Какие сведения относятся к персональным данным. Обработка персональных данных сотрудника — сроки и виды

Каждая организация обязана надлежащим образом хранить и обрабатывать персональные данные своих сотрудников. Однако многие работодатели пренебрегают требованиями закона, за что могут быть оштрафованы при проверке Роскомнадзора. В данной статье поговорим о тех сведениях, которые относятся к персональным данным.

Из этой статьи вы узнаете:

• что относится к персональным данным;
• от кого работодатель может получать персональные данные;
• как оформить согласие работника на обработку персональных данных.

Что относится к персональным данным

Персональные данные - это любая информация, которая прямо или косвенно относится к физическому лицу ( Федерального закона от 27 июля 2006 г. № 152-ФЗ, далее - ). Персональные данные делятся на три вида:

• общие;
• специальные;
• биометрические.

К общим персональным данным относят Ф. И.О., место жительства, паспортные данные, сведения об образовании, квалификации и стажировке, размере заработка, предыдущей трудовой деятельности и т. д. Такая информация содержится в паспортах, дипломах, военных билетах, в личных карточках работников, трудовых книжках, приказах по личному составу, трудовых договорах, справках о доходах и др.

Специальными данными считают сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и др. (). Эти данные могут содержаться в анкетах, заполняемых сотрудниками при приеме на работу, медицинских справках и т. д.

К биометрическим данным относят сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (). Например, это дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др. Если по фотографии или видеозаписи можно идентифицировать человека, то они тоже относятся к биометрическим персональным данным. Исключение составляют фото и записи, сделанные на массовых и публичных мероприятиях ().

О согласии на обработку персональных данных читайте

Согласие работника на обработку персональных данных

По общему правилу, обработка персональных данных требует письменного согласия работника. Оно оформляется в виде отдельного документа. Однако закон предусматривает ситуации, когда получать такое согласие не обязательно. Это возможно, если работник сам сделал свои данные общедоступными (например, разместил в сети Интернет), когда это необходимо для защиты жизни и здоровья сотрудника и иных лиц, передачи сведений в ПФР, налоговую, ФСС России, военкомат, прокуратуру, суд и в других случаях.

Если персональные сведения передают в банк для оформления зарплатных карт, то работодатель должен получить согласие сотрудника. Это не требуется при наличии одновременно двух условий: если локальный акт организации предусматривает выплату заработной платы на банковскую карту и работник ознакомлен под роспись с этим актом.

Если передача персональной информации нужна, чтобы предупредить угрозу жизни и здоровью работника, то его согласие не потребуется ().

Любые персональные данные работодатель вправе получать только от самого работника. Если такая информация требуется от третьих лиц, то на это нужно письменное согласие сотрудника. При этом работодатель должен сообщить ему о целях, предполагаемых источниках и способах получения персональных данных, последствиях отказа работника дать письменное согласие на их получение и т. д. (). Исключение составляет общедоступная информация (). Ее можно взять из открытых источников: адресных книг, телефонных справочников и т. д.

ФЗ «О персональных данных» от 27 июля 2006 года № 152-ФЗ определяет, что к персональным данным можно отнести любую информацию, которая изначально, прямо или же косвенно относится к четко определенному физическому лицу. В повседневной жизни, к таким данным можно отнести ФИО, паспортные данные, место рождения, адрес проживания и пр.

Что именно относится к персональным данным по закону?

Сразу же отметить, что в нашей стране существует определенное подразделение персональных данных на четыре вида:

1. Первый вид – все персональные данные, которые можно отнести к расовой принадлежности индивида, его религиозных и философских убеждений, вся информация, которая касается здоровья, а также интимной жизни;
2. Второй вид информации предполагает под собой данные, которые позволяют идентифицировать человека, а также получить все данные индивидуального характера (информация о заработке, паспортная информация);
3. Третий вид информации определяется особенности, которые позволяют четко определить субъекта. В данном случае речь идет о данных паспортного характера;
4. Четвертый вид информации - это вид информации, которая считается общедоступной.

Вполне очевидно, что законодательная база нашей страны четко определяет и защищает индивидуальные права человека. Все дело в том, что распространение такой информации и применение ее в определенных целях, может весьма негативно сказаться на жизни субъекта, именно по этой причине формируется необходимость защиты индивидуальных интересов каждого человека в отдельности.

Почему так важно защищать персональную информацию?

Как вы понимаете, мало кому бы понравилось, если бы его индивидуальные данные были доступны всем и каждому. Именно по этой причине, практически все анкеты, которые приходится заполнять человеку, содержат в себе дополнительную графу, в которой указано, что подписывая данный документ, человек, дает разрешение на использование и обработку его персональных данных. Но, это не значит, что такие данные могут стать общедоступными. Все гораздо сложнее. Это значит, что данные субъекта могут быть применены четко определенной компанией для определенных целей. Скажем, для рассылки сообщений и пр. В тоже время, данная информация не может быть применена в качестве элемента нарушения закона в виде формирования некой общедоступности.

Федеральное законодательство по данному вопросу содержит весьма исчерпывающую информацию. Причем, за распространение личной информации порой, могут быть назначены, весьма существенные штрафы и наказания. Так что, если вам периодически или же систематически приходится сталкиваться с личной информацией граждан страны, вам нужно весьма детально изучить данное законодательство, чтобы избежать определенных неприятностей в дальнейшем.

Понятие обратной силы закона в нашей стране существует достаточно давно и определяет устранение определенных нюансов в судебной системе. Обратная сила закона имеет еще...

Статья 19.22 КоАП определяет, что в случае отсутствия постановки транспортного средства на государственный учет в течение десяти дней, владелец транспортного средства получает...

Уголовный закон не имеет обратной силы исключительно в том случае, если он имеет в своем составе более суровое и серьезное наказание. Итак, давайте рассмотрим все особенности...

Законы Хаммурапи были самыми жесткими и жестокими. В принципе, женщин, которые были сообщницами убийц, наказывали смертью. Если же речь идет об убийстве ради другого мужчины...

В современном мире, подписывая договоры на обслуживание или о взаимодействии, часто встречают такое понятие, как "персональные данные". Что под ними понимают? Какие данные являются персональными и не должны предаваться огласке? Как обеспечивается их защита от посторонних лиц?

Развитие вопроса

Первоначально про персональные данные, а также их безопасность заговорил в 1976 году комитет министров Совета Европы. Тогда им было принято решение разработать соответствующую конвенцию. В 1981 году она под названием «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне» была открыта для подписания. Российская Федерация присоединилась к этой конвенции и ратифицировала её только в начале нулевых годов. После этого был запущен процесс формирования необходимой нормативно-законодательной базы про сферу использования и защиты персональных данных. База для него была принята Государственной думой в 2006 году. Итак, что относится к персональным данным физического лица?

О законодательстве

Прежде чем рассматривать, что относится к персональным данным физического лица, давайте уделим внимание правовому основанию этого аспекта взаимодействий. В качестве базового закона используется № 152-ФЗ, принятый в 2006 году. В нём регламентированы все вопросы, что касаются получения, использования, передачи, а также других действий, которые могут проводиться с персональными данными. Там же рассмотрена и их защита. Что подразумевают под персональными данными? Под этим понимают любую информацию, относящуюся к определенному физическому лицу, а также помогает прямо или косвенно установить его личность. Наиболее часто встречаемыми являются фамилия, имя, отчество, дата рождения, адрес регистрации (и местожительства, если они различаются), семейное, социальное, имущественное положение и тому подобное. Если интересует полный перечень того, что относится к персональным данным физического лица, то необходимо обращаться непосредственно к закону. Из-за его большого размера (хватит на книгу) в статье будут приведены только наиболее важные и часто встречаемые моменты.

Деление на категории

В зависимости от степени информативности выделяют:

1. Первый вид. В эти персональные данные включается информация о здоровье, интимной жизни, философских убеждениях.
2. Второй вид. Это информация, по которой можно идентифицировать человека и в дальнейшем получить о нём дополнительные сведения. В качестве примера можно привести Ф.И.О., адрес проживания, сведения о заработной плате.
3. Третий вид. Это информация, которая позволяет только определить субъект. Например - имя, фамилия, дата рождения.
4. Четвертый вид. Это общедоступные и обезличенные персональные данные. В качестве примера для первого случая можно привести декларации о доходах представителей власти. Обезличенная информация - это та, по которой нельзя идентифицировать определённое лицо.

Вот что относится к персональным данным физического лица.

Необходимость следить за нововведениями

Так уж устроено законодательство, что оно действует тогда, когда человек знает о нём. Это относится исключительно к защите своих прав. Некоторые категории людей должны постоянно следить за своими персональными данными, ведь то, что вчера было вполне нормальным и допустимым, уже сегодня оказывается за гранью закона. В качестве примера можно привести ситуацию с бизнесом. Так, если на предприятии есть хотя бы один работник или клиент, являющийся физическим лицом, то законодательство накладывает серьезные обязательства. Так, необходимо, чтобы при обработке информации была соблюдена конфиденциальность. Персональные данные работника не должны попасть в руки сторонних лиц или организаций. Для того чтобы идентифицировать человека, достаточно знать его Ф.И.О. и любую иную информацию личности, например, адрес проживания, дату рождения, номер телефона. Поэтому чтобы персональные данные работника не попали не в те руки и за этим не последовали штрафы и прочее, к вопросу безопасности следует подойти основательно.

Как быть?

Значит, нужно продумывать, кто может иметь доступ и в каком объёме. Например, номер телефона и дата рождения - это сочетание, которое не признаётся персональными данными. Почему? Да хотя бы потому, что идентифицировать по ним конкретное лицо не представляется возможным. Конечно, если необходимо по определённым соображениям получить доступ, то специальные органы могут проигнорировать закон «О защите персональных данных», получить телефон, в судебном порядке от оператора связи взять данные о перемещении и узнать, где был какой-то человек. Но это маловероятный сценарий, который встречается как исключение. А так, безусловно, телефон относится к персональным данным физического лица, только в случае, если о человеке известно что-то существенное, то же Ф.И.О.

Об операторах данных

Практически в любой организации накапливается, хранится и определённым образом используется личная информация. Поэтому хочется им или нет, но с точки зрения закона они являются операторами персональных данных. Что необходимо делать в таком случае? Ведь нужна защита персональных данных? Как соблюсти требования закона? А нужно:

1. Получить согласие со стороны физического лица на обработку персональных данных.
2. Обеспечить безопасность при работе с личной информацией.
3. Установить ответственность за нарушение законодательства.

При этом необходимо позаботиться о базах персональных данных и людях, которым предоставлен доступ к ним. Давайте рассмотрим внимательнее каждый пункт.

Согласие

Необходимо запомнить, что субъект персональных данных - это физическое лицо. И без его разрешения (или со стороны суда в определённых моментах) они не должны попасть в руки третьих лиц, пускай это даже рядовой кадровый сотрудник предприятия. Любые операции с информацией допускаются только при наличии согласия. Особенно много проблем в связи с этим возникло у кадровых агентств. Ведь им сейчас формально запрещено пользоваться доступными открытыми базами данных, которые можно найти в Мировой сети, поскольку они не получали от потенциального работника согласие на использование их информации. Хотя, формально, получать письменное согласие на обработку не нужно. Но существует вероятность судебного спора, поэтому очень желательно, чтобы этот факт имел физическую форму в виде бумаги.

Безопасность обработки

Законодательством предусмотрено, что любой оператор персональных данных обязан принимать нужные технические и организационные меры, которые позволят защитить информацию от случайного или неправомерного доступа к ним посторонних лиц. Особенное внимание уделяется тому, что они могут быть изменены, уничтожены, блокированы, копированы, распространены или же с ними будут совершены иные неправомерные действия. Об этом говорится в первом пункте девятнадцатой статьи базового закона. Это довольно сложно организовать с финансовой и организационной точки зрения. Так, структура должна обеспечить защиту на основе выявленных угроз, а также зависимо от класса информационной системы, где хранятся данные. Также необходимо разработать регламенты работы и положения по защите обработки. Кроме документационной работы нужно работать над повышением квалификации сотрудников, которые занимаются данными. Не следует забывать и о требованиях к инженерно-технической безопасности помещения, где будет храниться информация. В целом необходимо признать, что эта система является чрезвычайно громоздкой и очень усложненной. Встречаются даже нарекания, что некоторые требования не нужны даже государству.

На что жалуемся?

В качестве первого примера можно вспомнить о требовании письменно уведомлять уполномоченный орган о желании осуществить обработку личной информации. При этом законодательно не установлена ответственность за нарушения. Можно вспомнить ещё и требование, согласно которому каждый субъект предпринимательской деятельности, отвечающий условиям оператора персональных данных, был внесён в соответствующий реестр. А это, как уже было подмечено выше, практически каждая организация. Есть сомнения даже относительно того, что такая громоздкая норма в полном объеме будет работать даже на крупных государственных предприятиях. А ведь субъекты экономической деятельности не только платят налоги и встречаются с административными барьерами, но и обязаны оплатить внедрение этой системы у себя. Что, конечно, не умаляет тот факт, что персональные данные должны быть защищены. Но и перегибов необходимо избегать.

Об ответственности

Правом контроля за исполнением закона обладает Роскомнадзор. Эта же служба и занимается проверками в данной сфере. Что же ждёт нарушителей? Законодательством предусмотрено привлечение к дисциплинарной, административной, гражданской и уголовной ответственности. Фактически же существует только одна практика. Это привлечение к административной ответственности. Так, законом предусмотрено, что должностное лицо, допустившее нарушение, может получить или предупреждение, или штраф до тысячи рублей. С организаций спрос больше - для них предусмотрены суммы от 5 000 до 10 000. Сложность организации хранения данных и одновременно незначительная ответственность вероятно приведут к известной ситуации - суровость законов компенсируется необязательностью исполнения. А это очень плохое положение дел, которое необходимо исправить.

Заключение

Вот и было рассмотрено, какая информация относится к персональным данным, как она защищается и какова ответственность за нарушения. Безусловно, это чрезвычайно важный вопрос. Но, увы, как это часто бывает, реализация неудовлетворительная. Законодательство и требования необходимо существенно дорабатывать. Безусловно, если мы говорим о банке, то здесь необходимо обеспечить высокий уровень безопасности. Но если говорить о предприятии, изготовляющем мебель, то нужно ли и здесь такое? Защищённое здание или его часть, допуск исключительно ответственных сотрудников? Нет, в этом случае с лихвой хватает кадровика, сейфа с личными данными (если он работает в общей комнате с другими людьми), выработанной схемы взаимоотношений и передачи информации, а также определённого уровня доступа. Именно поэтому и необходимо доработать существующее законодательство. Хотя, безусловно, уже хорошо то, что работа ведётся - просто нужно направить энергию в правильно русло. Что ж, будем надеяться, что со временем этот процесс станет более совершенным.

Имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.

Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:

• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства и адрес фактического проживания;
• номер телефона (домашний, мобильный);
• данные документов об образовании, квалификации , профессиональной подготовке, сведения о повышении квалификации;
• семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;
• отношение к воинской обязанности;
• сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
• информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО "Ромашка ";
• сведения о доходах в ООО "Ромашка ";
• сведения о деловых и иных личных качествах, носящих оценочный характер.

Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:

Какое сочетание указанной выше информации дает основание считать ее персональными данными?

Является ли фамилия (без указания имени и отчества) персональными данными?

Является ли адрес электронной почты персональными данными?

Каков минимальный объем информации позволяет считать ее персональными данными?

Начнем с простого вопроса: является ли сочетание фамилия + имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: "... Ссылка ответчика на то обстоятельство, что фамилия, имя и отчество не являются персональными данными, не может быть принята во внимание, как противоречащая действующему законодательству, так как, исходя из положений п. 1 ст. 3 ФЗ "О персональных данных" от 27 июля 2006 г. N 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) ..." (Апелляционное определение Московского городского суда от 06.09.2012 по делу № 11-17136). Подобный вывод содержит также Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015.

Вывод: если одновременно указываются фамилия, имя и отчество, то это сочетание представляет собой персональные данные.

Вопрос посложнее: является ли сочетание имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: "... в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума... Разрешая заявленные требования, суд пришел к обоснованному выводу об отказе в удовлетворении исковых требований, поскольку сведения, размещенные в Интернете по ссылке... не являются персональными данными истца, так как не содержат персонифицированных и детализированных данных, позволяющих определить в отношении какой квартиры, какого населенного пункта идет речь, а также отсутствует указание на фамилию, что не позволяет идентифицировать лицо, о котором идет речь..." (Определение судебной коллегии по гражданским делам Приморского краевого суда от 9 сентября 2013 г. по делу № 33-7063).

Вывод: сочетание имя + отчество не являются персональными данными, подлежащими защите Законом № 152-ФЗ "О персональных данных", т.к. не позволяют идентифицировать лицо. Эти данные будут подлежать защите как персональные данные, только если они сами по себе помогают идентифицировать конкретное лицо.

Вопрос посложнее: является ли сочетание фамилия + инициалы персональными данными?

Управление Роскомнадзора по Республике Карелия в своем Обзоре обращений граждан за II квартал 2012 года отвечает на этот вопрос так: "... Фамилия и инициалы гражданина - это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используются для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать.

На этом основании Управление Роскомнадзора не обнаружило в действиях редакции газеты признаков нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных).

Вывод: сочетание фамилия + инициалы не является персональными данными, подлежащими защите Законом № 152-ФЗ "О персональных данных".

Является ли адрес электронной почты персональным данным?

Судебной практики по этому вопросу найти не удалось.

Минкомсвязи России в своем Письме от 07.07.2017 № П11-15054-ОГ выразил следующее мнение: "... абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу".

Вывод: сам по себе адрес электронной почты не является персональными данными, подлежащими защите Законом № 152-ФЗ "О персональных данных" только если он в отдельности или в совокупности с другой информацией помогает идентифицировать конкретное лицо.

ИНН - персональные данные?

В Определении Верховного Суда РФ от 1 марта 2006 г. по делу № 13-В05-13 указано, что ИНН по своему законодательному предназначению подлежит, наряду с другими сведениями, использованию исключительно в целях налогового учета и не заменяет имя человека.

В Апелляционном определении Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014 суд сделал вывод, что ИНН как таковой нельзя причислить к персональным данным. В обоснование своей позиции суд сослался на Определение Конституционного Суда РФ от 10 июля 2003 г. № 287-О, в котором отмечено, что присвоение ИНН, по сути, не нарушает свободы совести и вероисповедания.

ВНИМАНИЕ!

Копирование статьи без указания прямой ссылки запрещено. Внесение изменений в статью возможно только с разрешения автора.

Аннотация: Лекция позволяет изучить основные термины и базовые законы Российской Федерации в области защиты персональных данных.

Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ "О персональных данных" установлены три регулятора:

• Роскомнадзор (защита прав субъектов персональных данных)
• ФСБ (требования в области криптографии)
• ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам).

Так как ФЗ "О персональных данных" является лишь основой правового обеспечения защиты ПД, его требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов.

2.2. Категории персональных данных

ФЗ "О персональных данных" выделяет следующие категории персональных данных.

Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес , абонентский номер, сведения о профессии и иные персональные данные , предоставленные субъектом персональных данных.

Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

Специальные категории ПД - персональные данные , касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

• субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
• обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;
• обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия .

Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных , которые обрабатываются в ИСПД:

Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим. Это породило немало споров. Рассмотрим пример с фотографией. С одной стороны, она характеризует физиологические особенности человека. Но человек с течением времени может сильно измениться или злоумышленник может подделать внешние признаки под законного субъекта. Так ли однозначно в данном случае установление личности? В настоящее время представители регуляторов подтверждают, что фотография и видеоизображения относятся к биометрическим данным.

2.3. Права субъекта персональных данных

Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-№152.

1. Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД. Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании запроса. Полученная информация может содержать следующие сведения:
   • цель обработки ПД
   • способы обработки ПД
   • сроки обработки ПД
   • перечень допущенных к обработке ПД лиц
   • перечень обрабатываемых ПД и источник их получения
   • сведения о возможных юридических последствиях обработки ПД для субъекта ПД.

   Закон определяет случаи, когда данное право субъекта ПД ограничивается, например, если речь идет о безопасности страны, нарушении конституционных прав и свобод других лиц или оперативно-розыскной деятельности.

2. Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В данном случае обработка осуществляется только при условии предварительного согласия субъекта. При этом важно отметить, что обработка признается осуществленной без согласия субъекта, если оператор не доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.
3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки, если не получено его согласия в письменной форме или в случаях, предусмотренных федеральными законами.
4. Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Необходимо отметить, что субъект ПД имеет право на возмещение убытков и компенсацию материального вреда в судебном порядке.

2.4. Обязанности оператора персональных данных

Ранее мы рассмотрели понятие оператора персональных данных и действия, являющиеся обработкой персональных данных . Исходя из определения, можно сделать вывод о том, что все без исключения организации являются операторами ПД, так как они накапливают, собирают и обрабатывают информацию о своих сотрудниках в рамках Трудового кодекса РФ. Помимо этого многие организации собирают сведения о своих клиентах, подрядчиках, поставщиках и партнерах в рамках своей основной деятельности. Главными обязанностями оператора ПД является уведомление Роскомнадзора об обработке ПД и,собственно, защита ПД.

Законом предусмотрены случаи, когда оператор не обязан уведомлять Роскомнадзор об обработке ПД:

1. если его связывают с субъектом трудовые отношения;
2. если между оператором и субъектом существует договор и данные необходимы для исполнения обязательств по нему;
3. если данные относятся к членам религиозных объединений и общественных организаций и обрабатываются в соответствии с учредительными документами и с законом.
4. если данные являются общедоступными;
5. если включают в себя только ФИО;
6. данные необходимы для однократного пропуска на территорию оператора или аналогичных целей;
7. если данные включены в федеральные автоматизированные информационные системы и государственные информационные системы персональных данных;
8. если данные обрабатываются без использования средств автоматизации в соответствии с законами РФ.

Важно отметить, что оговаривается обязанность оператора не передавать персональные данные третьим лицам.

При этом многие организации допускают ошибку в том, что если они не обязаны уведомлять уполномоченный орган об обработке ПД, то можно не выполнять обязанности, возлагаемые законом на операторов ПД. Такие действия являются противозаконными, однозначно трактуются как невыполнение требований законодательства и караются мерами, предусмотренными Законом.

Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ-№152:

1. Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
2. Уведомительный характер обработки персональных данных. В соответствии со статьей 2 ФЗ-№152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.
3. При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). Важно отметить, что субъект имеет право отозвать данное разрешение.
4. Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных.

   Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПД или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

   Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.

5. Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ.

Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем:

1. обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
2. оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
3. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
4. обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
5. обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
6. осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Во всех других случаях оператор должен соблюдать требования российского законодательства по обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований.

Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).

В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1_го года, аресте до 6_ти месяцев и лишении права занимать должность на срок до 5_ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).

При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.