору, банк не забудет ни о вас, ни о ваших персональных данных.

Полезное видео

Что из себя представляют персональные данные и как их отозвать:

Основные правила обработки персональных данных

Roman Samborskyi / .com

Екатерина Добрикова

Несмотря на то, что согласие субъекта необходимо для обработки его персональных данных, есть несколько случаев, при которых допускается их обработка и без такого согласия:

• если это необходимо для достижения целей, предусмотренных международным договором или законом – например, обработка работодателем персональных данных своих сотрудников (ст. 86 Трудового кодекса);
• в связи с исполнением судебного акта или участием лица в судопроизводстве;
• для исполнения полномочий госорганов и функций организаций, участвующих в предоставлении государственных и муниципальных услуг, включая регистрацию на едином портале госуслуг и (или) региональных порталах государственных и муниципальных услуг;
• для заключения и (или) исполнения договора;
• для защиты жизни, здоровья или иных жизненно важных интересов лица, если получить его согласие невозможно;
• если это необходимо для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей, если при этом не нарушаются права и свободы субъекта;
• при осуществлении журналисткой, научной, литературной и иной творческой деятельности, если это не нарушает права и законные интересы лица;
• в статистических или иных исследовательских целях при условии обязательного обезличивания данных;
• если персональные данные сделаны субъектом общедоступными;
• при опубликовании или обязательном раскрытии информации в соответствии с законом – например, при совершении нотариальных действий (ч. 1 ст. 6 закона о персональных данных).

Оператор может обрабатывать персональные данные как самостоятельно, так и поручить это с согласия субъекта третьему лицу (ч. 3 ст. 6 закона о персональных данных). В договоре при этом следует определить перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, требования к защите обрабатываемых персональных данных. Кроме того, необходимо отдельно прописать обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке.

Получать согласие субъекта на обработку его персональных данных лицу, осуществляющему обработку персональных данных по поручению оператора, в этом случае не нужно (ч. 4 ст. 6 закона о персональных данных). Но даже если обработка поручена другому лицу, ответственность перед субъектом лежит все равно на операторе (ч. 5 ст. 6 закона о персональных данных).

БЛАНК

Договор поручения на обработку персональных данных третьим лицом
Другие бланки

Что касается передачи персональных данных за рубеж, закон ограничивает трансграничную передачу персональных данных, допуская ее осуществления лишь на территории стран-участников Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и определенных Роскомнадзором иностранных государств, хоть и не являющихся участниками этой Конвенции, но обеспечивающих адекватную защиту прав субъектов персональных данных (ст. 12 закона о персональных данных). Однако даже в отношении этих стран трансграничная передача данных может быть запрещена или ограничена, если это требуется в целях защиты основ конституционного строя России, нравственности, здоровья, прав и законных интересов граждан, а также обеспечения безопасности страны.

Вместе с тем есть ряд случаев, при которых трансграничная передача персональных данных возможна и на территории тех государств, которые не обеспечивают адекватную защиту прав субъектов персональных данных. Это допускается:

• при наличии письменного согласия субъекта персональных данных;
• если это предусмотрено международными договорами;
• если это предусмотрено федеральными законами и необходимо в целях защиты основ конституционного строя, обеспечения безопасности государства и т. д.;
• при исполнении договора, стороной которого является субъект персональных данных;
• для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц, если получить письменное согласие на это невозможно.

Данный перечень является закрытым.

Обработка персональных данных

Законодательство об обработке персональных данных в России появилось в 2006 году, однако даже в настоящее время компании сталкиваются с проблемами, например, со спорами с работниками, административными штрафами, проблемами передачи персональных данных третьим лицам. Достаточно спорными являются вопросы уведомления Роскомнадзора об обработке данных, сбора персональных данных и согласия на обработку. В этой связи очень важным является вопрос систематизации знаний о персональных данных.
Что относится к персональным данным?
Почему важно понимать, что относится к персональным данным?
Во-первых, часть 1 ст.24 Конституции РФ запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.
Во-вторых, согласно п.1 ст.152.2 Гражданского кодекса РФ не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.
В-третьих, несоблюдение законодательства о персональных данных предусматривает значительные штрафы, которые будут повышены с 1 июля 2017 года.
Сначала определимся, что является персональными данными? Ответ мы находим в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных».
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Но данное определение является достаточно «расплывчатым», например, друзья размещают фотографии в Интернете, охраняются ли такие фотографии законодательством о защите персональных данных?
К персональным данным относится следующая информация:
— фамилия, имя, отчество человека;
— паспортные данные;
— пол и возраст;
— семейное положение, наличие детей и родственников;
— профессия (Апелляционное определение Московского городского суда от 18.11.2016 N 33-45913/2016);
— социальное, имущественное положение (Апелляционное определение Санкт-Петербургского городского суда от 30.01.2017 N 33а-2104/2017 по делу N 2а-6384/2016);

— место жительства;
— сведения о заработной плате (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников»);
— национальная принадлежность, политические взгляды религиозные или философские убеждения, состояние здоровья, интимная жизнь (Постановленипе ФАС Северо-Кавказского округа от 21.04.2014 по делу N А53-13327/2013);
— физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись) (Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
— деловые и иные личные качества, которые носят оценочный характер.
На практике некоторые вопросы отнесения к персональным данным являются спорными, например, персональные данные широко распространены в Интернете, например, люди активно регистрируются и размещают самую распространенную информацию, такую как фамилия, имя, отчество, фотографии. И такая информация сразу становится общедоступной. Однако такая информация продолжает оставаться персональными данными. Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным. Информация в объеме: фамилия, имя, отчество физического лица является персональными данными, обработка которых должна осуществляться в строгом соответствии с требованиями Федерального закона N 152-ФЗ (Письмо Роскомнадзора от 20.01.2017 N 08АП-6054 «О результатах рассмотрения обращения Казначейства России»). При этом перечень персональных данных является открытым.
Но для того, чтобы не подпасть под штрафы и правильно организовать работу с персональными данными, нужно понять, в каких документах содержатся персональные данные работника.
Перечень документов, в которых содержатся персональные данные, также установлен; вместе с тем возможно выделить следующие документы:

— паспорт гражданина РФ;
— загранпаспорт гражданина РФ;
— дипломатический паспорт;
— свидетельство пенсионного страхования (СНИЛС);
— ИНН;
— трудовая книжка работника;
— анкета, другой документ, заполняемый кандидатом на должность при собеседовании;
— документы воинского учета;
— документы об образовании, квалификации, наличии специальных знаний;
— свидетельство о регистрации или расторжении брака;
— свидетельство о рождении ребенка;
— личная карточка (форма N Т-2 утверждена постановлением Госкомстата России от 5 января 2004 г. N 1);
— справка с предыдущего места работы;
— справка о заработной плате 2-НДФЛ;
— медицинская карта;
— листок нетрудоспособности;
— трудовой договор;
— выписка из штатного расписания или штатное расписание;
— приказы по личному составу;
— права на автомобиль.
Таким образом, перечень документов, в которых содержатся персональные данные, является достаточно обширным. Поскольку перечень персональных данных и перечень документов являются открытыми, то целесообразно в трудовом договоре, согласии на обработку персональных данных указать, что подобные сведения могут содержаться и в иных документах.
Обработка персональных данных
Что можно делать с персональными данными?
Персональные данные предполагают 3 фазы работы:
— обработка персональных данных;
— распространение персональных данных;
— блокирование персональных данных.

Схема

Фазы работы с персональными данными

Что представляет собой обработка персональных данных?
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии со ст.7 Федерального закона «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Обработка персональных данных осуществляется:
— через оператора персональных данных;
— через третье лицо.
Соответственно, если данные передаются третьим лицам, то в этом случае необходимо согласие субъекта персональных данных.
Когда требуется такое дополнительное согласие?
В некоторых случаях работодатели привлекают аутсорсинговые компании:
— для ведения кадровой работы;
— расчета заработной платы;
— расчета страховых взносов;
— заключения договоров;
— оформления виз и билетов для поездок в командировки.
Такие действия аутсорсинговой компании являются обработкой персональных данных.
Приведем еще пример привлечения третьих лиц для обработки персональных данных.
Например, компания заключила договор охраны и вход в офис осуществляется по пропускам, соответственно паспортные данные необходимы для:
— оформления пропусков для входа физических лиц;
— оформления провоза грузов на автомобиле.
При обработке персональных данных важно назначить лицо, которое будет ответственным за сбор и обработку данных. Ответственное лицо назначается приказом по компании и должно выполнять следующие трудовые обязанности:
— осуществлять внутренний контроль за соблюдением законодательства о персональных данных;
— доводить до работников положения законодательства;
— разрабатывать локальные акты и ознакамливать с ними работников;
— разрабатывать и доводить до работников требования по защите персональных данных;
— организовывать прием и обработку обращений и запросов;
— осуществлять контроль за приемом и обработкой обращений.
Какие риски возникают у оператора персональных данных при обработке персональных данных?
1. Риск административных штрафов
В качестве примера приведем ситуацию, когда компания заключала договор оказания медицинских услуг и не брала с пациента согласие на обработку персональных данных, мотивируя это тем, что при заключении договора его заключает само физическое лицо. Однако в Постановлении Самарского областного суда от 08.02.2016 N 4а-130/2016 суд с этим не согласился и привлек компанию к ответственности по статье 13.11 КоАП РФ. Суд это мотивировал тем, что юридическое лицо, осуществляющее обработку персональных данных, в том числе медицинская организация, профессионально занимающаяся медицинской деятельностью и обязанная сохранять врачебную тайну, обязана получать согласие субъекта персональных данных в письменной форме на обработку его персональных данных.
2. Риск споров при передаче персональных данных
Передача персональных данных третьим лицам должна осуществляться с согласия субъекта персональных данных. При этом субъект персональных данных должен четко понимать, что например, работодатель, кредитная организация могут передать персональные данные третьим лицам.
Так, в Апелляционном определении Верховного суда Республики Татарстан от 28.01.2016 по делу N 33-1566/2016 суд признал правомерным передачу персональных данных третьему лицу. В данном судебном споре шла речь о передаче кредитной организацией данных коллекторам.
3. Риск компенсации морального вреда
Если работодатель или иное лицо использует персональные данные с нарушением порядка их использования, то субъект персональных данных может подать в суд для взыскания морального вреда.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Согласно ст.7 Закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Из системного толкования приведенных норм следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных. Соответственно, отсутствие согласия может привести к появлению морального вреда (Апелляционное определение Алтайского краевого суда от 29.09.2015 по делу N 33-9241/2015).

Уведомление Роскомнадзора об обработке персональных данных

По общему правилу, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
То есть в общем случае нужно направить уведомление в Роскомнадзор.
Форму уведомления можно заполнить прямо на сайте ведомства:

Приведем пример заполнения уведомления.

Уведомление об обработке
(о намерении осуществлять обработку) персональных данных

(адрес местонахождения и почтовый адрес оператора)
руководствуясь: Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», Трудовым кодексом
(правовое основание обработки персональных данных)
с целью:
оказания аутсорсинговых услуг по поиску персонала, ведения личных карточек и дел работников, заключения трудовых договоров с третьими лицами, составления анкет
(цель обработки персональных данных)
осуществляет обработку:
Фамилия, имя, отчетство, образование, социальный статус, опыт работы, заработная плата на предыдущем месте работы, профессия, семейное положение
(категории персональных данных)
принадлежащих:
ООО «Смальта», ИП Караваев, третьим лицам
(категории субъектов, персональные данные которых обрабатываются)
Обработка вышеуказанных персональных данных будет осуществляться путем:
сбор, анализ, обобщение, хранение, изменение, дополнение, передача
(перечень действий с персональными данными, общее описание используемых
уничтожение персональных данных; обработка персональных данных будет осуществляться смешанным способом с передачей по внутренней сети оператора
оператором способов обработки персональных данных)
Для обеспечения безопасности персональных данных принимаются следующие меры:
сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными; наличие установленного антивирусного программного обеспечения
(описание мер, предусмотренных ст.ст.18.1 и 19 Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных», в т.ч. сведения о наличии шифровальных (криптографических)
Ответственное лицо: Морозов Олег Дмитриевич, 8-916-666-88-77, morozov@gmail.com
средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование

Общество с ограниченной ответственностью «Персональные данные»
юридического лица, ответственных за организацию обработки персональных данных,
121375, Москва, ул.Яблочкова, д.7, кор.2, офис 35, persdannye@yandex.ru
и номера их контактных телефонов, почтовые адреса и адреса электронной почты)
Cведения о наличии или об отсутствии трансграничной передачи персональных, трансграничная передача персональных данных отсутствует
Сведения о наличии или об отсутствии трансграничной передачи персональных данных:
(при наличии трансграничной передачи персональных данных в процессе их обработки указывается
нет
перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных)
Москва, ул.Беговая, 7
Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации:
Москва, ул.Беговая, 7
нет
(страна, адрес местонахождения базы данных, наименование информационной системы (базы данных)
Сведения об обеспечении безопасности персональных данных:
Лица, осуществляющие передачу данных, проинструктированы под подпись; хранение носителей баз данных, содержащих персональные данные, обеспечено; неконтролируемое проникновение или пребывание посторонних лиц в помещениях, где ведется обработка персональных данных, исключено; контроль учета лиц, допущенных к работе с персональными данными, ведется.