| Действующая редакция,синим удалено | Предлагается проектом,красным добавлено | |
1. | Статья 3. Основные понятия, используемые в настоящем Федеральном законеВ целях настоящего Федерального закона используются следующие основные понятия:новый пункт 9.1новый пункт 9.2 | Статья 3. Основные понятия, используемые в настоящем Федеральном законеВ целях настоящего Федерального закона используются следующие основные понятия:9.1) обезличенные персональные данные – информация, которая в результате обезличивания персональных данных не позволяет без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;»;9.2) обезличенные данные — информация, которая в результате обезличивания не позволяет даже при использовании дополнительной информации определить ее принадлежность конкретному субъекту персональных данных; |
2. | Статья 5. Принципы обработки персональных данных2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. | Статья 5. Принципы обработки персональных данных2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, когда на осуществление такой обработки получено согласие субъекта персональных данных. |
3. | Статья 6. Условия обработки персональных данных1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;новый пункт 7.19) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных; | Статья 6. Условия обработки персональных данных1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе для предотвращения имущественного ущерба, предупреждения и предотвращения противоправных деяний, а также в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», при условии, что при этом не нарушаются права и свободы субъекта персональных данных;7.1) обработка персональных данных необходима для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;9) обработка персональных данных осуществляется в статистических исследовательских и (или) аналитических целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;12) осуществляется обработка персональных данных, полученных оператором на законных основаниях, в целях получения обезличенных данных. |
4. | новая статья 8.1 | Статья 8.1. Обезличенные персональные данные и обезличенные данные1. Обезличивание персональных данных, в том числе в целях их последующей передачи третьим лицам, осуществляется с согласия субъекта персональных данных, за исключением случаев, установленных пунктом 9 части 1 статьи 6 настоящего Федерального закона или иных случаях, установленных федеральными законами, предусматривающими обезличивание персональных данных, в том числе в целях их последующей передачи третьим лицам. Требования и методы обезличивания персональных данных устанавливаются уполномоченным органом по защите прав субъектов персональных данных.Обработка обезличенных персональных данных осуществляется в соответствии с законодательством Российской Федерации в области персональных данных. Если при обработке обезличенных персональных данных оператором осуществляются действия, в результате которых обезличенные персональные данные принимают вид, позволяющий определить их принадлежность к конкретному субъекту персональных данных, указанные действия, а также обработка такой информации осуществляется с согласия субъекта персональных данных и(или) при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.2. Не допускается передача оператором третьему лицу в дополнение к обезличенным персональным данным иной информации, с использованием которой становится возможно определить принадлежность обезличенных персональных данных к конкретному субъекту персональных данных. 3. В случае передачи оператором третьему лицу обезличенных персональных данных, при условии соблюдения требований, установленных частью 2 настоящей статьи, полученные третьим лицом данные могут быть использованы свободно, в том числе в целях, связанных с осуществлением предпринимательской деятельности. Использование третьим лицом при обработке полученных обезличенных персональных данных иной информации, позволяющей определить их принадлежность к конкретному субъекту персональных данных, не допускается.4. Действия по получению обезличенных данных, а также обработка обезличенных данных может осуществляться без согласия субъекта персональных данных. Обезличенные данные могут быть использованы свободно, в том числе в целях, связанных с осуществлением предпринимательской деятельности.Требования и методы обезличивания, обеспечивающие невозможность отнесения информации к конкретному субъекту персональных данных, устанавливаются Правительством Российской Федерации. |
5. | Статья 9. Согласие субъекта персональных данных на обработку его персональных данных1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.новая часть 1.12. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;4) цель обработки персональных данных;6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. | Статья 9. Согласие субъекта персональных данных на обработку его персональных данных1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, в том числе электронной (путем направления короткого текстового сообщения по сети подвижной радиотелефонной связи, посредством электронной почты, путем заполнения формы на сайте оператора или лица, действующего по поручению оператора, иными способами), если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.1.1. Субъект персональных данных вправе потребовать от оператора внести изменения в согласие на обработку персональных данных в части состава целей, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных.2. Субъект персональных данных вправе отказаться от дачи согласия на обработку персональных данных или отозвать ранее данное согласие на обработку персональных данных.В случае отказа от дачи согласия на обработку персональных данных, внесения изменений в согласие или отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе осуществлять обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-12 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. .3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 12 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие подписанное в соответствии с федеральным законом электронной подписью или подтвержденное любым способом, позволяющим достоверно определить субъекта персональных данных и установить его волеизъявление. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе или иной идентификатор субъекта персональных данных, позволяющий установить лицо, выдавшее согласие, в том числе установленный соглашением сторон;4) цель (цели) обработки персональных данных. Если обработка персональных данных осуществляется в нескольких целях, согласие дается для всех указанных целей;6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу, или, в случае дачи согласия в электронной форме, может включать адрес страницы сайта оператора в информационно-телекоммуникационной сети «Интернет», содержащей указанный перечень данных. В случае изменения сведений, указанных на странице сайта оператора в сети «Интернет», о лице, которому оператор поручил обработку персональных данных, оператор обязан проинформировать субъекта персональных данных об указанных изменениях в течение семи рабочих дней с момента внесения указанных изменений;8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 — 12 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. 9. Субъект персональных данных вправе принять решение о предоставлении либо об отказе в предоставлении оператору согласия на обработку ранее собранных и обрабатываемых оператором на законных основаниях персональных данных в иных целях. |
6. | Статья 18. Обязанности оператора при сборе персональных данныхновая часть 2.14. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных; | Статья 18. Обязанности оператора при сборе персональных данных2. 1. В случаях, предусмотренных частью 1.1 статьи 9 настоящего Федерального закона, оператор обязан по требованию субъекта персональных данных внести изменения в согласие на обработку персональных данных, либо в течение семи рабочих дней с момента поступления указанного требования представить субъекту персональных данных мотивированный отказ в письменной форме, который может быть обжалован в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:4) оператор осуществляет обработку персональных данных для статистических исследовательских и (или) аналитических целей при условии обязательного обезличивания персональных данных, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных; |
Требуется ли согласие на обработку персональных данных от клиента, самостоятельно обратившегося с заявлением на сайт компании? //
На сайте организации предусмотрен раздел «Обратная связь», в котором клиенты могут задать интересующие вопросы по работе организации (в том числе направить жалобу).
При этом форма обращения клиента, заполняемая on-line, содержит поля для указания клиентом его персональных данных (фамилия, имя и отчество, номер телефона, адрес электронной почты).
Согласно ст. 9 Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных» согласие на обработку персональных данных может быть дано субъектом персональных данных в любой позволяющей подтвердить факт его получения форме.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.
Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
Правомерно ли получение согласия клиента на обработку его персональных данных посредством проставления клиентом отметки в соответствующем поле, содержащем текст согласия на обработку персональных данных, формы обращения на интернет-странице?
Требуется ли вообще получение от него согласия на обработку персональных данных, поскольку клиент организации самостоятельно обращается с заявлением?
Случаи допустимости обработки персональных данных перечислены в ст.
6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ). В частности, обработка персональных данных признается допустимой в случаях, когда она:
— осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
— необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п.п. 1, 2, 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Напомним, что под обработкой персональных данных для целей Закона N 152-ФЗ понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п.
Из вопроса не следует, что речь идет об обработке персональных данных, требующей получения согласия субъекта персональных данных именно в письменной форме. Поэтому согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Если технология заполнения размещенной на сайте формы запроса обеспечивает сохранность сведений о получении согласия (позволяет подтвердить его получение), то, на наш взгляд, такое согласие получено в надлежащей форме.
Следует учитывать, что в случае спора обязанность представления доказательств получения такого согласия возлагается на оператора (ч. 3 ст. 9 Закона N 152-ФЗ).
В рассматриваемом случае, как мы поняли из вопроса, обработка персональных данных заключается в их сборе, накоплении и использовании в целях информирования клиента об организации, оказываемых ею услугах и в соответствующих случаях об исполнении заключенного с клиентом договора.
Поэтому мы полагаем, что размещение дополнительной формы согласия на обработку персональных данных организации в этом случае не требуется, если обработка не выходит за рамки тех целей, которые заявлены организацией (для дачи ответа на сформулированный клиентом запрос). Если персональные данные будут обрабатываться не только в связи с предоставлением клиенту интересующей его информации, относящейся к сфере деятельности организации, но и для других целей, такая обработка потребует дополнительного согласия субъекта персональных данных, при отсутствии предусмотренных законом обстоятельств, когда оператор не обязан получать такое согласие (например, в силу п.
Косвенно этот вывод можно подтвердить судебной практикой. В постановлении от 13.12.2010 N Ф07-13220/2010 ФАС Северо-Западного округа указал применительно к рассмотренной им ситуации, что, отправив свои данные по алгоритму заполнения анкеты-запроса на получение ипотечного кредита, форма которой была размещена на веб-ресурсе, физические лица — потенциальные клиенты фактически выразили свое согласие на обработку своих персональных данных для определенных в анкете целей.
Кроме того, на наш взгляд, обработка персональных данных в этой ситуации может быть соотнесена с положением п. 2 ч. 1 ст. 6 Закона N 152-ФЗ, в соответствии с которым такая обработка допускается, если она необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
Так, если на отношения клиента и организации распространяется действие Закона РФ от 07.02.1992 N 2300-I «О защите прав потребителей» (далее также — Закон о защите прав потребителей), следует иметь в виду, что пункт 1 ст.
8 этого закона наделяет потребителя (гражданина, имеющего намерение заказать или приобрести либо заказывающего, приобретающего или использующего товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности — смотрите преамбулу к данному закону) правом требовать предоставления ему необходимой и достоверной информации об изготовителе (исполнителе, продавце), режиме его работы и реализуемых им товарах (работах, услугах). Закон о защите прав потребителей в ряде случаев предписывает определенные способы информирования потребителя (п. 1 ст. 9, п.п. 2, 3 ст. 10), однако по смыслу норм п. 2 ст. 8, п. 1 ст. 10 этого закона перечень форм и способов, с использованием которых потребитель может быть ознакомлен с информацией об исполнителе и оказываемых им услугах, не является исчерпывающим.
В связи с этим мы полагаем, что, если в рассматриваемом случае информация, доводимая до клиента с использованием электронной формы запроса, объективно направлена на возможность правильного выбора клиентом оказываемых организацией услуг, согласия на обработку персональных данных оператору не требуется, поскольку такое предоставление информации осуществляется во исполнение обязанности, возложенной на организацию как исполнителя услуг в соответствии с федеральным законом.
При этом обработка персональных данных не должна выходить за пределы информирования потребителя в соответствии с требованиями Закона о защите прав потребителей.
Отметим также, что персональные данные должны обрабатываться в целях, заранее определенных и заявленных при сборе персональных данных, в соответствии с полномочиями оператора (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ). По достижении цели обработки или в случае утраты необходимости в ее достижении персональные данные подлежат уничтожению (ч. 2 ст. 5, ч. 4 ст. 21 Закона N 152-ФЗ).
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Ерин Павел Информационное правовое обеспечение ГАРАНТ http://www.garant.ru
Пациент часто отказывается заполнять согласие на обработку персональных данных при оказании медицинских услуг гражданам в рамках ОМС. //
Как быть, если в законе предусмотрен отказ от дачи согласия, но не предусмотрена форма отказа?
Рассмотрев вопрос, мы пришли к следующему выводу:
Обработка персональных данных пациента — застрахованного лица, осуществляемая в целях исполнения норм законодательства об обязательном медицинском страховании, возможна и в отсутствие его согласия.
При этом обязанность каким-то образом оформлять отказ от дачи согласия на обработку персональных данных не установлена.
Обоснование вывода:
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Всевозможные действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, признаются обработкой персональных данных (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).
По общему правилу, сформулированному в ст. 6 Закона N 152-ФЗ, обработка персональных данных возможна только с согласия субъектов персональных данных, которое должно быть конкретным и информированным, то есть содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных (ч.
1 ст. 9 Закона N 152-ФЗ). В основу принятия субъектом персональных данных решения о предоставлении их к обработке положен гражданско-правовой принцип автономии воли (ч. 1 ст. 9 ГК РФ), подразумевающий свободное и самостоятельное принятие решения, основанного исключительно на внутреннем убеждении субъекта, определяющего характер и содержание собственных действий.
Частью 2 ст. 9 Закона N 152-ФЗ закреплено право субъекта в любое время отозвать свое согласие на обработку его персональных данных. Способ отзыва согласия, в том числе форма и сроки отзыва, должны предусматриваться согласием (п. 8 ч. 4 ст. 9 Закона N 152-ФЗ). При этом оператор может продолжить обработку персональных данных без согласия физического лица при наличии оснований, указанных в п.п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона N 152-ФЗ.
Из приведенных норм следует, что пациент сам решает, давать ему согласие на обработку его персональных данных или нет, и никто не может заставить его дать такое согласие.
Отметим, что закон не требует какого-либо оформления отказа от подписания согласия на обработку персональных данных. Если же согласие изначально было дано в письменной форме, то его отзыв должен быть документально подтвержден, поскольку данное обстоятельство возлагает на оператора определенные юридические обязанности, изложенные в ч.ч. 5, 6 ст. 20 Закона N 152-ФЗ.
Подчеркнем, нежелание пациента подписать согласие на обработку его персональных данных само по себе не означает, что медицинская организация управомочена отказать обратившемуся в оказании медицинских услуг. В п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ приведен перечень случаев, когда обработка персональных данных возможна без согласия субъекта. В частности, такая обработка допускается, если она необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ).
В терминологии Федерального закона от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» (далее — Закон N 326-ФЗ) граждане, на которых распространяется обязательное медицинское страхование, являются застрахованными лицами (п.
7 ст. 3 Закона N 326-ФЗ) и имеют право на бесплатное оказание им медицинской помощи медицинскими организациями при наступлении страхового случая*(1) на всей территории РФ в объеме, установленном базовой программой обязательного медицинского страхования, либо на территории субъекта РФ, в котором выдан полис обязательного медицинского страхования, в объеме, установленном территориальной программой обязательного медицинского страхования (п. 1 ч. 1 ст. 16 Закона N 326-ФЗ). Данному праву застрахованных лиц корреспондируется обязанность медицинских организаций бесплатно оказывать застрахованным лицам медицинскую помощь в рамках программ обязательного медицинского страхования (п. 1 ч. 2 ст. 20 Закона N 326-ФЗ). Причем исполнение данной обязанности не связывается с наличием или отсутствием согласия застрахованного лица на обработку его персональных данных. Необходимым предварительным условием оказания медицинских услуг является дача информированного добровольного согласия гражданина или его законного представителя на медицинское вмешательство (ч.
1 ст. 20 Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», далее — Закон N 323-ФЗ), без которого обслуживание пациента не допускается, за исключением случаев, строго регламентированных в ч. 9 ст. 20 Закона N 323-ФЗ.
Таким образом, обработка персональных данных пациента — застрахованного лица, осуществляемая в целях исполнения норм законодательства об обязательном медицинском страховании, возможна и в отсутствие его согласия, но в том объеме, в котором это установлено Законом N 326-ФЗ (смотрите также письмо Минздрава России от 17.11.2016 N 17-8/3102029-49381).
Кроме того, в п. 4 ч. 2 ст. 10 Закона N 152-ФЗ указано, что обработка специальных категорий персональных данных, касающихся в числе прочего состояния здоровья физического лица, осуществляемая в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну, допускается без согласия этого лица.
Конституционный Суд РФ в определении от 16.07.2013 N 1176-О разъяснил, что приведенное законоположение позволяет хранить информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной, а потому оно не может рассматриваться как нарушающее конституционные права граждан. Иными словами, такая обработка персональных данных будет законна без согласия самого пациента при ее осуществлении исключительно медицинским персоналом. Аналогичная позиция изложена в письме Минздрава России от 11.09.2014 N 18-1/10/2-6945, с которым можно ознакомиться, перейдя по ссылке: http://rulaws.ru/acts/Pismo-Minzdrava-Rossii-ot-11.09.2014-N-18-1_10_2-69 45/. Данный вывод разделяют и суды (смотрите, например, решение Ленинского районного суда г. Краснодара Краснодарского края от 24.07.2014 N 2-7599/2014, постановление Восьмого арбитражного апелляционного суда от 31.05.2018 N 08АП-3812/18).
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Информационное правовое обеспечение ГАРАНТ
http://www.garant.ru
Многоканальный телефон: (347) 292-44-44
─────────────────────────────────────────────────────────────────────────
*(1) Страховой случай — совершившееся событие (заболевание, травма, иное состояние здоровья застрахованного лица, профилактические мероприятия), при наступлении которого застрахованному лицу предоставляется страховое обеспечение по обязательному медицинскому страхованию (п. 4 ст. 3 Закона N 326-ФЗ).
152-ФЗ — Статья 11 — Биометрические персональные данные
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
Положения статьи 11 закона №152-ФЗ используются в следующих статьях:-
Статья 6
Условия обработки персональных данных
2.
Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона. Открыть статью -
Статья 9
Согласие субъекта персональных данных на обработку его персональных данных
2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. Открыть статью
Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона. Открыть статьюСОГЛАСИЕ на обработку персональных данных
Настоящим я, свободно, своей волей и в своем интересе в соответствии с положениями Федерального закона от 27.
07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) даю свое согласие: Обществу с ограниченной ответственностью «Планета Авто», адрес: 454128, г. Челябинск, ул. Братьев Кашириных, 143 (далее – «Общество»), его филиалам и обособленным подразделениям, а также следующим Операторам (далее – «Операторы»):
ООО «Планета Авто Групп», адрес: 454003, г. Челябинск, ул. Братьев Кашириных, 143;
на обработку своих персональных данных, указанных при регистрации и/или оставлении запроса, заявки на получение предложения и/или подписании на получение рекламной информации путем заполнения веб-формы на сайте http://cadillac.planeta-avto.ru и его поддоменов (далее – «Сайт»), направляемой (заполненной) с использованием Сайта.
Под персональными данными понимается любая информация, относящаяся ко мне как к субъекту персональных данных, в том числе: фамилия, имя, отчество, паспортные данные, дата и место рождения, адрес места жительства, контактные данные (номер домашнего, мобильного, рабочего телефонов, адрес электронной почты), семейное, социальное, имущественное положение, образование, профессия, информация об автомобиле (в случае наличия автомобиля), данные обо мне, которые станут известны в ходе исполнения договоров (в случае заключения договоров между мной и Обществом), а также иная общедоступная информация обо мне.
Я согласен с тем, что в рамках обработки персональных данных Общество, а также Операторы, поименованные выше, вправе осуществлять сбор, запись, систематизацию, накопление, анализ, использование, извлечение, распространение, передачу Операторам и / или любым иным третьим лицам, получение, обработку, хранение, уточнение (обновление, изменение), обезличивание, блокирование, удаление, уничтожение моих персональных данных путем ведения баз данных автоматизированным, механическим, ручным способами в целях:
- ведения и актуализации клиентской базы;
- получения и исследования статистических данных об объемах продаж и качестве оказываемых услуг;
- проведения маркетинговых программ;
- изучения конъюнктуры рынка автомобилей, автомобильных запасных частей и аксессуаров, услуг по ремонту автомобилей;
- проведению опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности Пользователя, постоянного совершенствования уровня предоставляемых услуг;
- информирования меня о предлагаемых Обществом/Оператором автомобилях, запасных частях и аксессуарах, оказываемых услугах, проводимых бонусных мероприятий, акций и т. д.;
- рекламирования и иного любого продвижения товаров и услуг на рынке путем осуществления прямых контактов со мной и иными потребителями;
- реализации страховых продуктов, в том числе, но, не ограничиваясь, оформление полисов КАСКО, ОСАГО и т.д.;
- технической поддержки при обработке информации, документации и персональных данных с использованием средств автоматизации и без такого использования.
д.;«Обезличенные данные» или что планируется в 152-ФЗ / Хабр
Краткая выдержка из законопроекта о внесении изменений в Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (152-ФЗ). С данными правками 152-ФЗ «позволит торговать» Big Data, усилит права оператора персональных данных. Возможно читателям будет интересно обратить внимание на ключевые моменты. Для детального разбора конечно же рекомендуется читать первоисточник.
Как указано в пояснительной записке:
Законопроект разработан во исполнение пункта 01.01.003.002.001 плана мероприятий по направлению «Нормативное регулирование» программы «Цифровая экономика», утвержденного Правительственной комиссией по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности 18 декабря 2017 г., протокол № 2.
Что кажется наиболее интересным?
(Ниже по тексту в отсылках везде имеется ввиду 152-ФЗ)
- Встречаем «Обезличенные данные».
«Обезличенные данные» не равно «Обезличенные персональные данные». «Обезличенные данные» тождественны анонимизированным персональным данным, описанным например здесь в контексте GDPR.
- Рождается еще одно согласие: на обработку персональных данных, несовместимую с целями сбора персональных данных (дополняется ч. 2 ст. 5).
- Обработка персональных данных теперь будет допускаться для предотвращения имущественного ущерба, предупреждения и предотвращения противоправных деяний (изменение в п. 7 ч.1 ст. 6) и для достижения общественно значимых целей (дополняется п. 7.1. ч. 1 ст.6).
- В п. 9 ч. 1 ст. 6 «или иных исследовательских» меняются на «исследовательских и (или) аналитических» (важный момент, вернемся ниже).
- Новое основание обработки в ч. 1 ст. 6 «12) осуществляется обработка персональных данных, полученных оператором на законных основаниях, в целях получения обезличенных данных». Здесь легализуется обработка по обезличиванию данных без участия субъекта персональных данных.
- Добавляется ст. 8.1., которая допускает гражданско — правовой оборот обезличенных персональных данных. Т.е. данные можно будет использовать для коммерческих целей, продавать третьим лицам. При статистических, исследовательских и (или) аналитических целях согласие субъекта на это не требуется.
- Если при обработке обезличенных персональных данных теряется «обезличенность», согласие в последующем можно не спрашивать (но законное основание подобрать придется). На это указывает добавленная «(или)» во фразе «…осуществляется с согласия субъекта персональных данных и(или) при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6…».
- Обезличенные данные могут использоваться свободно без согласия субъекта (изменения по ч. 4 ст. 8.1).
- Требования и методы обезличивания отнесены на уровень Правительства РФ.
- Уточняются формы получения персональных данных по ч. 1 ст. 9, формально легализуются электронные формы получения согласия: СМС, форма на сайте, иные способы.
- Субъект персональных данных будет иметь возможность изменить состав целей обработки персональных данных, заявленных в (едином) согласии. Здесь отменяется принцип: «Одна цель – одно согласие». Соответствующие изменения по объединению целей вносятся в ч. 4 ст. 9. В случае отказа оператора персональных данных внести изменение в согласие, мотивированный отказ можно будет обжаловать в Роскомнадзор.
- По ч. 4 ст. 9 упрощается подписание согласия в электронной форме, теперь вместо «в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью» планируется так: «подписанное в соответствии с федеральным законом электронной подписью или подтвержденное любым способом, позволяющим достоверно определить субъекта персональных данных и установить его волеизъявление».
- По факту легализуется
неформальносуществующая практика публикации на сайте перечня третьих лиц, обрабатывающих персональные данные .
7 ч.1 ст. 6) и для достижения общественно значимых целей (дополняется п. 7.1. ч. 1 ст.6).
На это указывает добавленная «(или)» во фразе «…осуществляется с согласия субъекта персональных данных и(или) при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6…».
Как сообщает Телеграм-канал Privacy Experts (@privacyexperts):
Законопроект содержит широко трактуемые понятия. Например, «предупреждения и предотвращения противоправных деяний» или «общественно значимые цели».В тоже время, законопроект не содержит решений, если в результате обработки совокупности данных станет возможным отнесение отдельных персональных данных к конкретному субъекту.
Видно, что положение субъекта персональных данных ухудшается, в то же время не исключены риски для оператора персональных данных, связанные с документированием процессов обработки персональных данных по новым видам обработки.
Не ясно в каком порядке нужно удалять данные при изменении целей обработки в «Едином согласии».
Пояснительная записка завершается указанием на то, что законопроект соответствует положениям Договора о Евразийском экономическом союзе от 29 мая 2014 года, а также положениям иных международных договоров Российской Федерации, и не повлияет на индикаторы государственных программ Российской Федерации и их результаты.
Обработка данных
Политика конфиденциальности и персональные данные
Информация для пользователей сайта verum.su
УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ (О НАМЕРЕНИИ ОСУЩЕСТВЛЯТЬ ОБРАБОТКУ) ПЕРСОНАЛЬНЫХ ДАННЫХ
Посещая наш сайт verum.su вы даете свое согласие на обработку персональных данных в соответствии с 152-ФЗ РФ «О персональных данных»:
Оператор, получающий персональные данные: ООО «Верум-клиник».
Цель обработки персональных данных: оказание услуг / запись на исследования.
Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных: имя и фамилия, мобильный номер, email.
Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу: передача данных для обработки не осуществляется.
Перечень действий с персональными данными, на совершение которых дается согласие; общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, удаление.
Срок, в течение которого действует согласие субъекта персональных данных: три календарных года с даты предоставления персональных данных.
Способ отзыва персональных данных: физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных») в любой момент, отправив письменное заявление с указанием ранее предоставленных данных оператору и дату прекращения использования своих персональных данных. Оператор незамедлительно удалит все сообщения с персональными данными заявителя.
Дата начала обработки персональных данных: 01.07.2017 года.
ФОРМА ОТЗЫВА ПЕРСОНАЛЬНЫХ ДАННЫХ
Заполняя форму отзыва персональных данных вы даете свое согласие на прекращение обработки персональных данных. Вся информация, связанная с перепиской по указанным персональным данным, будет безвозвратно удалена!
Нажимая на кнопку «Отправить», вы подтверждаете свое согласие на удаление своих персональных данных.
ЗАЯВЛЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ И НЕРАЗГЛАШЕНИИ ИНФОРМАЦИИ
Дата последнего изменения данного Заявления: 01 июля 2017 г.
ООО «Верум-клиник» стремится уважать ваше право на частную жизнь. Мы разработали данные принципы по конфиденциальности и неразглашению информации («Заявление о конфиденциальности и неразглашении информации»), которые должны дать вам понимание того как работает наш веб-сайт, и как мы обращаемся с персональными данными.
Наши правила по конфиденциальности и неразглашению информации: мы не собираем персональные данные посредством данного веб-сайта, если вы не пожелаете предоставить их нам добровольно. Под персональными данными мы понимаем информацию, которая позволяет однозначно идентифицировать вас как физическое лицо. Используя наш веб-сайт, вы соглашаетесь на то, что мы можем осуществлять сбор и использовать информацию в соответствии с тем, как это указывается в данном «Заявление о конфиденциальности и неразглашении информации».
Обратите внимание, что настоящее Заявление относится только к интерактивной онлайн деятельности в сети Интернет.
Как мы используем предоставляемые данные
Если вам нужно будет предоставить личные сведения для доступа к функциям сайта, мы четко укажем, как эти данные будут использованы. Мы не передаем, не продаем и не сдаем в аренду кому-либо другому ваши персональные данные. Мы осуществляем только запись на выбранную вами услугу и уведомления вас о результатах готовности исследований, которые оказывает наш центр. Также возможно информирование о наших новостях и акциях средствами связи (смс-информирование, email-рассылка).
Уведомление
В тех случаях, когда ООО «Верум-клиник» необходимо получить персональные данные напрямую от посетителей, мы информируем их о целях и планируемом использовании полученных данных, вариантах выбора и средствах, если таковые предусмотрены, которые мы предоставляем нашим пользователям для ограничения использования и раскрытия персональных данных.
Уведомления, в которых посетителей просят оставить личные сведения, написаны простым и понятным языком. ООО «Верум-клиник» не использует и не раскрывает персональные данные в целях, отличающихся от представленных в момент их получения.
Согласие
ООО «Верум-клиник» считает, что предоставление согласия является одним из наиболее важных принципов сохранения права на неприкосновенность частной жизни. Вы имеете право не предоставлять нам персональные данные (хотя в таких ситуациях у вас не получится воспользоваться возможностями, которые предоставляет наш сайт).
ООО «Верум-клиник» использует персональные данные только в соответствии данному вами согласию и только для тех целей, для которых эти данные были получены. Мы предпринимаем все необходимые меры для того, чтобы удостовериться, что персональные данные соответствуют их запланированному использованию, что они точны, полны и не устарели.
Одна из таких мер – предоставление пользователям доступа к их персональным данным, которые они указали на нашем веб сайте.
Вы можете связаться с нами по адресу [email protected], отправив по нему запрос на получение соответствующего доступа. На некоторых из наших веб сайтов для просмотра и изменения ваших данных вы можете зарегистрироваться под соответствующим профилем.
Безопасность
Один из наших приоритетов – безопасность персональных данных, и мы предпринимаем все необходимые меры предосторожности для ее обеспечения.
ООО «Верум-клиник» использует технологию SSL для защиты сообщений, в которых передаются персональные данные. Эта технология зашифровывает данные до передачи их через Интернет между вашим компьютером и нашими серверами.
Хотя ООО «Верум-клиник» и использует технологию SSL для выполнения некоторых задач, мы не можем гарантировать полную конфиденциальность всех передаваемых данных (включая электронные письма) как на наши веб сайты, так и от них.
Мы защищаем персональные данные, сохраненные на наших серверах, от неавторизованного доступа, используя необходимые технические и процедурные методы контроля.
Хотя ООО «Верум-клиник» использует аппаратные и административные методы, направленные на обеспечение безопасности персональных данных, мы не можем гарантировать, что они будут находиться в абсолютной безопасности от лиц, которые могут попытаться преодолеть механизмы безопасности системы или перехватить передаваемые через Интернет сообщения.
Сохранение персональных данных
После предоставления вами персональных данных компании ООО «Верум-клиник» мы храним эти данные столько времени, сколько они будут нам нужны, чтобы предоставлять вам запрошенные вами сервисы, если вы не сообщите нам об обратном, или столько, сколько требует закон.
Файлы-маркеры
Файлы-маркеры (cookies) – это небольшие информационные сообщения, которые наши веб сайты могут отправлять вашему Интернет браузеру. Cookies используются только нашими веб-сайтами, во времявашего пребывания на сайтах. Сайты ООО «Верум-клиник» отправляют вашему Интернет браузеру файлы-маркеры, содержащие уникальный идентификатор, что помогает нам лучше понять, как используются ресурсы сайта в целом, и увидеть, какие области сайта предпочитают пользователи.
ООО «Верум-клиник» сможет прочитать содержимое только тех файлов-маркеров, которые были размещены нами; мы не можем получить доступ или прочесть содержимое файлов-маркеров других сайтов.
Мы можем использовать данные файлов-маркеров в совокупности, отслеживая навигацию по сайту и потоки трафика. Такие кумулятивные и анонимные данные помогут нам улучшить информационное наполнение сайта, и мы можем предоставлять эти данные нашим партнерам или третьим лицам.
Веб-маяки
Для измерения эффективности работы и/или трафика на наших сайтах, могут использоваться так называемые «пиксельные тэги» (веб-маяки) вместе с файлами-маркерами (cookies). Пиксельный тэг – это тип графического элемента веб страницы, который часто представляется невидимым, поскольку его размер равен 1 х 1 пиксель. Этот тэг используется для отслеживания числа посетителей сайта и того, как они перемещаются по нему. Например, мы можем использовать такой тэг для подсчета числа посетителей нашего сайта или конкретных страниц со статистическими целями.
Мы не используем технологию пиксельных тэгов для сбора персональных данных.
IP-адреса
IP-адрес (адрес по протоколу Интернет) – это число, которое автоматически присваивается вашему компьютеру провайдером Интернет услуг при подключении к Интернету. ООО «Верум-клиник» может собирать IP-адреса для проведения анализа совокупности полученных данных в отношении числа посетителей и использования ресурсов сайта. Ваш IP-адрес не связывается с предоставляемыми вами личными идентификационными сведениями. Тем не менее, наша компания оставляет за собой право использовать IP-адрес для идентификации лиц, которые представляют угрозу нашему сайту, сервисам или клиентам, в соответствии с существующими законодательными требованиями.
История посещений
«История посещений» или «данные истории посещений» — это данные о конкретных веб страницах, посещенных пользователем и, что важно, та «манера» или «модель трафика», с которой пользователь переходит с одной веб страницы на другую.
Мы отслеживаем эти данные только в пределах нашего веб сайта; мы не отслеживаем никакую историю посещений для ресурсов за пределами веб страниц ООО «Верум-клиник». Данные истории посещений не содержат или не раскрывают какие-либо персональные данные о наших пользователях, а мы не проводим сопоставление этих данных с персональными данными, которые вы предоставили нам.
Прочие свойства наших сервисов
На наших сайтах могут присутствовать различные функции, которые направлены на предоставление вам различных сервисов или на то, чтобы помочь нам лучше понять ваши потребности. Например, иногда мы можем просить вас предоставить персональные данные при заполнении анкеты или участии в конкурсе. В других случаях мы можем предложить вам другие веб-ориентированные сервисы, такие как письма с новостями, письма-напоминания. При представлении данной функциональности на наших сайтах мы четко описываем, с какой целью нам нужно получить такие данные, а также то, как планируется их использовать.
Завершая работу на сайте verum.su
В качестве дополнительных ресурсов для наших посетителей, мы предоставляем ссылки на другие веб сайты. Мы стараемся аккуратно выбирать такие сайты, которые, по нашему мнению, полезны для вас и соответствуют нашим высоким стандартам качества. Тем не менее, мы не гарантируем соблюдение стандартов качества на каждом веб сайте, для которого предоставляется ссылка. Мы также не несем ответственность за материалы, размещенные на сайтах, не являющихся сайтами компании ООО «Верум-клиник». Ссылки на внешние веб-сайты предоставлены только для вашего удобства и/или с информационными целями и ни в каком случае не являются указанием на их поддержку с нашей стороны. Пожалуйста, обратите внимание на то, что рекламодатели или сторонние веб-сайты могут запрашивать у вас персональные данные. Методы обработки информации на таких сайтах, которые связаны с нашим сайтом посредством рекламы или прочих гиперссылок, не регулируются правилами и принципами, приводимыми в настоящем «Заявлении о конфиденциальности и неразглашении информации».
Мы предлагаем вам, если вы переходите по ссылке на другой веб-сайт, обязательно ознакомиться с правилами конфиденциальности и неразглашении информации на этом сайте перед предоставлением своих персональных данных.
Изменения в настоящем «Заявлении о конфиденциальности и неразглашении информации»
Настоящее «Заявление о конфиденциальности и неразглашении информации» может периодически пересматриваться. Пользуясь сайтом, вы признаете наше право менять правила в отношении конфиденциальности и неразглашения информации без предварительного уведомления. Со своей стороны мы обязуемся отражать все изменения на данной странице так, чтобы вы были проинформированы о том, какие типы данных мы собираем, как мы их используем, при каких обстоятельствах (если таковые существуют) эти данные могут быть разглашены. На веб странице «Заявления о конфиденциальности и неразглашении информации» будет указываться дата последнего его обновления. Мы рекомендуем вам просматривать страницу «Заявления о конфиденциальности и неразглашении информации» при каждом посещении нашего сайта с тем, чтобы вовремя узнавать об изменениях в наших правилах в отношении конфиденциальности и неразглашения информации.
Неприкосновенность частной жизни ребенка: Веб сайты компании ООО «Верум-клиник» не предназначены для использования детьми в возрасте младше 12 лет. Мы заведомо не собираем персональные данные в интерактивном режиме от посетителей данной возрастной категории.
Вы обязаны покинуть сайты компании ООО «Верум-клиник», если вы младше 12 лет!
5 шагов для подготовки бизнеса к Закону о персональных данных 152-ФЗ
Персональные данные граждан относятся к особо защищаемой информации. Законодательство Российской Федерации (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяет требования к защите персональных данных, особенности и правила их обработки без использования средств автоматизации и в информационных системах. .
Ответственность за сбор, обработку, хранение и защиту персональных данных сотрудников, клиентов и других лиц полностью принадлежит владельцу компании.Поэтому на любом предприятии должен быть установлен порядок работы с ПД, а также разработаны соответствующие документы и действия по организации защиты ПД.
Тем не менее, у любого предпринимателя может возникнуть вполне резонный вопрос: «Распространяется ли на мою компанию Закон № 152-ФЗ?» Ответ прост: Закон № 152-ФЗ распространяется на всех, кто собирает и обрабатывает персональные данные.
В этой статье мы приводим пошаговые инструкции, которые помогут вам выполнить требования к защите и обработке персональных данных.
Кто регулирует закон о защите данных в России
Федеральный закон № 152-ФЗ определяет государственные организации, уполномоченные осуществлять контроль в области защиты персональных данных. В законе определены три ведомства Российской Федерации, которые контролируют выполнение юридическими лицами того, что от них требует закон для эффективной защиты ПД граждан. Это такие государственные органы как:
Роскомнадзор;
ФСТЭК;
ФСБ.
Как обрабатывать PD
Закон № 152-ФЗ практически полностью отражает обязанности оператора.
Помимо этого закона, другие акты также содержат требования к обработке персональных данных. Например, ТК РФ регулирует обработку персональных данных сотрудников. В случае обработки ПДн без использования технических средств дополнительно применяется соответствующее Постановление Правительства РФ № 687.
Законов и подзаконных актов много, но реально вам может помочь перечень документов в Приказе Роскомнадзора № 247 от 13.12.2017, который содержит перечень обязательств операторов. При проведении аудита Роскомнадзор проверяет, соблюдаются ли правила, установленные документами этого списка.
Шаг 1. Проведите инвентаризацию.
Первый шаг — разобраться, какие информационные системы есть у компании и какие специалисты с ними работают.К этому следует привлечь руководство компании и ИТ-отдел. К процессу также должны быть привлечены HR-специалисты, юристы и менеджеры по продажам.
Чаще всего компании обрабатывают персональные данные сотрудников, клиентов и подрядчиков.
Главное при этом — точно понимать, какие персональные данные обрабатываются, откуда они поступают и куда передаются. Другими словами, вам необходимо наметить информационные потоки, связанные с обработкой персональных данных, как автоматизированной, так и ручной.
Шаг 2. Определите уровни защиты личных данных.
До марта 2013 года все, кто работал с персональными данными, должны были классифицировать свои ISPDn. Этот заказ отменен. Таким образом, классификация ISPD по степени их безопасности больше не действует.
Однако есть уровни безопасности личных данных. Уровень защиты персональных данных — показатель, отражающий требования к обеспечению защиты.Их четыре — чем выше уровень, тем требуется более серьезная защита. Уровни безопасности указаны в Постановлении Правительства 1119.
Шаг 3. Модель угрозы.
Определите текущие угрозы для информационных систем и опишите их в модели угроз.
Модель угроз — это документ, отражающий реальные угрозы, потенциально влияющие на работу той или иной информационной системы.
Требования к мерам защиты персональных данных при их обработке в информационных системах содержатся в Приказе ФСТЭК России № 21.
Результатом выполнения двух предыдущих шагов должен стать полный список требований по защите персональных данных: уровень защиты, модель угроз; требования, учитывающие особенности информационной системы обработки персональных данных.
Шаг 4. Реализация мер по защите персональных данных.
После того как вы определили требования, вы должны их реализовать. Защита персональных данных предполагает выполнение технических и организационных мероприятий.
Технические меры: межсетевой экран, антивирус, анализ безопасности, шифрование.
Организационные меры: назначение ответственного за защиту персональных данных; разработка внутренних документов, регулирующих обработку персональных данных (все сотрудники должны прочитать документ под своей подписью). Вам необходимо составить «Политику обработки персональных данных» и «Пользовательское соглашение».
Существуют различные типы согласия субъекта данных.Документ не требует определенной формы, но содержит сведения, предусмотренные частью 4 статьи 9 152-ФЗ. Требования к получению согласия описаны в статье.
При разработке Политики обработки персональных данных рекомендуем руководствоваться инструкциями Роскомнадзора.
Шаг 5. Уведомление государственных органов.
Оператор должен уведомить Роскомнадзор об обработке персональных данных и предоставить им данные, собранные на предыдущих этапах.Сделать это можно через сайт. Роскомнадзор ведет специальный реестр операторов персональных данных и обновляет его для получения новой информации.
В некоторых случаях в уведомлении Роскомнадзора нет необходимости. Например, если вы обрабатываете только данные сотрудников или если PD собираются только с целью выполнения конкретного контракта с конкретным лицом и не будут использоваться в дальнейшем.
Заключение
В настоящее время правильная обработка персональных данных в компании приравнивается к таким обязательствам, как своевременная уплата налогов или соблюдение прав сотрудников.
Несоблюдение требований законодательства может повлечь наложение штрафа до 295 000 рублей.
Во избежание финансовых потерь от уплаты штрафов и компенсации морального вреда гражданам или приостановления бизнеса из-за блокировки веб-сайта и проверок Роскомнадзором компании должны с самого начала обеспечить обработку персональных данных в соответствии с закон.
Повышены штрафы за нарушение законодательства РФ о локализации
13 июня 2019 г. внесен законопроект [1] о повышении штрафов за нарушение Федерального закона №242-ФЗ [2] (Закон о локализации данных) был внесен в Государственную Думу (т.е. . , нижняя палата Федерального Собрания). После принятия законопроектов максимальный штраф для юридических лиц в соответствии с Законом о локализации данных составит 6 миллионов рублей (около 82 190 евро). Законопроект также предусматривает усиление санкций за неоднократные нарушения этого законодательства — максимальный штраф составляет 18 миллионов рублей (около 247 тысяч евро).
Цель законопроекта — побудить иностранные компании соблюдать российское законодательство о защите данных.Поэтому компаниям, ведущим бизнес в России, важно оценить соблюдение ими этого законодательства, чтобы снизить риск увеличения штрафов.
I. Объем обязательств по локализации данных
Сбор и использование персональных данных в России в основном регулируется Федеральным законом № 152-ФЗ [3] (Закон о персональных данных). В сентябре 2015 года этот закон был существенно изменен Законом о локализации данных. Он ввел новую обязанность контролеров данных при сборе персональных данных граждан России в режиме онлайн или офлайн: « записывать, систематизировать, накапливать, хранить, обновлять, изменять и извлекать такие данные в базе данных, расположенной на территории Российской Федерации. ” [4]
Закон о локализации данных в первую очередь применяется к операторам, зарегистрированным в России в контексте этого учреждения.
В своем официальном руководстве, [5] российский орган по защите данных (Роскомнадзор) подтвердил, что этот закон также применим к любому оператору данных, зарегистрированному за пределами России, но ведущему свою деятельность с использованием веб-сайта «, ориентированного на территорию России. . »В соответствии с инструкциями веб-сайт считается« , нацеленный на территорию России », если у него есть доменное имя, связанное с Россией (например,g., ru, su, Moscow) и / или русскоязычная версия сайта содержит одну из следующих функций:
- Возможность оплаты в рублях
- Возможность выполнения контракта на территории России (например, . , предоставление согласованных услуг в России)
- Реклама в России
- Прочие признаки, указывающие на намерение оператора выйти на российский рынок
Операторы, которые удовлетворяют вышеуказанным условиям, должны гарантировать, что собираемые ими персональные данные о гражданах России должны обрабатываться через базы данных, расположенные в России.
Требование локализации данных не распространяется на персональные данные граждан России, собранные за пределами России, если оператор не нацелен на российский рынок (например, данные граждан России, проживающих за пределами России).
Есть пять исключений из обязательства по локализации данных, например, при обработке:
- Требуется для достижения целей международного договора или по закону, или для целей соблюдения обязательств, возложенных на контролера данных российским законодательством.
- Относится к участию субъекта данных в любом судебном разбирательстве, включая арбитраж.
- В целях правоприменения
- Выполняется государственными органами, оказывающими общественные услуги
- Осуществляется средствами массовой информации или журналистом в ходе своей профессиональной или научной или иной творческой деятельности, если права и законные интересы субъектов данных не нарушаются [6]
II.
Не влияет на правила трансграничной передачи данных
Закон о локализации данных не внес поправок в правила трансграничной передачи данных. Действительно, Роскомнадзор подтвердил, что Закон о локализации данных предусматривает только то, что база данных, в которой изначально записываются персональные данные, должна находиться в России. Однако информация из такой базы данных может быть позже перенесена в базы данных, расположенные за пределами России, в соответствии с положениями Закона о персональных данных о трансграничных переводах. [7]
Закон «О персональных данных» разрешает передачу персональных данных в юрисдикцию с надлежащей защитой с учетом других положений этого закона и любых ограничений российской конституционной системы. Государства, являющиеся участниками Конвенции № 109 [8] Совета Европы, считаются обеспечивающими адекватный уровень защиты, а также те государства, которые были специально названы Роскомнадзором как обеспечивающие этот уровень защиты.
Передача персональных данных в другие юрисдикции возможна только в следующих случаях:
- С предварительного письменного согласия субъекта данных
- По международному договору
- В соответствии с федеральным законом и если это требуется для обеспечения обороны и безопасности государства или защиты конституционного строя Российской Федерации
- Для обеспечения безопасности транспортной системы
- В контексте исполнения договора с субъектом данных
- Для защиты жизни, здоровья или других жизненно важных интересов субъекта данных или других лиц, когда невозможно получить согласие субъекта данных
Следует отметить, что хотя российское законодательство не требует предварительного уведомления Роскомнадзора о трансграничной передаче данных, такое уведомление требуется до первой обработки персональных данных, [9] , если оператор данных не подлежит освобождение.Это исключение применяется, если данные:
- Обработано для трудоустройства
- Получено в связи с договором без дальнейшей передачи таких персональных данных третьим лицам
- Связано с обработкой общественного объединения или религиозной организации
- Обнародовано субъектом данных
- Ограничено фамилией, именем и отчеством субъекта данных
- Необходимо для обеспечения единовременного доступа субъекта данных к помещениям контролера
- Часть информационных систем персональных данных, отнесенных к государственным автоматизированным информационным системам или созданных для обеспечения общественного порядка
- Обработано без использования автоматизированного оборудования
- Обработано в соответствии с требованиями законодательства, касающимися безопасности транспортной системы
Это уведомление должно содержать информацию о возможной трансграничной передаче личных данных, а также о локализации базы данных.
III. Текущие санкции за нарушение обязательств по локализации данных
В настоящее время не существует конкретных штрафов за невыполнение обязательства по локализации данных. Кодекс РФ об административных правонарушениях предусматривает наказание за « непредставление или несвоевременное представление данных (информации) в государственный орган ». [10] Размер штрафа может достигать 5 000 рублей (около 70 евро). [11] Такие штрафы вряд ли можно считать эффективными, особенно по сравнению с теми, которые предусмотрены Общим регламентом о защите данных [12] и размером компаний, таких как Facebook.
Таким образом, единственным риском несоблюдения обязательства по локализации данных для иностранных компаний является право Роскомнадзора потребовать судебного постановления о блокировании доступа к веб-сайту, через который соответствующий оператор данных обрабатывает персональные данные в нарушение российских законов о защите данных.
В ноябре 2016 года Роскомнадзор использовал это право, приказав крупным российским интернет-провайдерам заблокировать доступ к LinkedIn за нарушение Закона о локализации данных [13] ; LinkedIn по-прежнему не работает в России.
Усиление санкций за нарушение обязательства по локализации данных, вероятно, побудит иностранные компании более строго соблюдать российское законодательство о защите данных, которое обеспечивает определенную степень гибкости, особенно в отношении требований к трансграничной передаче данных. В этом отношении в Европе действуют более строгие правила, поскольку GDPR ограничивает передачу персональных данных за пределы ЕС.
[1] https://sozd.duma.gov.ru/bill/729516-7.
[2] Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О полномасштабном локальном хранении и обработке персональных данных граждан Российской Федерации».
[3] Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
[4] Статья 18 (5) Закона РФ «О персональных данных».
[5] Минкомсвязи России, Обработка и хранение персональных данных в Российской Федерации (последнее обновление: 12 февраля 2016 г.): https://digital.gov.ru/ru/personaldata/.
[6] Статья 6 Закона РФ «О персональных данных».
[7] Статья 12 Закона РФ «О персональных данных».
[8] Совет Европы, Конвенция о защите частных лиц в отношении автоматической обработки персональных данных, № 108, 28 января 1981 г.
[9] Статья 22 Закона РФ «О персональных данных».
[10] Facebook был оштрафован на 3000 рублей (около 43 евро) за непредоставление информации о локализации данных граждан России в российских базах данных: https://rkn.gov.ru/news/rsoc/news65764.htm.
[11] Арт. 19.7 Кодекса Российской Федерации об административных правонарушениях.
[12] Регламент (ЕС) 2016/679 от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC; штраф до 10 миллионов евро, или 2 процента от оборота
, или до 20 миллионов евро, или 4 процентов от годового оборота.
[13] https://www.mos-gorsud.ru/rs/taganskij/cases/docs/content/27b4bb17-652a-4e2f-a101-d3c82bcdf2c4.
Усилено исполнение требований 152-ФЗ
Персональные данные пользователей играют все более важную роль в создании новых бизнес-моделей для компаний. В Российской Федерации действуют два закона — 152-ФЗ и 242-ФЗ, устанавливающие требования к безопасности и хранению персональных данных. В настоящее время у большинства компаний нет достаточного опыта, чтобы самостоятельно выполнять сложные процедуры, касающиеся этих мер безопасности. Предоставление всего комплекса мер решаться в защищенном облаке третьей стороны — одно из основных решений для преодоления этой проблемы.
Такое мнение высказали участники семинаров по защите персональных данных, организованных Linxdatacenter для представителей бизнеса в Москве и Санкт-Петербурге в октябре 2019 года. Семинары стали продолжением летних мероприятий «152-ФЗ: ожидания и реальность».
Персональные данные пользователей играют все более важную роль в создании новых бизнес-моделей, услуг и продуктов, которые используют аналитику данных, различные типы распознавания и идентификации личности, онлайн-транзакции и т.
Д.Наряду с этим возрастает нагрузка на бизнес по обеспечению корректной обработки этой информации в соответствии с законодательством Российской Федерации. Если требования не будут выполнены, регулятор оштрафует компанию.
Однако Вадим Перевалов, старший юрист BakerMcKenzie , считает, что штрафы для бизнеса — не самые страшные последствия нарушений в сфере работы с ДП сегодня. «За обработку персональных данных без письменного согласия лица предусмотрен административный штраф.Федеральная служба связи, информационных технологий и массовых коммуникаций (Роскомнадзор) также издает приказ об устранении в течение 6 месяцев. Однако самый неприятный момент — это публикация информации о нарушении закона в открытых источниках. Для крупных компаний доступ к таким источникам и далее к СМИ означает репутационные риски, которые могут оказаться значительно дороже, чем любые штрафы и постановления », — отмечает эксперт.
Более того, по словам Вадима Перевалова, кто-то может быть записан регулятором, если на компанию поступит определенное количество жалоб о нарушении закона, если политика обработки персональных данных не опубликована на сайте компании, актуально уведомления об обработке персональных данных в Федеральную службу связи, информационных технологий и массовых коммуникаций (Роскомнадзор) не направляются.
Участники семинаров пришли к выводу, что в современных условиях комплекс работ по обработке и защите ПД представляет собой бесконечный цикл. В большинстве компаний конфигурация систем защиты информации и утвержденные бизнес-процессы отстают от скорости развития киберугроз и требуют обновления по мере изменения бизнес-процессов.
По словам Бориса Меркулова, специалиста по облачным решениям Linxdatacenter и инженера по информационной безопасности , облачная разработка становится фактором риска.По оценкам аналитиков, около 83% корпоративных ИТ-систем крупных компаний в ближайшее время перейдут на облачные платформы, что уже приводит к трансформации кибератак в сторону комбинированного типа (использование шифровальщиков, ботнетов нулевого дня и т. .).
Сегодня основной проблемой для большинства компаний является фишинг. В среднем на каждую компанию в мире приходит до 200 фишинговых писем в день. Более того, в связи с распространением утечек ПД фишинг становится целенаправленным и более эффективным.
Борис Меркулов также сказал: «В отношении России можно сказать, что наличие 152-ФЗ и 242-ФЗ гарантирует выполнение необходимых минимальных мер информационной безопасности для защиты персональных данных. Однако регулирующие органы слишком медленно реагируют на изменения в киберугрозах, выпуская запоздалые предупреждения и рекомендации по борьбе с типами угроз, которые давно выявлены на практике. В этой ситуации бизнес должен взять на себя все функции по независимому изучению ландшафта угроз и принятию адекватных мер по их предотвращению и устранению.Поставщикам услуг необходимо как следить за текущим состоянием отрасли информационной безопасности, так и предоставлять инфраструктуру и решения по обеспечению соответствия требованиям законодательства для решений информационной безопасности для конечных клиентов ».
Ольга Ермакова, старший юрисконсульт и специалист по комплаенсу Linxdatacenter , считает, что в соответствии с требованиями Закона 152-ФЗ, статья 19 в области защиты ПДн предприятиях обязаны принимать три вида мер для обеспечения этого — организационные, юридические.
и технический.Эти меры должны быть необходимыми и достаточными для соблюдения требований закона.
«Сегодня любая организация может сама построить систему защиты персональных данных по своему усмотрению. Однако сложный характер задачи и ряд специфических технических требований делают наиболее целесообразным передачу этой области под контроль компетентного подрядчика. Это позволяет дополнительно взглянуть на задачу «со стороны», юридической и технической экспертизой, подтвержденной необходимыми сертификатами в области информационной безопасности », — отмечает эксперт.
Интересный пример продвинутого решения для обработки ПДн в текущих условиях нормативных требований представила Дарья Прохорова, руководитель департамента правового обеспечения ООО «Газпром нефть Проекты ».
На фоне цифровой реструктуризации всех бизнес-процессов в компании было принято решение разработать процедуры получения разрешения на обработку персональных данных, альтернативную письменной форме, которая будет использоваться при входе на территорию компании.
Сегодня Научно-технический центр «Газпром нефти» работает над решением, позволяющим посетителю ознакомиться с соглашением об обработке персональных данных в электронном виде и подписать его без ручки и бумаги. Действующие нормы Гражданского кодекса позволяют подтверждать подлинность договоров без подписи соответствующими действиями, например, сканированием паспорта.
Система, которую планирует создать НТЦ «Газпром нефть», будет распознавать фотографии из паспорта, фотографировать посетителя и сравнивать их.Кроме того, он считывает паспортные данные и автоматически добавляет информацию в электронную базу данных.
Подобные действия позволяют получить разрешение на обработку биометрических персональных данных в виде электронного документа, при этом отпадает необходимость работы с бумагой.
Федеральная служба связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по-разному реагирует на идею получения разрешения в электронном виде с использованием электронной подписи.
Как резюмирует Дарья Прохорова: «Нужно быть готовым к тому, что правоприменительная практика в этом вопросе в России еще недостаточно развита, и иное толкование закона регулятором и операторами персональных данных возможно. В то же время мы надеемся, что проект будет реализован единогласно с уполномоченными органами ».
Эксперты пришли к выводу, что у бизнеса пока недостаточно экспертизы для самостоятельного выполнения требований 152-ФЗ.И что еще более важно, компании не стремятся к получению этих знаний из-за сложности процедур. В этой ситуации аутсорсинг остается одним из основных векторов развития сферы защиты ПД. При этом весь комплекс задач информационной безопасности решается в защищенном облаке стороннего поставщика услуг, имеющего необходимые сертификаты регулирующих органов, встроенные средства безопасности и защиту на уровне архитектуры решения (например, учетную запись гибридного облака. ).Специалисты Linxdatacenter фиксируют постоянно растущий спрос на такой комплексный сервис со стороны клиентов, которые работают с персональными данными потребителей.
Россия одобрила повышенные штрафы за нарушение требований к обработке данных | Морган Льюис
Государственная Дума одобрила проект изменений в Кодекс Российской Федерации об административных правонарушениях, которые значительно увеличивают денежные штрафы за нарушение законодательства Российской Федерации о конфиденциальности.
10 февраля 2021 года Государственная Дума РФ приняла в третьем чтении законопроект [1] (Законопроект), который предлагает ужесточить штрафные санкции за нарушение правил обработки персональных данных в России, установленных Федеральным законом № .152-ФЗ «О персональных данных» от 27 июля 2006 г. (Закон о ПД).
Законопроект предлагает внести поправки в статью 13.11 Кодекса об административных правонарушениях, которая устанавливает административную ответственность в сфере конфиденциальности, следующим образом: (а) значительно увеличить размер государственных штрафов за несоблюдение требований ПД Закон; и (б) ввести новые виды ответственности за повторные правонарушения.
Арт. 13,11 | Тип нарушения [1] | Действующая сумма государственного штрафа | Вновь предложенный размер государственного штрафа (в долларах США 3 ) |
Часть 1 | Обработка персональных данных без надлежащих правовых оснований или несовместимая с целями сбора данных | 40 5 — 675 | 815 — 1,355 |
Часть 1.1 (новый) | Повторное правонарушение, предусмотренное частью 1 статьи 13.11 | н / д | 1,355 — 4,065 |
Часть 2 | Обработка персональных данных без письменного согласия субъекта данных (если такое согласие требуется) или несоблюдение требований к содержанию таких письменных согласий | 205 — 1015 | 405 — 2,030 |
Часть 2. | Повторное правонарушение, предусмотренное частью второй статьи 13.11 | н / д | 4,065 — 6,770 |
Часть 3 | Неспособность опубликовать (или иным образом предоставить доступ) политику конфиденциальности и другую информацию об обработке данных | 205-405 | 40 5 — 815 |
Часть 4 | Несообщение субъекту данных об обработке его персональных данных | 270–540 | 540–1,085 |
Часть 5 | Невыполнение запроса субъекта данных об изменении, блокировании или уничтожении его / ее личных данных | 340 — 610 | 680 — 1,215 |
Часть 5. | Повторное правонарушение, предусмотренное частью 5 статьи 13.11 | н / д | 4,065 — 6,770 |
Часть 6 | Неспособность обеспечить защиту и конфиденциальность физических носителей, содержащих персональные данные | 340–675 | 675 — 1,355 |
1 (новый) Практикующие юристы ожидали, что Законопроект положит решительный конец длительным дискуссиям о том, можно ли умножить размер государственных штрафов на количество нарушений, допущенных компанией.Другими словами, если нарушение прав на неприкосновенность частной жизни 20 субъектов данных будет означать, что сумма государственного штрафа будет умножена на 20. Вопреки ожиданиям, Законопроект об этом ничего не говорит. Как и прежде, механизм применения новых штрафов будет зависеть от правоприменительной практики Росатома (Роскомнадзор).
Примечательно, что Законопроект не предлагает изменять штрафы за нарушение так называемого «требования локализации». Штрафы по частям 8 и 9 статьи 13.11 остаются нетронутыми. Напомним, что несоблюдение требования о локализации может повлечь за собой штраф в размере до 81 000 долларов США за первое нарушение и примерно до 244 000 долларов США за второе нарушение.
Кроме того, в отличие от действующей редакции Кодекса об административных правонарушениях, которая позволяет Роскомнадзору в определенных случаях выносить так называемое «предупреждение за нарушения», чтобы дать компании время исправить нарушение, в Законопроекте предлагается ужесточить ответственность и разрешить властям только налагать штрафы, а не выносить предупреждения.
Чтобы свести к минимуму риск штрафных санкций, любая организация, работающая в России или с персональными данными российских граждан (имеющая юридическое присутствие в России или нет), должна гарантировать, что во время обработки данных существуют действительные правовые основания для обработки таких данных.
(включая согласие субъектов данных в письменной форме, если это требуется в соответствии с Законом о ПД) и что все действия по обработке данных должным образом формализованы, как того требует Закон о ПД (включая любые трансграничные передачи данных). Пожалуйста, обратитесь к одной из наших недавних публикаций, в которых обсуждаются требования защиты данных здесь.
Законопроектом также предлагается увеличить срок давности за нарушения Закона о ПД до одного года с даты нарушения. Примечательно, что большинство нарушений требований к обработке персональных данных являются так называемыми «продолжающимися правонарушениями», что означает, что срок давности исчисляется с даты обнаружения нарушения.
ДАТА ДЕЙСТВИЯ Для вступления в силу законопроект должен быть одобрен Советом Федерации, верхней палатой российского парламента, затем подписан президентом России и официально опубликован.Предлагается вступить в силу через 30 дней после официального опубликования.
Важно отметить, что помимо административной ответственности в соответствии с Кодексом об административных правонарушениях, который был изменен Законопроектом, нарушение Закона о ПД в определенных случаях может также привести к гражданской или даже уголовной ответственности по российскому законодательству.
Стажер-юрист Алена Нескоромюк внесла свой вклад в создание этого LawFlash.
[1] Законопроект « О внесении изменений в Кодекс Российской Федерации об административных правонарушениях. ”
[2] Для удобства мы отразили штрафы, применимые только к юридическим лицам. Также на должностных лиц компании налагаются отдельные государственные штрафы.
[3] Рассчитано по курсу EX на 11.02.2021 г.
[Просмотр исходного кода.]
| Имя: | Закон №125-ФЗ от 24 июля 1998 г. «Об обязательном социальном страховании от несчастных случаев и профессиональных заболеваний» с изменениями и дополнениями. |
| Страна: | Российская Федерация |
| Тема (и): | Пособие по несчастному случаю на производстве и профессиональному заболеванию |
| Тип законодательства: | Закон, Закон |
| Принято: | 1998-07-24 |
| Вступление в силу: | |
| Опубликовано: | Закон (текст с изменениями до февр.2003), 2003-05, № 5, с. 48-59 |
| ISN: | RUS-1998-L-50555 |
| Ссылка: | https://www. ilo.org/dyn/natlex/natlex4.detail?p_isn=50555&p_lang=en |
| Библиография: | Закон (текст в редакции до февраля 2003 г.), 2003-05, № 5, стр. 48-59 Неофициальный перевод на английский язык (в редакции до февраля 2002 г.) Всероссийский союз страховщиков, Российская Федерация (консультация 2004- 10-22) |
| Аннотация / Образец цитирования: | Обеспечивает бенефициаров, взносы, права и обязанности застрахованных.Вносит изменения и дополнения в Трудовой кодекс (разделы 159 и 240) и Принципы законодательства об охране труда (раздел 19) в области ответственности и компенсации ущерба, причиненного работникам при выполнении ими своих профессиональных обязанностей. |
| Текст (ы) отменен : | |
| Текст (ы) изменения : | |
| Измененный текст : | |
| Реализация текста (ов) : | |
| Связанный текст : |
Политика
«Проект 3,14» считает своим долгом защищать конфиденциальность личных данных клиентов (далее — «Личные данные», «Личные данные»), которых можно идентифицировать любым способом и которые посещают сайт www.
project314.com («Веб-сайт») и пользоваться его услугами («Услуги»). Поправки к настоящей Политике конфиденциальности появятся на Сайте и / или в Сервисах и вступят в силу сразу после публикации. Использование Сервисов после внесения любых изменений в Политику конфиденциальности считается принятием этих изменений.
Настоящая Политика конфиденциальности регулирует отношения между Project 3,14 и физическим или юридическим лицом («Вы», «Ваш») в отношении предоставления и обработки Персональных данных.
Project 3,14 обрабатывает ваши личные данные в соответствии с условиями, которые являются предметом настоящей Политики конфиденциальности.
Политика конфиденциальности вступает в силу с момента регистрации на Сайте.
Project 3,14 оставляет за собой право изменять эту Политику конфиденциальности в любое время без какого-либо специального уведомления. Если Вы продолжаете пользоваться услугами Project 3,14 после публикации изменений в Политике конфиденциальности, считается, что Вы принимаете изменения условий Политики конфиденциальности.
Регистрируясь на сайте «Проект 3,14», Вы подтверждаете свое решение предоставить Ваши персональные данные и свое согласие на их обработку по выбору и в собственных интересах, за исключением случаев, предусмотренных частью 2 статьи 9 Федерального закона Российской Федерации. 27 июля 2006 г. N 152-ФЗ «О персональных данных».
Вы несете ответственность за предоставление личных данных другого лица.
Персональные данные, предоставленные Вами проекту 3,14, используются для:
- совершить транзакцию и / или оказать услугу;
- предоставить Вам доступ к Веб-сайту, Услугам и улучшить качество Веб-сайта и Услуг;
- предоставить Вам дополнительную информацию, чтобы Вы могли более эффективно использовать Веб-сайт и Услуги;
- создавать, управлять и контролировать вашу учетную запись и проверять права доступа к услугам и программному обеспечению;
- связываться с Вами, чтобы сообщать об изменениях или дополнениях Услуг или обо всех доступных услугах, которые мы предоставляем;
- оценить уровень обслуживания, посещаемость и популярность различных вариантов обслуживания;
- осуществлять нашу маркетинговую деятельность;
- соблюдать настоящую Политику конфиденциальности;
- подать претензию и ответить на поданные претензии;
- защищает Ваши, наши, наши права и законные интересы пользователей и третьих лиц в соответствии с действующим законодательством Российской Федерации.
Project 3,14 обязуется не разглашать Ваши личные данные третьим лицам.
Project 3,14 оставляет за собой право в случаях, предусмотренных законом, раскрывать личную информацию соответствующим агентствам, если это сделано для защиты здоровья, жизни или свободы другого человека.
Project 3,14 имеет право использовать персональные данные пользователя для электронных информационных бюллетеней и дайджестов специальных предложений, а также для совершения транзакций и предоставления услуг.
Вы принимаете Политику конфиденциальности, регистрируясь на Сайте, и тем самым даете свое согласие на обработку персональных данных.
Вы соглашаетесь с тем, что Проект 3,14 имеет право хранить и обрабатывать, включая автоматизированную обработку, любую информацию, относящуюся к Вашим персональным данным в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», включая сбор, систематизацию. , накопление, хранение, уточнение, использование, распространение (в том числе раскрытие), обезличивание, блокирование, уничтожение предоставленных Вами персональных данных.
Обработка ваших персональных данных осуществляется путем смешанной обработки персональных данных без раскрытия и с передачей через внутреннюю сеть Project 3,14, с передачей или без передачи в Интернете.
Project 3,14 гарантирует конфиденциальность и безопасность обработки Ваших персональных данных. В случае отзыва вашего согласия на обработку персональных данных Project 3,14 удаляет ваши персональные данные и не использует их в будущем.
В случаях, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», обработка персональных данных может осуществляться только с письменного согласия субъекта персональных данных. Письменное согласие на обработку, предоставляемое субъектом персональных данных, должно включать:
- фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего личность, сведения о дате выдачи этого документа и органе, его выдавшем;
- наименование (фамилия, имя, отчество) и адрес оператора, получившего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых соглашается субъект персональных данных;
- перечень действий с персональными данными, с которыми субъект согласен, общее описание используемых оператором методов обработки персональных данных;
- период, в течение которого согласие остается в силе, а также описание процедуры отзыва согласия.
Для обработки персональных данных, содержащихся в письменном согласии субъекта на обработку персональных данных, дополнительное согласие не требуется.
В случае недееспособности субъекта персональных данных письменное согласие на обработку его персональных данных должно быть предоставлено законным представителем субъекта персональных данных.
В случае смерти субъекта персональных данных письменное согласие на обработку его персональных данных должны быть предоставлены наследниками, если такое согласие не было предоставлено субъектом персональных данных при его жизни.
Согласие на сбор и использование информации
Когда вы присоединяетесь к нам в качестве пользователя наших Услуг, мы просим предоставить личную информацию, которая будет использоваться для активации вашей учетной записи, предоставления вам Услуг, общения с вами по вопросам, касающимся статуса вашей учетной записи, а также для других целей, изложенных в настоящем документе.
Политика конфиденциальности. Ваше имя, название компании, адрес, номер телефона, адрес электронной почты и некоторая другая информация о вас может потребоваться нам для первоначального доступа к Услугам или может быть указана в процессе использования Услуг.Вам также будет предложено создать пароль, который станет частью вашей учетной записи.
Предоставляя нам свою личную информацию, вы добровольно соглашаетесь на сбор, использование и раскрытие таких личных данных. Не ограничивая вышеизложенное, мы можем время от времени подтверждать ваше согласие в процессе сбора, использования или раскрытия вашей личной информации при определенных обстоятельствах. В некоторых случаях ваше согласие будет подтверждено вашим взаимодействием с нами, если цель сбора, использования или раскрытия информации очевидна, и вы предоставляете эту информацию добровольно.
В определенных случаях мы можем информировать вас о наших продуктах, услугах, новостях и событиях. У вас есть возможность не получать эту информацию.
Мы предоставляем возможность отказаться от подписки на такие электронные письма или приостановить оповещения для вышеупомянутой информации, если вы свяжетесь с нами и подтвердите свое желание не предоставлять вам эту информацию. Единственный тип сообщений, от которых Вы не можете отказаться, — это обязательные уведомления, касающиеся Сервисов, информации, связанной с Вашей Учетной записью, запланированных приостановок и остановок обслуживания.Мы сделаем все возможное, чтобы свести к минимуму такие предупреждения для Вас.
Возраст совершеннолетия
Мы сознательно отказываемся предоставлять Услуги и не будем намеренно собирать персональные данные несовершеннолетних.
Права на вашу информацию
Вы имеете право в любое время просматривать и редактировать вашу информацию через веб-интерфейс, предоставляемый как часть Услуг.
Раскрытие информации
Мы будем раскрывать вашу информацию третьим лицам только в соответствии с вашими инструкциями или, если необходимо, для оказания вам определенных услуг или по другим причинам в соответствии с действующим законодательством Российской Федерации.
Мы не торгуем, не продаем, не распространяем и не раскрываем Вашу личную информацию без предварительного Вашего разрешения, за исключением случаев, предусмотренных законодательством Российской Федерации.
Совокупные (анонимные) данные
Мы также можем использовать вашу личную информацию для получения совокупных данных для внутреннего использования и обмена с выбранными сторонами. Термин «совокупные данные» относится к информации, которая была лишена уникальных деталей (невозможно определить право собственности на такие данные без дополнительной информации) для потенциальной идентификации клиентов, целевых страниц или конечных пользователей, и которая была изменена или объединены для предоставления обобщенной и анонимной информации.Ваша личность и личные данные будут храниться анонимно в агрегированных данных.
Ссылки
Веб-сайт может содержать ссылки на другие веб-сайты, и мы не несем ответственности за политику конфиденциальности или содержание этих веб-сайтов.
Мы рекомендуем ознакомиться с политикой конфиденциальности соответствующих веб-сайтов. Их политика конфиденциальности и действия отличаются от нашей.
Файлы cookie и ведение журнала
Мы используем файлы cookie и файлы журналов для отслеживания информации о пользователях.Файлы cookie — это небольшие объемы данных, которые передаются веб-сервером через ваш веб-браузер и хранятся на жестком диске вашего компьютера. Мы используем файлы cookie для отслеживания версий страниц, которые видел посетитель, для подсчета кликов, сделанных посетителем на определенной странице, для отслеживания трафика и измерения популярности настроек сервиса. Мы будем использовать эту информацию, чтобы предоставить Вам соответствующие данные и услуги. Эта информация также позволяет нам гарантировать, что посетители видят целевую страницу, которую они ожидают увидеть, если они вернутся по тому же URL-адресу, что позволяет нам определить, сколько людей нажимают на ваши целевые страницы.
Безопасность
Мы сделаем все возможное, чтобы предотвратить несанкционированный доступ к Вашей личной информации, однако никакая передача данных через Интернет, мобильные или беспроводные устройства не может гарантировать 100% безопасность.
Мы продолжим укреплять систему безопасности по мере появления новых технологий и методов.
Мы настоятельно рекомендуем Вам никому не сообщать свой пароль. Если вы забыли свой пароль, мы попросим вас подтвердить свою личность и отправим вам электронное письмо со ссылкой, которая позволит вам сбросить пароль и создать новый.
Помните, что вы контролируете данные, которые вы предоставляете нам с помощью Сервисов. Вы несете полную ответственность за конфиденциальность вашей личности, паролей и / или любой другой личной информации, которая находится в вашем распоряжении в процессе использования Услуг. Всегда будьте осторожны и осторожны с вашей личной информацией. Мы не несем ответственности за использование информации, которую вы раскрываете третьим лицам и не можете контролировать, поэтому вы должны быть очень осторожны при выборе личной информации, которую вы предоставляете третьим лицам через Услуги.Таким же образом мы не несем ответственности за содержание личной информации или другой информации, которую Вы получаете от других пользователей через Сервисы.
Используя Сервис и Веб-сайт, вы освобождаете нас от любой ответственности в отношении содержания любой личной информации или другой информации, которую вы можете получить с помощью Услуг. Мы не можем гарантировать и не несем ответственности за проверку и точность личной информации или другой информации, предоставленной третьими сторонами. Используя Сервис и Веб-сайт, вы освобождаете нас от какой-либо ответственности в отношении использования такой личной информации или любой другой информации о третьих лицах.
Если у Вас есть какие-либо вопросы или предложения относительно Политики конфиденциальности, напишите нам по адресу [email protected]
Согласие субъекта персональных данных на обработку персональных данных
Согласие субъекта персональных данных на обработку персональных данных
Последнее обновление: 24 апреля 2019 г.
Настоящим мы гарантируем, что предоставленные вами персональные данные будут обрабатываться в строгом соответствии с требованиями российского законодательства о конфиденциальности данных и Политики конфиденциальности Общества с ограниченной ответственностью MyTona («Оператор»), зарегистрированный офис: ул.
Аммосова, 10., Якутск, Республика Саха (Якутия), Россия, 677018.
1. Вы даете Оператору согласие на обработку ваших персональных данных путем:
1.1. продолжать посещать сайты Оператора и использовать их функциональные возможности;
1.2. отметка «V» в поле «Согласие» при заполнении соответствующих веб-форм на сайте Оператора.
Предоставляя свое согласие, вы разрешаете Оператору обрабатывать ваши личные данные, указанные в соответствующих веб-формах на веб-сайте Оператора, а также данные, полученные во время посещений вашего веб-сайта и использования его функций.
2. Все персональные данные обрабатываются таким образом, чтобы обеспечить достижение одной, нескольких или всех целей, перечисленных ниже:
2.1. просматривать и фиксировать ваши запросы (предложения, отзывы, претензии, благодарности) Оператору и оказывать информационную поддержку;
2.2. для исследования, опроса и взаимодействия с вами, например, по электронной почте или другим средствам связи;
2.
3. для развития и улучшения нашего веб-сайта;
2.4. когда необходимо сделать то, что вы просили, для отправки вам связанной информации, предупреждений безопасности и сообщений поддержки;
2.5. Формировать кадровый резерв.
Ваши личные данные будут обрабатываться как автоматизированными, так и неавтоматизированными средствами путем получения таких данных через открытые интернет-каналы и будут включать данные, собранные от третьих лиц, записи, системы, накопление данных, хранение, спецификацию (обновления, изменения ), извлечение, использование, передача (предоставление доступа), блокирование, удаление и уничтожение. Оператор может передавать ваши личные данные исключительно своим сотрудникам, а также третьим лицам, связанным обязательствами конфиденциальности, включая, помимо прочего, MyTona Pte.ООО
Это согласие также распространяется на трансграничную передачу ваших личных данных, в том числе в страны, не считающиеся безопасной третьей страной (т.
е. не обеспечивающие адекватный уровень защиты данных), при условии принятия мер по защите.
3. Оператор может обрабатывать следующие данные, полученные (собранные) во время посещения вашего веб-сайта и использования его функций:
3.1. IP-адрес устройства пользователя;
3.2. Информация о факте, дате, времени IP-адреса и посещения сайта;
3.3. Количество загрузок, название и тип загруженных файлов;
3.4. Продолжительность сеанса пользователя;
3.5. Интернет-провайдер пользователя;
3.6. Данные интернет-трафика;
3.7. Присвоенный идентификатор cookie;
3.8. Веб-браузер пользователя и тип устройства;
3.9. Поисковые запросы пользователя;
3.10. Географическое расположение IP-адреса пользователя;
3.11 Псевдоним пользователя.
Вышеуказанная информация может быть получена Оператором с использованием различных методов, включая, помимо прочего, файлы cookie и веб-маяки.
Технические возможности веб-сайтов MyTona и решений сторонних поставщиков, включая Google Analytics, используются для сбора данных. Сторонние поставщики не сравнивают и не могут сравнивать данные, которые они получают, с личными данными, указанными вами на веб-сайтах MyTona, которые идентифицируют вас. Сторонние поставщики несут ответственность за хранение и дальнейшую обработку данных, которые они получают на своих серверах, Оператор не несет ответственности за их местонахождение.
4. Настоящее Согласие действительно с момента его предоставления и действует в течение периода рассмотрения ваших запросов, сводок, информации, опросов и мероприятий, в которых вы принимаете участие, а также в течение 10 лет после этого.
5. Вы можете отозвать свое Согласие в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», направив Оператору письменный запрос или заполнив форму обратной связи на сайте. Если вы отзовете свое согласие, Оператор может продолжить обработку ваших персональных данных без вашего согласия на основаниях, указанных в пунктах 2-11 части 1 статьи 6, P.
