что значит подпись субъекта персональных данных
Что значит подпись субъекта персональных данных
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
(часть 9 введена Федеральным законом от 30.12.2020 N 519-ФЗ)
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
Информация об изменениях:
Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 9 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.
ГАРАНТ:
См. комментарии к статье 9 настоящего Федерального закона
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Информация об изменениях:
9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах
Консультант Центра информационной безопасности компании «Инфосистемы Джет»
специально для ГАРАНТ.РУ
Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.
При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.
В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.
Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.
Что говорит законодательство?
Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.
Что говорит Роскомнадзор?
На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:
сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).
При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.
Что говорит судебная практика?
Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.
Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
Что говорит законодательство?
Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Что говорит Роскомнадзор?
На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.
По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.
Что говорит судебная практика?
Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.
Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.
Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).
Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.
Что говорит законодательство?
В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:
для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.
Что говорит Роскомнадзор?
На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:
персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
не указан перечень организаций, в которые передаются персональные данные;
требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).
Что говорит судебная практика?
Рассмотрим два примера с противоположными решениями суда.
В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).
В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.
В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.
Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Что значит подпись субъекта персональных данных
защита прав субъектов персональных данных
Вопросы и ответы:
1. Вопрос: В соответствии со ст. 1. Федерального Закона «О персональных данных» сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Относится ли почерк и подпись человека к биометрическим данным? Если да, нужно ли брать согласие субъекта биометрических данных на их обработку, если обработка (хранение) этих данных осуществляется оператором в связи с исполнением субъектом персональных данных своей трудовой функции (например, подписывает договоры, приказы по кадрам)?
Ответ: Почерк и подпись человека не относится к биометрическим персональным данным. Подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы, не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.
2. Вопрос: В соответствии со ст. 9 Федерального Закона «О персональных данных» согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
В соответствии со ст. 5 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Должен ли субъект персональных данных в согласии указывать все данные, перечисленные в данной статье, если, например, оператор не планирует обрабатывать эти данные субъекта? Иными словами, должно ли согласие на обработку данных содержать больше персональных данных, чем обрабатывает оператор? (Например, оператору для обработки не нужны данные о месте жительства субъекта).
Ответ: В определенных федеральным законом случаях, обработка персональных данных может осуществляться только с согласия в письменной форме. В частности, согласие в письменной форме необходимо, когда требуется обработка специальных категорий персональных данных, биометрических персональных данных, трансграничная передача персональных данных, а также в случаях принятия решения, порождающего юридические последствия в отношении субъекта персональных данных, на основании исключительно автоматизированной обработки его персональных данных. Обязательные требования к письменной форме согласия предусмотрены ч. 4 ст. 9 ФЗ «О персональных данных» и должны неукоснительно соблюдаться операторами. Отвечая на Ваш вопрос, сообщаю, что сбор и хранение всей содержащейся в согласии информации — это обязанность, установленная для операторов федеральным законом и в данном случае говорить об избыточности персональных данных по отношению к заявленным целям их обработки некорректно.
3. Вопрос: Согласие субъекта на обработку персональных данных должно содержать подпись субъекта персональных данных. Как быть в тех случаях, когда персональные данные предоставляются оператором через телекоммуникационные сети Интернет и личной встречи между оператором и субъектом не происходит? Достаточно ли в этом случае выражения согласия субъекта персональных данных на обработку его данных путем проставления отметки в согласии в электронном виде? (Например, при предоставлении по электронной почте анкет соискателей на вакансии работодателей, предоставление данных организатору конкурса, проводимого в Интернет).
Ответ: При наличии требования федерального закона об обязательном получении в конкретных случаях письменного согласия, документ должен быть подписан либо на бумажном носителе, либо в электронной форме (посредством электронной подписи как аналога собственноручной).
ФЗ «О персональных данных» регламентирует, что согласие на обработку персональных данных может быть дано гражданином или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае, если наличие письменного согласия в силу закона не обязательно, гражданин может выразить свое согласие на обработку персональных данных любым способом, в частности проставлением отметки в электронном виде. При этом необходимо помнить, что обязанность предоставить доказательство получения согласия субъекта персональных данных возлагается на оператора.
4. Вопрос: Какие нарушения законодательства о персональных данных чаще всего выявляются при проведении проверок территориальными органами Роскомнадзора?
Ответ: Самыми частыми нарушениями, выявляемыми при проведении контрольно-надзорных мероприятий, являются нарушения, связанные с непредставлением или представлением с недостоверными или неполными сведениями, уведомления об обработке персональных данных (ч. 1, 3, 7 ст. 22). В большинстве случаев операторы просто не знают о необходимости подачи уведомления, а также своевременного внесения изменений в него. Существуют также и другие нарушения, выявляемые в ходе проведения проверок, а именно: нарушения требований конфиденциальности при обработке категорий персональных данных, не являющихся общедоступными (ч. 1 ст. 7), несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства (ч. 4 ст. 9), отсутствие в поручении лицу, которому оператор поручает обработку персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности (ч. 3 ст. 6). Реже встречаются нарушения в части отсутствия у оператора согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг (ч. 1 ст. 15).
Ответ: В настоящее время обязательное ведение дневников и журналов в электронном виде законодательно не закреплено. В указанном случае обработка персональных данных должна осуществляться с согласия родителей, как законных представителей несовершеннолетних детей. Гражданин, как субъект персональных данных, принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Необходимо учитывать, что в случае, если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
Предоставив свои персональные данные оператору, гражданин вправе, в соответствии со ст. 14 ФЗ «О персональных данных», потребовать у него информацию относительно дальнейшей обработки его персональных данных (сроки обработки персональных данных, в том числе сроки их хранения, порядок уничтожения, сведения о лицах, которые имеют доступ к персональным данным и т.д.). Кроме того, требованиями законодательства в области персональных данных предусмотрена обязанность оператора, осуществляющего сбор персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющей его политику в отношении обработки персональных данных, а также сведения о реализуемых требованиях к защите персональных данных.
Подробную информацию об операторах можно в любое время посмотреть в Реестре операторов персональных данных по адресу pd.rsoc.ru.
6. Вопрос: Некоторое время назад я подавал заявку на получение ипотечного кредита в один из известных банков. Заполнил все соответствующие анкеты, предоставил все необходимые документы. Получил одобрение на получение кредита. Но, по истечение времени, возможностью получения кредита так и не воспользовался. Но буквально через некоторое время на мой домашний адрес стали приходить различные коммерческие предложения от иных банков (в которые я никогда не обращался) с их условиями кредитования. В данных письмах были сведения и о моем дне рождения, и ФИО, и домашний адрес, и телефон. Откуда, спрашивается, банки получили данную информацию? И по какому праву они считают возможным слать мне такие предложения, используя мои персональные данные без моего согласия? Как в данном случае мне следует поступить, чтобы защитить свои персональные данные от дальнейшего распространения, а так же как наказать банк за разглашение? И могу ли я обратиться в суд, например, за возмещением какой-либо денежной компенсации (морального ущерба), в связи с тем, что здесь явное нарушение законодательства?
Ответ: Прежде всего, необходимо отметить, что надо быть крайне внимательными при подписании документов, имеющих юридическое значение. В большинстве случаев подписываемые документы содержат в себе согласие на обработку персональных данных, в том числе и на передачу персональных данных третьим лицам – партнерам организации для рассылки рекламных материалов. В указанном случае ситуация разрешается отзывом согласия на обработку персональных данных. Если же Вы уверены, что рассылка рекламных материалов с использованием Ваших персональных данных осуществляется без согласия, Вы вправе обратиться в Управление с обращением с подробным описанием ситуации и приложением подтверждающих документов. Кроме того, Вы вправе обжаловать действия Оператора и требовать возмещения убытков и (или) компенсации морального вреда в судебном порядке. Отмечу, что в настоящее время случаи возмещения морального вреда в связи с нарушением прав субъектов персональных данных нам не известны.
7. Вопрос: Какие требования предъявляются к организациям, предоставляющим услуги в сфере проведения мероприятий по защите персональных данных в организациях?
8. Вопрос: После удаления своего аккаунта из соцсети, информация о персональных данных все-равно там остается. Правомерно ли оставление информации в соцсети о лице, давно удалившемся из нее?
Ответ: Принимая решение о регистрации в социальной сети, пользователю необходимо внимательно ознакомиться с пользовательским соглашением или иным документом, регламентирующим отношения между пользователем и администратором интернет-ресурса. Как правило, в указанном соглашении оговариваются вопросы, связанные с обработкой персональных данных, в том числе вопрос о возможности обработки персональных данных пользователя после его удаления из социальной сети. Статья 9 ФЗ «О персональных данных» предусматривает право субъекта отозвать свое согласие на обработку персональных данных, за исключением случаев, предусмотренных федеральным законом.
9. Вопрос: Посещая социальную сеть от меня требуют мои персональные данные. На каком основании они это делают? Можно ли полагать, что социальная сеть является информационной системой обработки персональных данных? Законно ли это?
Ответ: Администрация социальной сети оказывает услуги по предоставлению пользования интернет-сервисом на основании размещенных на сайте правил (соглашение), которые являются публичной офертой в соответствии со ст. 437 Гражданского кодекса Российской Федерации. Правила пользования сайтом являются юридически обязательным соглашением между пользователем и администрацией сайта. Пользователь обязан полностью ознакомиться с правилами до момента регистрации на сайте социальной сети и в случае несогласия с ними прекратить использование интернет-сервиса. Таким образом, если правилами сайта установлена обязанность пользователя предоставить персональные данные и Вы с этими правилами согласились, то данное требование не противоречит действующему законодательству. Что касается вопроса об информационной системе персональных данных необходимо отметить, что социальная сеть, как совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку технических средств, безусловно будет являться таковой.
10. Вопрос: Может ли работодатель передавать персональные данные своих бывших сотрудников новым работодателям по их официальному запросу, в котором они просят подтвердить факт того, что работник действительно работал в организации, и подтвердить причину его увольнения?
Ответ: Передача персональных данных бывших сотрудников на основании запроса возможна только в случаях, когда мотивированный запрос включает в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия организации, направившей запрос, а также перечень запрашиваемой информации. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие бывшего работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет соблюдено.
Ответ: Действительно, ФЗ «О персональных данных» регламентирует режим конфиденциальности персональных данных и ответственность за его нарушение, однако необходимо учитывать, что законом также регламентируются случаи, когда обработка персональных данных допускается, в частности, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Таким образом, в случае, если обязанность образовательного учреждения размещать информацию, содержащую персональные данные, установлена Федеральным законом, указанное размещение не противоречит требованиям законодательства в области персональных данных.
12. Вопрос: Каков теперь механизм реализации правомочия адвоката на получение ответа по адвокатскому запросу? В настоящее время право адвоката на получение информации в целях защиты своего клиента (и в целом относящихся к персональным данным клиента) путем направления адвокатского запроса систематически нарушается под “прикрытием” защиты персональных данных в соответствии с ФЗ-152.
Ответ: В соответствии с п. 1 ч. 3 ст. 6 Федерального закона от 31.05.2002
N 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации», адвокат вправе собирать сведения, необходимые для оказания юридической помощи, в том числе запрашивать справки, характеристики и иные документы от органов государственной власти, органов местного самоуправления, а также общественных объединений и иных организаций. ФЗ «О персональных данных» допускает обработку персональных данных, когда обработка персональных данных необходима для достижения целей, предусмотренных законом. Важно не забывать, что за неправомерный отказ в предоставлении информации по запросу адвоката предусмотрена ответственность по ст. 5.39 КоАП РФ.
13. Вопрос: Нужно ли упаковывать в конверт квитанции на оплату оказанных услуг абоненту, где указывается адрес, ФИО, номер лицевого счета, суммы платежа, количество прописанных человек? Как часто поступают жалобы в отношении организаций жилищно-коммунального хозяйства на действия, связанные с рассылкой платежных документов в открытом виде, с передачей персональных данных собственников жилых помещений в иные организации?
Ответ: Направление единых платежных документов за предоставленные коммунальные услуги в неконвертируемом виде противоречит требованиям действующего законодательства в области персональных данных, т.к. не обеспечивается достаточная конфиденциальность персональных данных.
14. Вопрос: Является ли обработкой персональных данных поступление телефонных звонков с целью проведения телефонных опросов граждан?
15. Вопрос: Является ли обработкой персональных данных поступления СМС сообщений и телефонных звонков с предложениями рекламного или информационного характера?
17. Вопрос: Куда обращаться, если мне поступают телефонные звонки с требованиями (просьбами) о погашении (оплате) долгов других физических лиц?
18. Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?
Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.
19. Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?
Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.
20. Вопрос: Существуют ли стандарты или рекомендации по исполнению Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» операторами?
21. Вопрос: Является ли обработкой персональных данных поступление телефонных звонков с целью проведения телефонных опросов граждан?
22. Вопрос: Является ли обработкой персональных данных поступления СМС сообщений и телефонных звонков с предложениями рекламного или информационного характера?
24. Вопрос: Куда обращаться, если мне поступают телефонные звонки с требованиями (просьбами) о погашении (оплате) долгов других физических лиц?
25. Вопрос: Согласие субъекта на обработку персональных данных должно содержать подпись субъекта персональных данных. Как быть в тех случаях, когда персональные данные предоставляются оператором через телекоммуникационные сети Интернет и личной встречи между оператором и субъектом не происходит. Достаточно ли в этом случае выражения согласия субъекта персональных данных на обработку его данных путем проставления отметки в согласии в электронном виде. Например, при предоставлении по электронной почте анкет соискателей на вакансии работодателей, предоставление данных организатору конкурса, проводимого в Интернет).
Ответ: При наличии требования федерального закона об обязательном получении в конкретных случаях письменного согласия, документ должен быть подписан либо на бумажном носителе, либо в электронной форме (посредством электронной подписи как аналога собственноручной).
ФЗ «О персональных данных» регламентирует, что согласие на обработку персональных данных может быть дано гражданином или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае, если наличие письменного согласия в силу закона не обязательно, гражданин может выразить свое согласие на обработку персональных данных любым способом, в частности проставлением отметки в электронном виде. При этом необходимо помнить, что обязанность предоставить доказательство получения согласия субъекта персональных данных возлагается на оператора.
26. Вопрос: После удаления своего аккаунта из соцсети, информация о персональных данных все равно там остается. Правомерно ли оставление информации в соцсети о лице, давно удалившемся из нее?
Ответ: Принимая решение о регистрации в социальной сети, пользователю необходимо внимательно ознакомиться с пользовательским соглашением или иным документом, регламентирующим отношения между пользователем и администратором интернет-ресурса. Как правило, в указанном соглашении оговариваются вопросы, связанные с обработкой персональных данных, в том числе вопрос о возможности обработки персональных данных пользователя после его удаления из социальной сети. Статья 9 ФЗ «О персональных данных» предусматривает право субъекта отозвать свое согласие на обработку персональных данных, за исключением случаев, предусмотренных федеральным законом.
Время публикации: 23.12.2013 15:07
Последнее изменение: 28.11.2017 17:14