Статья 7 фз 152 о персональных данных: Статья 7. Конфиденциальность персональных данных / КонсультантПлюс

Статья 7. Закон о персональных данных N 152-ФЗ от 27.07.2006

Статья 7. Закон о персональных данных N 152-ФЗ от 27.07.2006

Актуально на:

03 октября 2021 г.

Федеральный закон РФ «О персональных данных», N 152-ФЗ | ст. 7

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Постоянная ссылка на документ

• URL
• HTML
• BB-код
• Текст

URL документа [скопировать]

<a href=»»></a>

HTML-код ссылки для вставки на страницу сайта [скопировать]

[url=][/url]

BB-код ссылки для форумов и блогов [скопировать]

—

в виде обычного текста для соцсетей и пр. [скопировать]

Скачать документ в формате

Изменения документа

Постоянная ссылка на документ

• URL
• HTML
• BB-код
• Текст

URL документа [скопировать]

<a href=»»></a>

HTML-код ссылки для вставки на страницу сайта [скопировать]

[url=][/url]

BB-код ссылки для форумов и блогов [скопировать]

—

в виде обычного текста для соцсетей и пр. [скопировать]

Скачать документ в формате

Составить подборку

Анализ текста

Идет загрузка…

Статья 7 Федеральный закон «О персональных данных» 152-ФЗ

Статья 7.

Конфиденциальность персональных данных (Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных») 

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

 

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Комментарий к статье 7

1. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием, определяющим дальнейшую деятельность оператора. По смыслу действующего законодательства требование конфиденциальности связано исключительно с ограничением на распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.

В целях обеспечения конфиденциальности персональных данных операторами и третьими лицами, получающими доступ к персональным данным, должна быть разработана действенная система мер по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Реализация последних зависит от используемых оператором средств организационной, технической, программной, криптографической, правовой и иной защиты.

Меры по охране конфиденциальности персональных данных, принимаемые оператором, должны включать в себя:

1) определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера. Сделанная оговорка неслучайна. В литературе неоднократно подчеркивается, что установленная Указом Президента РФ от 6 марта 1997г. N 188 «Об утверждении Перечня сведений конфиденциального характера» структура конфиденциальной информации носит обобщенный характер и не отвечает требованиям, предъявляемым действительностью. Подчеркивается, что фактически далеко не все персональные данные являются конфиденциальными, в частности, многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги и т.п.обнародуются по согласию субъекта. Кроме того, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа (см. Закон РФ «О государственной тайне», ФЗ «О коммерческой тайне» и др.). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т. п.). В режиме личной тайны -сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны — сведения о взаимоотношениях членов семьи, в том числе родственных^[15];

2) ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.

Наряду с указанными мерами оператор персональных данных вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством РФ^[16].

Меры по охране конфиденциальности информации признаются разумно достаточными,

если:

1) исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя;

2) обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты.

Установление пределов объема усилий оператора, требующихся для сохранения конфиденциальности персональных данных, с одной стороны, призвано мотивировать оператора персональных данных предпринимать меры к их охране, не полагаясь на то, что его интересы в случае незаконного приобретения сведений, входящих в состав персональных данных, третьим лицом будут автоматически считаться нарушенными, а с другой — служить гарантией того, что субъект персональных данных не будет принужден к принятию всего спектра мер к охране собственных интересов^[17].

Режим конфиденциальности персональных данных не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2. Законодатель предусматривает возможность установления режима, открытости персональных данных, делая исключения из условия о конфиденциальности для общедоступных массивов сведений и обезличенных персональных данных.

Неразрывная связь персональных данных с личностью их субъекта и возможность идентификации последнего требует повышенной защищенности в процессе их обработки. В случаях если из них могут быть исключены сведения-идентификаторы, режим конфиденциальности, устанавливаемый для персональных данных, снимается. Законодатель допускает использование обезличенных персональных данных без согласия их субъекта в целях проведения статистических, социологических, исторических, медицинских и других научных и практических исследований. При этом остается нераскрытой процедура обезличивания персональных данных, соответствие ее определенному этапу их обработки, степень обезличивания. Предположительно процедура обезличивания предполагает полное исключение из состава персональных данных, позволяющих определить биографические сведения их обладателя и тем самым его идентифицировать. К такого рода информации могут быть отнесены: фамилия, имя, отчество, дата и место рождения, адрес места жительства, иные идентифицирующие лицо сведения. В целях обезличивания персональных данных допускается процедура замены сведений, при условии что тем самым не нарушаются права иных лиц и не создается угроза их безопасности.

Настоящим Законом предусмотрено исключение из режима конфиденциальности для общедоступных массивов персональных данных (справочники, телефонные книги, адресные книги, массивы персональных данных руководителей фирм и т.п.), которые создаются в целях информационного обеспечения общества. При этом регулируется содержание и порядок формирования таких массивов, права субъектов персональных данных, сведения о которых включены в подобный массив. Эти положения закона призваны препятствовать созданию и неконтролируемому распространению справочников типа упомянутых выше баз данных на Ой (йУй) и многочисленных справочников «Кто есть кто…», содержащих подчас информацию, не санкционированную и не проверенную субъектом персональных данных.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» — Администрация Смоленской области

анных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

2) предусмотренных международными договорами Российской Федерации;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1.  Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

1.  При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 101 настоящего Федерального закона; (В редакции Федерального закона от 30.12.2020 № 519-ФЗ)

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. (Часть введена — Федеральный закон от 21.07.2014 № 242-ФЗ)

(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)

Статья 181. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.

(Статья введена — Федеральный закон от 25.07.2011 № 261-ФЗ)

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигае

Россия одобрила повышенные штрафы за нарушение требований к обработке данных | Морган Льюис

Госдума одобрила проект изменений в Кодекс Российской Федерации об административных правонарушениях, которые значительно увеличивают денежные штрафы за нарушение законодательства Российской Федерации о неприкосновенности частной жизни.

10 февраля 2021 года Государственная Дума РФ приняла в третьем чтении законопроект [1] (Законопроект), который предлагает ужесточить штрафные санкции за нарушение правил обработки персональных данных в России в порядке, установленном Федеральным законом № .152-ФЗ «О персональных данных» от 27 июля 2006 г. (Закон о ПД).

Законопроект предлагает внести поправки в статью 13.11 Кодекса об административных правонарушениях, которая устанавливает административную ответственность в сфере конфиденциальности, следующим образом: (а) значительно увеличить размер государственных штрафов за несоблюдение требований ПД. Закон; и (б) ввести новые виды ответственности за повторные правонарушения.

Арт. 13,11	Тип нарушения [1]	Действующая сумма государственного штрафа (в долларах США [2])	Вновь предложенный размер государственного штрафа (в долларах США 3 )
Часть 1	Обработка персональных данных без надлежащих правовых оснований или несовместимая с целями сбора данных	40 5 — 675	815 — 1,355
Часть 1. 1 (новый)	Повторное правонарушение, предусмотренное частью 1 статьи 13.11	н / д	1,355 — 4,065
Часть 2	Обработка персональных данных без письменного согласия субъекта данных (если такое согласие требуется) или несоблюдение требований к содержанию таких письменных согласий	205 — 1015	405–2 030
Часть 2.1 (новый)	Повторное правонарушение, предусмотренное частью 2 статьи 13.11	н / д	4 065 — 6 770
Часть 3	Неспособность опубликовать (или иным образом предоставить доступ) политику конфиденциальности и другую информацию об обработке данных	205-405	40 5 — 815
Часть 4	Несообщение субъекту данных об обработке его персональных данных	270–540	540–1 085
Часть 5	Невыполнение запроса субъекта данных об изменении, блокировании или уничтожении его / ее личных данных	340 — 610	680 — 1,215
Часть 5. 1 (новый)	Повторное правонарушение, предусмотренное частью 5 статьи 13.11	н / д	4 065 — 6 770
Часть 6	Неспособность обеспечить защиту и конфиденциальность физических носителей, содержащих персональные данные	340 — 675	675 — 1,355

Практикующие юристы ожидали, что Законопроект положит решительный конец длительным дискуссиям о том, можно ли умножить сумму государственных штрафов на количество нарушений, допущенных компанией.Другими словами, если нарушение прав на неприкосновенность частной жизни 20 субъектов данных будет означать, что сумма государственного штрафа будет умножена на 20. Вопреки ожиданиям, Законопроект об этом ничего не говорит. Как и прежде, механизм применения новых штрафов будет зависеть от правоприменительной практики Росатома (Роскомнадзор).

Примечательно, что Законопроект не предлагает изменять штрафы за нарушение так называемого «требования локализации». Штрафы по частям 8 и 9 статьи 13.11 остаются нетронутыми. Напомним, что несоблюдение требования о локализации может повлечь за собой штраф в размере до 81 000 долларов США за первое нарушение и примерно до 244 000 долларов США за второе нарушение.

Кроме того, в отличие от действующей редакции Кодекса об административных правонарушениях, которая позволяет Роскомнадзору в определенных случаях выносить так называемое «предупреждение за нарушения», чтобы дать компании время исправить нарушение, в Законопроекте предлагается ужесточить ответственность и разрешить властям только налагать штрафы, а не выносить предупреждения.

Чтобы свести к минимуму риск штрафных санкций, любая организация, работающая в России или с персональными данными российских граждан (имеющая юридическое присутствие в России или нет), должна гарантировать, что во время обработки данных всегда существуют действительные правовые основания для обработки таких данных. (включая согласие субъектов данных в письменной форме, если этого требует Закон о ПД) и что все действия по обработке данных должным образом формализованы, как того требует Закон о ПД (включая любые трансграничные передачи данных). Пожалуйста, обратитесь к одной из наших недавних публикаций, в которых обсуждаются требования по защите данных , здесь.

СРОК ОГРАНИЧЕНИЯ

Законопроектом также предлагается увеличить срок давности за нарушения Закона о ПД до одного года с даты нарушения. Примечательно, что большинство нарушений требований к обработке персональных данных являются так называемыми «продолжающимися правонарушениями», что означает, что срок давности исчисляется с даты обнаружения нарушения.

ДАТА ДЕЙСТВИЯ

Для вступления в силу законопроект должен быть одобрен Советом Федерации, верхней палатой российского парламента, затем подписан президентом России и официально опубликован.Предлагается вступить в силу через 30 дней после официального опубликования.

Важно отметить, что помимо административной ответственности в соответствии с Кодексом об административных правонарушениях, который был изменен Законопроектом, нарушение Закона о ПД в определенных случаях может также привести к гражданской или даже уголовной ответственности по российскому законодательству.

Стажер-юрист Алена Нескоромюк внесла свой вклад в создание LawFlash.

[1] Законопроект «« О внесении изменений в Кодекс Российской Федерации об административных правонарушениях ». ”

[2] Для удобства мы отразили штрафы, применимые только к юридическим лицам. На должностных лиц компании также налагаются отдельные государственные штрафы.

[3] Рассчитано по курсу EX на 11.02.2021 г.

[Просмотр исходного кода.]

Увеличены штрафы за нарушение Закона о локализации в РФ

13 июня 2019 г. в НКУ внесен законопроект ^[1] об увеличении штрафов за нарушение Федерального закона № 242-ФЗ ^[2] (Закон о локализации данных). Государственная Дума (т.е . , нижняя палата Федерального Собрания). После принятия законопроектов максимальный штраф для юридических лиц в соответствии с Законом о локализации данных составит 6 миллионов рублей (около 82 190 евро). Законопроект также предусматривает усиление санкций за неоднократные нарушения этого законодательства — максимальный штраф составляет 18 миллионов рублей (около 247 тысяч евро).

Цель законопроекта — побудить иностранные компании соблюдать российское законодательство о защите данных. Поэтому компаниям, ведущим бизнес в России, важно оценить соблюдение ими этого законодательства, чтобы снизить риск увеличения штрафов.

I. Объем обязательств по локализации данных

Сбор и использование персональных данных в России в основном регулируется Федеральным законом № 152-ФЗ ^[3] (Закон о персональных данных). В сентябре 2015 года этот закон был существенно изменен Законом о локализации данных. Он ввел новую обязанность для контроллеров данных при сборе персональных данных граждан России в режиме онлайн или офлайн: « записывать, систематизировать, накапливать, хранить, обновлять, изменять и извлекать такие данные в базе данных, расположенной на территории Российской Федерации. ” ^[4]

Закон о локализации данных в первую очередь применяется к операторам, зарегистрированным в России в контексте этого учреждения. В своем официальном руководстве, ^[5] российский орган по защите данных (Роскомнадзор) подтвердил, что этот закон также применим к любому оператору данных, зарегистрированному за пределами России, но ведущему свою деятельность с использованием веб-сайта «, нацеленного на территорию России. . »Согласно инструкции, веб-сайт считается« , направленным на территорию России », если у него есть доменное имя, связанное с Россией (например,g., ru, su, Moscow) и / или русскоязычная версия сайта содержит одну из следующих функций:

• Возможность оплаты рублями
• Возможность выполнения контракта на территории России (например, . , предоставление согласованных услуг в России)
• Реклама в России
• Другие признаки, указывающие на намерение оператора выйти на российский рынок

Операторы, которые удовлетворяют вышеуказанным условиям, должны гарантировать, что собираемые ими персональные данные о гражданах России должны обрабатываться через базы данных, расположенные в России. Требование локализации данных не распространяется на персональные данные граждан России, собранные за пределами России, если оператор не нацелен на российский рынок (например, данные граждан России, проживающих за пределами России).

Есть пять исключений из обязательства по локализации данных, например, при обработке:

• Требуется для достижения целей международного договора или по закону, или для целей соблюдения обязательств, возложенных на контролера данных российским законодательством
• Относится к участию субъекта данных в любом судебном разбирательстве, включая арбитраж.
• Выполняется в правоохранительных целях
• Выполняется государственными органами, оказывающими общественные услуги
• Осуществляется средствами массовой информации или журналистом в ходе своей профессиональной или научной или иной творческой деятельности, если права и законные интересы субъектов данных не нарушаются ^[6]

II. Не влияет на правила трансграничной передачи данных

Закон о локализации данных не внес поправок в правила трансграничной передачи данных. Действительно, Роскомнадзор подтвердил, что Закон о локализации данных предусматривает только то, что база данных, в которой изначально записываются персональные данные, должна находиться в России. Однако информация из такой базы данных может быть позже перенесена в базы данных, расположенные за пределами России, в соответствии с положениями Закона о персональных данных о трансграничных переводах. ^[7]

Закон «О персональных данных» разрешает передачу персональных данных в юрисдикцию с надлежащей защитой при соблюдении других положений этого закона и любых ограничений российской конституционной системы. Государства, являющиеся участниками Конвенции № 109 ^[8] Совета Европы, считаются обеспечивающими адекватный уровень защиты, а также те государства, которые были специально названы Роскомнадзором как обеспечивающие этот уровень защиты.

Передача персональных данных в другие юрисдикции возможна только в следующих ситуациях:

• С предварительного письменного согласия субъекта данных
• По международному договору
• В соответствии с федеральным законом и если это требуется для обеспечения обороны и безопасности государства или защиты конституционного строя Российской Федерации
• Для обеспечения безопасности транспортной системы
• В контексте исполнения договора с субъектом данных
• Для защиты жизни, здоровья или других жизненно важных интересов субъекта данных или других лиц, когда невозможно получить согласие субъекта данных

Следует отметить, что, хотя российское законодательство не требует предварительного уведомления Роскомнадзора о трансграничной передаче данных, такое уведомление требуется до первой обработки персональных данных, ^[9] , если оператор данных не подлежит освобождение.Это исключение применяется, если данные:

• Обработано для трудоустройства
• Получено в связи с договором без дальнейшей передачи таких персональных данных третьим лицам
• Связано с обработкой общественного объединения или религиозной организации
• Обнародовано субъектом данных
• Ограничено фамилией, именем и отчеством субъекта данных
• Необходимо для обеспечения единовременного доступа субъекта данных к помещениям контролера
• Часть информационных систем персональных данных, отнесенных к государственным автоматизированным информационным системам или созданных для обеспечения общественного порядка
• Обработано без использования автоматизированного оборудования
• Обработано в соответствии с требованиями законодательства, касающимися безопасности транспортной системы

Это уведомление должно содержать информацию о возможной трансграничной передаче личных данных, а также о локализации базы данных.

III. Текущие санкции за нарушение обязательств по локализации данных

В настоящее время не существует конкретных штрафов за невыполнение обязательства по локализации данных. Кодекс РФ об административных правонарушениях предусматривает наказание « за непредставление или несвоевременное представление данных (информации) в государственный орган ». ^[10] Размер штрафа может достигать 5 000 рублей (около 70 евро). ^[11] Такие штрафы вряд ли можно считать эффективными, особенно по сравнению с теми, которые предусмотрены Общим регламентом о защите данных ^[12] и размером компаний, таких как Facebook.

Таким образом, единственный риск несоблюдения обязательства по локализации данных для иностранных компаний — это право Роскомнадзора потребовать судебного постановления о блокировании доступа к веб-сайту, через который соответствующий оператор данных обрабатывает персональные данные в нарушение российского законодательства о защите данных. В ноябре 2016 года Роскомнадзор использовал это право, приказав крупным российским интернет-провайдерам заблокировать доступ к LinkedIn за нарушение Закона о локализации данных ^[13] ; LinkedIn по-прежнему не работает в России.

Усиление санкций за нарушение обязательства по локализации данных, вероятно, побудит иностранные компании более строго соблюдать российское законодательство о защите данных, которое обеспечивает определенную степень гибкости, особенно в отношении требований к трансграничной передаче данных. В этом отношении в Европе действуют более строгие правила, поскольку GDPR ограничивает передачу личных данных за пределы ЕС.

---

[1] https://sozd.duma.gov.ru/bill/729516-7.

[2] Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О полномасштабном локальном хранении и обработке персональных данных граждан Российской Федерации».

[3] Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

[4] Статья 18 (5) Закона РФ «О персональных данных».

[5] Минкомсвязи России, Обработка и хранение персональных данных в Российской Федерации (последнее обновление: 12 февраля 2016 г.): https://digital.gov.ru/ru/personaldata/.

[6] Статья 6 Закона РФ «О персональных данных».

[7] Статья 12 Закона РФ «О персональных данных».

[8] Совет Европы, Конвенция о защите частных лиц в отношении автоматической обработки персональных данных, № 108, 28 января 1981 г.

[9] Статья 22 Закона РФ «О персональных данных».

[10] Facebook был оштрафован на 3000 рублей (около 43 евро) за непредоставление информации о локализации данных граждан России в российских базах данных: https://rkn.gov.ru/news/rsoc/news65764.htm.

[11] Арт. 19.7 Кодекса Российской Федерации об административных правонарушениях.

[12] Регламент (ЕС) 2016/679 от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC; штраф до 10 миллионов евро или 2 процентов от оборота
, или до 20 миллионов евро или 4 процентов от годового оборота.

[13] https://www.mos-gorsud.ru/rs/taganskij/cases/docs/content/27b4bb17-652a-4e2f-a101-d3c82bcdf2c4.

Защита персональных данных в России

6.2.1 Правовая база

Статьи 23 и 24 Конституции России (1993 г.) уже показывают, что основными субъектами, на которые направлено законодательство о защите данных, являются субъекты данных и операторы данных. Эти же идеи нашли отражение в законодательстве.

Статья 23 гласит: «Каждый имеет право на неприкосновенность частной жизни, личных и семейных тайн, защиту чести и доброго имени». Конфиденциальность — это право контролировать информацию о себе.Право на неприкосновенность частной жизни является универсальным правом человека и признано таковым во Всеобщей декларации прав человека и Европейской конвенции о правах человека. Это основа права на защиту данных. Право на защиту данных проистекает из конфиденциальности, но не является универсальным правом человека. Он нацелен на операторов персональных данных, чтобы обеспечить их справедливую обработку. Соответственно, статья 24 Конституции РФ касается операторов персональных данных. Он требует, чтобы «сбор, хранение, использование и распространение информации о частной жизни не разрешались без согласия человека.«До принятия специального законодательства в декабре 2005 года Россия ратифицировала Конвенцию 1981 года о защите частных лиц в отношении автоматической обработки персональных данных (Конвенция Совета Европы). Конвенция Совета Европы — это фундамент, на котором несколько стран построили свое законодательство о защите данных.

В июле 2007 года Государственная Дума приняла два закона, посвященных защите данных: Федеральный закон № 149-ФЗ « Об информации, информационных технологиях и загрузите информацию » (Об информации, информационных технологиях и защите данных, Закон о защите данных) и Федеральным законом от 25.07.2012 г.152-ФЗ « О персональных данных ». Положения этих законов были обычными и аналогичными положениям Европейской директивы о защите данных 1995 г. (Garrie and Byhovsky 2017, 239). Закон о персональных данных является основным законом, регулирующим эту сферу в России. Он устанавливает цель защиты персональных данных — обеспечение прав и свобод человека и гражданина при обработке своих данных (статья 2).

До 2014 года российские правила защиты данных не отличались от Конвенции Совета Европы.После террористических актов в Волгограде в 2013 году Государственная Дума приняла антитеррористический пакет законов. Частью этого пакета стал Федеральный закон от 21 июля 2014 г. № 242-ФЗ (Закон о локализации), который ввел требование о локализации (подробнее об этом в разделе 6.3). Помимо российского законодателя, несколько органов власти уполномочены создавать положения о защите данных. Активную роль в этой сфере играют Президент России, Правительство России и Федеральные службы (подробнее см. Гл.3).

6.2.2 Органы исполнительной власти

Среди органов государственной власти Роскомнадзор играет наиболее активную роль. Дмитрий Медведев учредил Роскомнадзор в 2008 году (Указ Президента № 1715). Роскомнадзор подчиняется Министерству цифрового развития, связи и массовых коммуникаций (Минкомсвязи). У него много важных компетенций, таких как мониторинг средств массовой информации и ведение реестров операторов данных и запрещенных веб-сайтов (Постановление правительства о Роскомнадзоре).Что касается конкретных полномочий Роскомнадзора, то вектор деятельности этой Федеральной службы отклоняется от того направления, в котором нацелена защита персональных данных — обеспечение прав и свобод личности. В соответствии со статьей 23 Закона о защите данных Роскомнадзор может проводить расследования и инициировать контроль и надзор за операторами данных без учета нарушения личных прав физических лиц. Он действует независимо от того, имеют ли лица, чьи данные обрабатываются, какие-либо претензии к операторам данных.В результате деятельность Роскомнадзора направлена ​​на защиту данных как таковых, а не на защиту индивидуальных прав, затрагиваемых обработкой данных (Терещенко, 2018, 146).

Помимо Роскомнадзора, несколько других органов власти осуществляют свои полномочия по обеспечению соблюдения политики защиты данных в России. Прокуратура отвечает за преследование уголовных дел, связанных с нарушением защиты данных. Федеральная служба по техническому и экспортному контролю отвечает за надзор за безопасностью персональных данных в информационной инфраструктуре России.

6.2.3 Основные категории законодательства о защите данных

Основными категориями, определяющими законодательство о защите данных в России, являются данные, персональные данные, операторы данных, обработка данных и передача персональных данных. Статья 2 (1) Закона о защите данных определяет информацию как любые данные независимо от формы их представления. Согласно статье 3 (1) Закона о персональных данных, персональные данные — это любая информация, прямо или косвенно связанная с определенным или идентифицируемым физическим лицом (субъектом данных).Закон не защищает данные, не относящиеся к идентифицируемому физическому лицу (анонимные данные). Следуя этому определению, может быть трудно провести различие между техническими данными и личными данными, поскольку почти любая транзакция, совершенная в Интернете, будет представлять собой личные данные (Bauer et al. 2015, 2).

Когда дело доходит до установления критериев того, что считается идентифицируемым лицом, практика Роскомнадзора может создать некоторую двусмысленность. Например, в 2017 году из Пенсионного фонда России произошла утечка информации, содержащей полные имена и фамилии его клиентов, их номера налогоплательщиков и информацию об их пенсионных накоплениях.Согласно ответу Пенсионного фонда, это не является утечкой данных, поскольку такие данные не позволяют идентифицировать личность (Терещенко, 2018, 152). Роскомнадзор никакими действиями не отреагировал на это нарушение. Как бы ни старался Пенсионный фонд обезопасить взлом, информация, содержащая имена, фамилии и идентификационные номера, без сомнения, является личными данными. В комментарии к Закону о персональных данных от 2015 года высокопоставленные должностные лица Роскомнадзора заявили, что индивидуальный номер налогоплательщика позволяет однозначно идентифицировать физическое лицо (Гафурова и др.2015, 16).

Закон о персональных данных различает категории персональных данных. Согласно статье 10 закона, особые правила применяются к данным, касающимся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Обработка таких данных может осуществляться только в случаях, предусмотренных законом, например, если субъект данных дает письменное согласие на обработку данных.

В соответствии со статьей 3 (2) Закона о персональных данных, оператор — это орган, компания или физическое лицо, которое организует и (или) выполняет обработку персональных данных.Оператор также определяет цель обработки персональных данных и состав обрабатываемых персональных данных, а также действия в отношении персональных данных. Законодательство о защите данных применяется ко всем операторам данных и третьим лицам, уполномоченным операторами. Общее правило заключается в том, что операторы данных должны уведомить Роскомнадзор о своем намерении обработать данные до того, как приступить к обработке данных (статья 22). Есть определенные случаи, когда в таком уведомлении нет необходимости, например, когда обработка данных осуществляется в соответствии с трудовым законодательством, если данные включают только фамилию, имя и отцовское имя субъекта данных или если субъект данных раскрыл данные в открытый доступ.

При сборе персональных данных операторы должны информировать субъектов об определенных требуемых аспектах обработки данных. Например, согласно статье 18.1 (1) (2) операторам необходимо опубликовать политику обработки данных. Закон применяет разумный подход, возлагая это обязательство на операторов, которые являются юридическими лицами. На практике это означает, что физическим лицам, а также индивидуальным предпринимателям не нужно публиковать свою политику обработки.

Операторам данных необходимо установить меры безопасности.Согласно статье 18.1 закона операторы данных вправе выбирать меры, которые им необходимо принять в соответствии с законом. В соответствии с законом рекомендуемые меры включают назначение сотрудника по защите данных, реализацию определенных организационных и технических мер, направленных на защиту данных, а также выполнение внутреннего контроля и аудита.

Интересно, что в перечень таких мер не входит обязательство уведомлять об утечке данных ни Роскомнадзор, ни субъекты данных.Была попытка внести поправки в законодательство и ввести обязанность уведомлять Роскомнадзор, МВД и даже соответствующих субъектов данных об утечках данных, но законопроект не принимается Госдумой с 2017 года (Законопроект № 416052 -6).

Обработка данных — это любое действие или комбинация действий, связанных с персональными данными (со средствами автоматизации или без них), включая сбор, запись, систематизацию, хранение, извлечение и передачу.Обработка должна быть адекватной, актуальной и не чрезмерной по отношению к цели, для которой обрабатываются данные. Согласно статье 5 (7) Закона о персональных данных, один из принципов обработки данных заключается в том, что после достижения цели, для которой была обработана информация, оператору необходимо анонимизировать или уничтожить данные, если не было договоренности об обратном. . На данный момент нет подробных правил уничтожения данных. Однако соответствующие поправки, разрешающие Роскомнадзору устанавливать такие подробные правила, находятся на рассмотрении Госдумы (законопроект «О прекращении действия персональных данных»).

Согласие субъектов данных является неотъемлемой частью обработки персональных данных. Согласно статье 9 Закона о защите данных, физическое лицо должно дать письменное согласие на обработку данных. Согласие должно быть конкретным, информированным и преднамеренным. Его можно получить в любой форме, подтверждающей его получение, включая заполнение онлайн-форм. Субъект данных может позже передумать и отозвать согласие на обработку данных. Операторы данных несут бремя доказательства того, что субъект данных дал свое согласие.

В соответствии со статьей 9 (4) (4) закона, в определенных случаях, в том числе при обработке данных, касающихся политических взглядов, религиозных убеждений, состояния здоровья и интимной жизни, согласие должно быть дано в письменной форме. Письменная форма согласия должна включать цель обработки данных. Закон конкретно не требует, чтобы обработчик данных запрашивал у субъекта данных отдельное согласие для каждой цели обработки данных. Обработчики данных часто толкуют это положение таким образом, чтобы перечислить различные цели обработки данных в одной форме.Однако, поскольку толкование закона в обратном направлении возможно, существует существенный риск того, что Роскомнадзор потребует письменного согласия от субъекта данных для каждой цели обработки данных. Так было в споре между обществом с ограниченной ответственностью (ООО) «Скартел» и Роскомнадзором ( ООО «Скартел» против Управления Роскомнадзора по Центральному федеральному округу ). Арбитражный суд города Москвы, а затем апелляционный суд подтвердили позицию Роскомнадзора. Клиенты «Скартел» подписали условия, в которых перечислены определенные цели обработки данных.После этого некоторые клиенты заключили дополнительные соглашения онлайн. Такие соглашения включали больше целей обработки данных. Суды согласились с Роскомнадзором в том, что согласие на такие дополнительные цели обработки данных после дословного прочтения закона также должно быть дано в письменной форме на бумажных носителях. Чтобы исправить эту ситуацию, Минкомсвязи подготовило поправки к закону о защите данных, которые, среди прочего, позволят получить единое согласие человека на несколько целей обработки данных (законопроект «О единой форме согласия»).Это один из примеров, когда целью поправок является облегчение бремени для операторов данных, в отличие от создания множества новых правил, вводящих ограничения и обязательства в сфере защиты данных, как будет показано в следующих разделах этой главы.

Персональные данные могут обрабатываться без согласия субъекта данных в определенных случаях (статья 6). Например, согласие не требуется, если обработка данных необходима для профессиональной журналистской деятельности или когда это необходимо для исполнения решения суда или государственного органа.

6.2.4 Передача за пределы России

Операторы данных могут передавать личные данные за пределы России. Перед осуществлением такой передачи оператор должен убедиться, что права субъекта персональных данных получат адекватную защиту в стране-получателе перевода. Статья 12 (1) Закона о персональных данных предусматривает, что все стороны, подписавшие Конвенцию Совета Европы, обеспечивают надлежащую защиту персональных данных. Кроме того, Роскомнадзор ведет регулярно обновляемый список стран, обеспечивающих такую ​​защиту (Приказ Роскомнадзора о списке стран с адекватной защитой персональных данных).

6.2.5 Территориальная сфера применения

Интернет распространяется за пределы национальных границ. Граждане России могут получить доступ к сайтам операторов, расположенных по всему миру (кроме заблокированных Роскомнадзором). Это не означает, что все эти операторы должны соответствовать требованиям русской локализации. Закон о защите данных конкретно не устанавливает территориальную сферу его применения. При этом при определении операторов персональных данных закон не ограничивает операторов только компаниями, зарегистрированными в России.По мнению Роскомнадзора, Закон о персональных данных является обязательным для иностранных компаний, обрабатывающих персональные данные в России (Роскомнадзор, 2019a). Территориальный охват определяется обработкой данных, которая (1) либо имеет место, либо направлена ​​на Россию, либо (2) касается данных российских граждан. Важно не место нахождения компании / лица, а территория, на которую направлены действия такой компании или лица. Тем не менее, компании, зарегистрированные за пределами России, могут подпадать под действие российского законодательства о защите данных.Аналогичным образом статья 3 GDPR устанавливает, что ее требования к защите данных являются обязательными не только для компаний, учрежденных в государствах-членах ЕС, но также и для компаний, расположенных в любой точке мира, если они обрабатывают данные граждан ЕС. Важность территориального аспекта российских правил защиты данных усиливается с принятием требования о локализации для операторов данных.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

% PDF-1.7 % 2 0 obj > / Метаданные 4 0 R / Страницы 5 0 R / StructTreeRoot 6 0 R / Тип / Каталог / ViewerPreferences 7 0 R >> эндобдж 4 0 obj > транслировать Microsoft® Word для Office 365

Екатерина В Морозова

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Microsoft® Word для Office 3652020-04-03T19: 11: 53 + 03: 002020-04-03T19: 12: 24 + 03: 00uuid: A77F3728-86A5-4736-96E6-F935B27605F6uuid: A77F3728-86A5-4736-96E6-F935B27605F6 конечный поток эндобдж 12 0 объект > транслировать xko6 {} ꭊ * «% # AKrwF + z>» m & @ j = QUOxuQW ~ (b`uU] ׊.lf / 7C9oge +? } _E / _JxHVM! I ޽ G

СРАВНЕНИЕ ЗАКОНОВ О КОНФИДЕНЦИАЛЬНОСТИ: GDPR V. РОССИЙСКИЙ ЗАКОН O

Введение

Общее положение о защите данных (Регламент (ЕС) 2016/679) («GDPR») и Федеральный закон от 27 Июль 2006 г. № 152-ФЗ о персональных данных («Закон о персональных данных») направлены на обеспечение защиты персональных данных физических лиц и применяются к организациям, которые собирают, используют или передают такие данные.

В частности, оба закона содержат аналогичные положения, например, в отношении правовой основы для обработки.В соответствии с GDPR и Законом о персональных данных обработка данных является законной только в том случае, если субъект данных дал согласие на обработку, когда обработка необходима для выполнения контракта, а также для соблюдения юридического обязательства, среди прочего. вещи. Кроме того, как GDPR, так и Закон о персональных данных определяют довольно последовательные обязательства по трансграничной передаче данных, при условии, что такая передача осуществляется только в страны, обеспечивающие адекватный уровень защиты. Более того, оба закона достаточно согласованы в отношении назначения сотрудника по защите данных (DPO).

Однако Закон о персональных данных отличается от GDPR в некоторых существенных отношениях, особенно в отношении определений, обязательств контроллера и обработчика, а также территориального охвата. Если GDPR дает определение как контролера данных, так и обработчика, Закон о персональных данных относится только к операторам. GDPR также обеспечивает особую защиту личных данных детей и устанавливает минимальный возраст согласия в отношении услуг информационного общества, а также соответствующие меры для предоставления информации детям.Закон о личных данных не предоставляет особой защиты личным данным детей и не устанавливает аналогичные конкретные требования к ним.

В отличие от GDPR, Закон о персональных данных не содержит конкретных положений о территориальном охвате. GDPR излагает особые положения об экстерриториальном объеме и применяется к обработке персональных данных субъектов данных, находящихся в ЕС, контроллером или процессором, не зарегистрированным в ЕС, где операции по обработке связаны с предложением товаров или услуг или мониторинг поведения.

GDPR и Закон о персональных данных также сильно различаются с точки зрения штрафных санкций, как финансовых, так и иных. GDPR предусматривает значительно более крупные финансовые санкции, до 20 миллионов евро или 4% мирового оборота, по сравнению с теми, которые предусмотрены Кодексом Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ («Кодекс об административных правонарушениях. Правонарушения »), при котором максимальный размер единовременного административного штрафа за нарушение Закона о персональных данных составляет 18 миллионов рублей (прибл.260 000 евро). Кроме того, в отличие от GDPR, Закон о персональных данных устанавливает, что DPO могут нести административную ответственность за несоблюдение Закона о персональных данных.

Примечательно, что в декабре 2020 года Парламент России принял Федеральный закон от 30 декабря 2020 года № 519-ФЗ о внесении изменений в Федеральный закон о персональных данных, который вносит поправки в Закон о персональных данных, вводя понятие общедоступных данных. . Эти поправки вступят в силу частично 1 марта 2021 года и частично 1 июня 2021 года.

Это руководство призвано помочь организациям понять и сравнить соответствующие положения GDPR и Закона о персональных данных, чтобы обеспечить соблюдение обоих законодательных норм.

Структура и обзор Руководства

В этом Руководстве проводится сравнение двух законодательных актов по следующим ключевым положениям:

1. Сфера действия
2. Ключевые определения
3. Правовая основа
4. Обязанности контролера и процессора
5. Права физических лиц
6. Обеспечение соблюдения

Каждая тема включает соответствующие статьи и разделы из двух законов, краткое изложение сравнения и подробный анализ сходств и различий между GDPR и Законом о персональных данных.

Ключ для определения степени согласованности

Согласован: GDPR и Закон о персональных данных имеют высокую степень сходства в отношении обоснования, сути, объема и применения рассматриваемого положения.

Достаточно согласованно: GDPR и Закон о персональных данных во многом схожи в обосновании, сути и объеме рассматриваемого положения; однако детали, регулирующие его применение, различаются.

Довольно непоследовательно: GDPR и Закон о персональных данных имеют несколько различий в отношении объема и применения рассматриваемого положения, однако его обоснование и суть имеют некоторое сходство.

Несоответствие: GDPR и Закон о персональных данных сильно различаются в отношении обоснования, сути, объема и применения рассматриваемого положения.

Использование руководства

Это руководство носит общий и образовательный характер и не предназначено для использования в качестве источника юридических рекомендаций и на него не следует полагаться.

Информация и материалы, представленные в Руководстве, могут быть неприменимы во всех (или любых) ситуациях, и не следует действовать без специальной юридической консультации, основанной на конкретных обстоятельствах.

Сравнение: GDPR и Федеральный закон РФ о персональных данных

Правительства разных стран все больше внимания уделяют Интернету: они занимаются борьбой с пиратством в СМИ, пропагандой и распространением запрещенных товаров. Использование Интернета во всех сферах жизни и объем содержащихся в нем персональных данных породили очень важную тенденцию — защиту персональных данных (ПД) физических лиц. Желание государства регулировать эту сферу вполне закономерно.В этой статье мы сравниваем российский и европейский подходы к защите права личности на неприкосновенность частной жизни.

Законы и правила России и ЕС

Основными документами, регулирующими работу с персональными данными, являются принятый в 2006 году Федеральный закон № 152 Российской Федерации и Европейский общий регламент о защите персональных данных (GDPR), вступивший в силу 25 мая 2018 года.

Российское законодательство определяет персональные данные как любую информацию, относящуюся прямо или косвенно к определенному или идентифицируемому лицу (субъекту ПДн).Также есть понятие оператора ПД. Это относится к отдельным лицам и организациям, участвующим в обработке ПД. Обработка — это любое действие, выполняемое с персональными данными.

Термины, введенные в GDPR, очень похожи, но есть и серьезные различия. Например, определение персональных данных и их характеристик в GDPR гораздо шире. Это сделано для того, чтобы исключить какие-либо недоразумения, если неясно, относится ли информация к ПД или нет. В отличие от 152-ФЗ, где есть концепция оператора ПД, GDPR имеет «контроллер» и «процессор».Согласно GDPR, контроллеры определяют цели и средства обработки, в то время как процессоры от их имени непосредственно занимаются обработкой.

Основные отличия 152-ФЗ от GDPR

Имея дело с личными данными, вы должны убедиться, что они правильно обрабатываются и защищаются. Организация обязана назначить лицо, ответственное за обработку персональных данных — этот пункт распространен в российских и европейских правилах.В GDPR есть понятие Data Protection Officer — он подчиняется напрямую высшему руководству компании, но, в отличие от 152-ФЗ, эту задачу можно поручить стороннему подрядчику (юридическому лицу).

В России организации обязаны наладить процессы обработки персональных данных в соответствии с законодательством Российской Федерации: создавать и внедрять системы защиты, уведомлять Роскомнадзор. Необходимо получить согласие субъектов ПД (в том числе при передаче их ПД третьим лицам), подготовить и опубликовать соответствующие положения на сайте.Кроме того, согласно закону о локализации 242-ФЗ, базы персональных данных находятся на территории России.

GDPR не требует обязательного хранения персональных данных в странах ЕС. Хотя европейские правила во многом перекликаются с российским законодательством, существуют серьезные различия в отношении трансграничной передачи ПД — это возможно только в тех странах, которые, по мнению Европейского Союза, должным образом защищают личные данные.

Согласно 152-ФЗ, трансграничная передача разрешена всем странам, присоединившимся к Конвенции Совета Европы о защите физических лиц в отношении автоматической обработки персональных данных, а также ряду неприсоединившихся государств. обеспечивающие защиту частичных разрядов.

Российское законодательство разрешает сбор персональных данных в объеме, соответствующем целям обработки, и их хранение в течение периода, необходимого для целей обработки.Согласно GDPR, правовой основой для обработки PD является договор, согласие, общественный, жизненно важный или законный интерес.

Требования по защите

Одним из ключевых отличий GDPR от 152-FZ является защита персональных данных с учетом рисков потенциального ущерба. Если ущерб (психологический, финансовый или материальный) велик и возможен — обработка не может быть произведена.

Российское законодательство включает только понятие уровня защиты персональных данных.Это зависит от их типа, количества и наличия незаявленных возможностей в системном и прикладном программном обеспечении. В этом случае даются конкретные инструкции по использованию сертифицированных средств защиты (приказ ФСТЭК № 21), а GDPR не имеет таких подзаконных актов.

Статья 25 GDPR требует от компаний создания систем со встроенной защитой личных данных и систем конфиденциальности по умолчанию — концепция «Конфиденциальность по дизайну и конфиденциальность по умолчанию».

Контроллер данных обязан интегрировать систему защиты данных во все бизнес-процессы (включая процессы разработки продуктов или услуг) на ранней стадии их проектирования, а затем постоянно поддерживать такую ​​систему.Например, при разработке мобильного приложения необходимо проанализировать и предотвратить возможные риски, связанные с конфиденциальностью, а также установить механизмы управления такими рисками перед кодированием.

Согласно концепции, лучший способ снизить риски конфиденциальности — не создавать их.

Штрафы за нарушения

Роскомнадзор может приехать в любую организацию с проверкой по результатам систематического мониторинга или по обращению физического лица.Также существуют плановые проверки, список которых размещен на сайте агентства. Если организация не уведомила Роскомнадзор о том, что она является оператором ПД, это не спасет ее от проверок, равно как и формальное оформление готовых документов, скачанных из Интернета, не поможет — Роскомнадзор обязательно проверит информационные системы и выяснит реальную ситуацию. Частично может помочь перенос персональных данных в защищенное облако 152-ФЗ, принадлежащее облачному провайдеру, но необходимо помнить, что именно оператор устанавливает цель обработки и несет ответственность за нарушения.

Последствия нарушения достаточно серьезные: блокировка сайта организации, большие штрафы для юридических и должностных лиц, приостановление деятельности компании на срок до 90 дней, а также лишение должностного лица права занимать определенные должности или заниматься определенной деятельностью. на срок от 2 до 5 лет. Несертифицированные средства защиты информации могут быть конфискованы и, конечно же, организация понесет репутационные потери.

За нарушение GDPR также существует ответственность.Однако если в России по разным статьям уголовного и гражданского кодекса преступники заплатят до трехсот тысяч рублей, то в Европе ограничений по суммам нет — штрафы могут достигать 4% от годового оборота Компания.

Политика конфиденциальности

Настоящая Политика обработки персональных данных составлена ​​в соответствии с п. 2 ст. 18.1. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ и распространяется на все персональные данные, обрабатываемые оператор — ПАО «Калужский турбинный завод».

1. Информация об операторе персональных данных:

Наименование: Открытое акционерное общество «Калужский турбинный завод»
Юридический адрес: 248010, Россия, г. Калуга, ул. Московская ул., д. 241

2. Правовая основа обработки персональных данных:

Обработка персональных данных осуществляется в соответствии со следующими нормативными правовыми актами Российской Федерации. Федерация:
— Трудовой кодекс РФ;
— статьи 23, 24 Конституции Российской Федерации;
— Федеральный закон от 28.07.2012 г.152-ФЗ «О персональных данных» от 27.07.2006;
— Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите информации» от г. 27.07.2006;
— Семейный кодекс Российской Федерации;
— Гражданский кодекс РФ;
— Налоговый кодекс РФ;
— Федеральный закон № 27-ФЗ «Об индивидуальном (персональном) учете в системе обязательного пенсионного страхования». от 01.04.1996 г .;
— Федеральный закон № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» от 29.11.2010;
, а также иных правовых актов Российской Федерации и согласие на обработку персональных данных.

3. Цели обработки персональных данных.

3.1. Обработка персональных данных осуществляется в следующих целях:
— организация кадрового учета предприятия, обеспечение соблюдения законов и иных нормативных правовых актов,
— содействие работникам в трудоустройстве, обучении и продвижении по службе;
— обеспечение личной безопасности сотрудника;
— охрана имущества;
— обеспечение медицинского и социального страхования, охраны труда;
— выполнение требований налогового законодательства по исчислению и уплате НДФЛ, а также единый социальный налог; соблюдение пенсионного законодательства в формировании и представлении персонализированных данных по каждому получатель дохода, который учитывается при расчете страховых взносов на обязательную пенсию страхование и страхование;
— соблюдение режима контроля доступа в соответствии с законодательством РФ;
— заключение договоров с другими юридическими лицами;
— архивное хранение документов в соответствии с законодательством РФ, в том числе выдача архивировать стенограммы по запросу субъекта персональных данных или его законного представителя;

3.2. Оператор вправе определять иные цели обработки персональных данных в рамках законодательство РФ.

4. Категории обрабатываемых данных, источники данных, время обработки.

4.1. Обработка персональных данных в ПАО «Калужский турбинный завод» осуществляется в целях и в объемах. предусмотренных законодательством Российской Федерации или в соответствии с надлежащим образом оформленным согласием на обработка персональных данных.

4.2. ПАО «Калужский турбинный завод» обрабатывает следующие категории персональных данных:
— персональные данные сотрудников ПАО «Калужский турбинный завод». Источник данных: субъекты персональных данных;
— персональные данные кандидатов на замещение вакантных должностей в подразделениях ПАО «Калужский турбинный завод». Источники данных: субъекты персональных данных, кадровые агентства, открытые источники;
— персональные данные посетителей. Источник данных: субъекты персональных данных;
— персональные данные деловых партнеров.Источник данных: субъекты персональных данных;
— персональные данные акционеров. Источник данных: субъекты персональных данных.

4.3. ПАО «Калужский турбинный завод» не обрабатывает персональные данные, относящиеся к расе, политическим взглядам, религиозным или религиозным мотивам. философские убеждения и интимная жизнь.

4.4. ПАО «Калужский турбинный завод» осуществляет обработку персональных данных, касающихся состояния здоровья, только в случаях, предусмотренных законодательством Российской Федерации.

4.5. Сроки обработки персональных данных устанавливаются в соответствии с правовыми актами Российской Федерации. Федерация.

5. Основные принципы обработки персональных данных.

5.1. При обработке персональных данных ПАО «Калужский турбинный завод» соблюдает принципы, установленные ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

5.2. В ПАО «Калужский турбинный завод» созданы общедоступные источники персональных данных (адресная книга корпоративной почты). система, телефонный справочник).Персональные данные включаются в такие источники на основании письменного согласия субъекты персональных данных.

5.3. Обработка персональных данных прекращается и персональные данные уничтожаются в следующих случаях:
— по достижении целей обработки или в случае утраты необходимости их достижения, если иное не предусмотрены законодательством Российской Федерации;
— при отзыве сотрудником согласия на обработку персональных данных, за исключением случая, когда обязательство по дальнейшая обработка персональных данных определяется законодательством Российской Федерации;
— в случае выявления противоправных действий с персональными данными и невозможности устранения нарушений в пределах срок, установленный законодательством Российской Федерации.

6. Информация о третьих лицах, имеющих отношение к персональным данным. обработка.

6.1.ПАО «Калужский турбинный завод» обеспечивает конфиденциальность персональных данных и не передает их (не предоставляет доступ к нему) третьим лицам без согласия субъектов персональных данных, если иное не предусмотрено законодательство РФ.

6.2. ПАО «Калужский турбинный завод» передает персональные данные (предоставляет к ним доступ) органам власти Российской Федерации в соответствии с их юрисдикцией и в размерах, установленных законодательством Российской Федерации. Федерация.

6.3. Передача персональных данных другим третьим лицам осуществляется ПАО «Калужский турбинный завод» на основании договор, определяющий:
— цель обработки персональных данных;
— список действий (операций) с персональными данными, которые будет совершать третье лицо;
— обязательство третьей стороны соблюдать конфиденциальность личных данных и обеспечивать безопасность персональные данные при их обработке;
— требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 25.07.2012 г.152-ФЗ от 27.07.2006 «О персональных данных»;
, а также в случаях, установленных законодательством, с оформлением письменного согласия на передачу персональных данных.

7. Обеспечение безопасности персональных данных.

7.1. ПАО «Калужский турбинный завод» принимает необходимые организационные и технические меры для обеспечения конфиденциальность персональных данных при их обработке в подразделениях Компании, а также при их передаче в третьи стороны.

7.2. Порядок обработки и защиты персональных данных изложен в «Положении о порядке обработка, хранение и защита персональных данных в ПАО «Калужский турбинный завод», осуществляемая по заказу Генеральный директор ПАО «Калужский турбинный завод» № 142 от 14.04.2016.

7.3. ПАО «Калужский турбинный завод» принимает все необходимые и достаточные меры для обеспечения соблюдения обязанности, предусмотренные Федеральным законом № 152-ФЗ и принятые в соответствии с ним нормативные правовые акты Российской Федерации. Российская Федерация.

7.4. ПАО «Калужский турбинный завод» самостоятельно определяет состав и перечень необходимых мероприятий. достаточный для обеспечения выполнения своих обязанностей, если иное не предусмотрено правовыми актами Российской Федерации. Федерация.

8. Права субъектов персональных данных.

8.1. Субъект персональных данных имеет право:
— получать информацию, касающуюся обработки его персональных данных;
— иметь свободный доступ к своим личным данным, в том числе право получать копии любой записи, содержащей личные данные;
— попросить ПАО «Калужский турбинный завод» проверить его персональные данные, заблокировать или уничтожить их в случае, если персональные данные неполные, устаревшие, неточные, незаконно полученные или не необходимые для заявленной цели обработки, а также принимать правовые меры для защиты своих прав.

8.2. Права субъекта персональных данных могут быть ограничены только в случаях, предусмотренных законодательством Российской Федерации.

8.3. В целях реализации своих прав субъект персональных данных вправе обратиться с соответствующим запросом в ПАО «Калужский турбинный завод».

9. Контактная информация.

Контактная информация для запросов субъектов персональных данных, деловых партнеров и иных третьих лиц:
Корпоративный сайт ПАО «Калужский турбинный завод» http: // oaoktz.

No related posts.