152-ФЗ — Статья 10 — Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные сделаны общедоступными субъектом персональных данных;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;
2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
7.
1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
2.1. Обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных», в порядке и на условиях, которые предусмотрены указанным Федеральным законом.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
Положения статьи 10 закона №152-ФЗ используются в следующих статьях:-
Статья 6
Условия обработки персональных данных
2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
Открыть статью -
Статья 9
Согласие субъекта персональных данных на обработку его персональных данных
2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. Открыть статью
Номер телефона личные данные
Вопрос о том, может ли номер телефона быть персональными данными (ПД), в последние годы остро стоит перед многими компаниями, которые в силу своей деятельности занимаются обработкой персональных данных, например, банковские организации, торговые сети. В Законе № 152-ФЗ «О персональных данных» указано, что оператор, осуществляющий обработку ПДн, полученных от субъекта, не вправе разглашать информацию без получения его согласия.
В соответствии со статьей 3 Закона № 152-ФЗ к персональным данным относится информация, относящаяся к прямо или косвенно субъекту персональных данных, которым может быть физическое или юридическое лицо. Это может включать номер телефона.
Статья 3 содержит понятие обезличивания персональных данных. Под анонимизацией понимаются действия, не позволяющие установить принадлежность данных конкретному лицу (организации) без использования сторонних методов и устройств, позволяющих получить доступ к информации о субъекте. В статье указано, что обезличивание данных является частью процесса обработки персональных данных. Поэтому с учетом ст. 9Закона № 152-ФЗ оператор должен получить согласие субъекта на предоставление номера телефона, поскольку такая информация, даже без дополнительных сведений о физическом лице или организации, сама по себе является конфиденциальной.
При рассылке рекламных рассылок абонентам операторы, осуществляющие обработку персональных данных, должны руководствоваться ст.
44 п. 1 Закона «О связи» (№ 126-ФЗ), в соответствии с которым при возможности идентификации абонента по его номеру, в том числе с использованием дополнительных сведений, необходимо получить его согласие.
Закон № 152-ФЗ закрепляет понятие оператора персональных данных (ОПД). Оператор – лицо или государственный (муниципальный) орган, осуществляющий обработку персональных данных. ПДО вправе передавать персональные данные третьим лицам с согласия субъекта. Данное положение закреплено в ч. 3 ст. 6 вышеуказанного закона.
ПДО несет ответственность перед субъектом за действия, совершенные с персональными данными третьими лицами (организациями). Как правило, это облачные провайдеры, различные сервисные центры. Примечательно, что они не несут никакой ответственности перед субъектом, а несут ответственность перед оператором.
Должен ли оператор публиковать политику конфиденциальности?
Согласно закону «О персональных данных» ПДн обязан предоставлять документы, определяющие политику в области обработки ПДн, в том числе при использовании интернет-ресурсов (ст.
18.1 ч. 2 п. 1). Однако в первую очередь это положение распространяется на юридических лиц (ст. 18.1 ч. 1). В частности, в статье отмечается, что для выполнения своих обязанностей оператор, являющийся юридическим лицом, обязан опубликовать (опубликовать) документы, устанавливающие политику обработки ПДн.
Нужно ли PDO получать согласие на обработку ПД?
Статья 6 требует, чтобы оператор получил согласие субъекта в письменной форме. Для интернет-ресурсов, как правило, согласием является установка флажка (галочки) в чек-боксе или нажатие кнопки «ОК». По части 1 ст. 9 в качестве согласия на обработку данных может быть принят код подтверждения, отправленный по SMS, переход по ссылке и т. д. Вы также можете подписывать документы электронной подписью.
Нужно ли включать PDO в реестр Роскомнадзора?
ч. 1 ст. 22 выдвигает требование к оператору, осуществляющему обработку данных, уведомить соответствующие органы о намерении ее осуществить. PDO освобождается от обязанности по направлению уведомления в Роскомнадзор в следующих случаях:
- при получении данных в связи с заключением договора, одной из сторон которого является субъект ПДн, при условии, что его данные не подлежат дальнейшему распространению;
- данные будут использоваться исключительно для выполнения контракта;
- данные получены оператором из общедоступных источников.
Закон не запрещает трансграничную передачу данных при наличии разрешения субъекта и защиты информации государством, которое будет получать информацию. При обработке персональных данных, принадлежащих гражданам Российской Федерации, необходимо использовать базы данных, находящиеся на территории Российской Федерации.
Обобщая вышеизложенное, мы можем сделать следующие выводы:
1. Оператор вправе осуществлять обработку данных без уведомления Роскомнадзора. Для этого достаточно предоставить пользовательское соглашение, играющее роль контракта. Пользовательское соглашение позволяет PDO связываться с пользователем по номеру и адресу, в том числе для рекламных рассылок.
2. Если физическое (юридическое) лицо получило персональные данные от ОПД, то оно не несет ответственности за субъекта персональных данных, а несет ответственность исключительно перед самим ОПД.
3. При наличии данных в общедоступных источниках (доски объявлений, интернет-ресурсы, открытые страницы в социальных сетях) СОД требуется получение согласия на обработку по ст.
3.
В статье 9 № 152-ФЗ указано, что:
- субъект должен быть готов предоставить данные свободно, в своем интересе и по своей воле;
- субъект должен предоставить согласие заведомо и в развернутой форме;
- субъект должен предоставить согласие в такой форме, которая позволяла бы подтвердить факт его предоставления ОПД;
- подтверждение согласия субъекта или получение доказательств наличия оснований для продолжения обработки данных без него остается заботой оператора.
Сбор данных о пользователях в социальных сетях и других открытых источниках без разрешения субъекта остается незаконным. Нарушение этого положения влечет за собой ответственность по ст. 13.11 КоАП РФ.
25.11.2020
Передача данных в Россию | activeMind.legal
В связи с нападением на Украину Россия была приостановлена Советом Европы (СЕ) 16 марта 2022 года. Это приводит к некоторым изменениям в отношении передачи или обработки данных в России.
Европейский совет по защите данных (EDPB) опубликовал заявление, которое мы вам очень кратко объясним.
СЕ, Конвенция 108 и стойкость России
Россия до недавнего времени была членом Совета Европы и, таким образом, была связана целым рядом конвенций и протоколов. Вынужденный выход России из СЕ побудил EDPB опубликовать заявление о передаче персональных данных в РФ.
В заявлении EDPB подчеркивается, что Россия, с одной стороны, больше не связана всеми конвенциями и протоколами СЕ. С другой стороны, Россия остается участником тех конвенций и протоколов, к которым она присоединилась и к которым должны присоединиться государства, не являющиеся членами, например, Конвенция 108. Эта Конвенция обязывает всех подписавших ее сторон защищать право человека на неприкосновенность частной жизни в цифровой среде. возраста, предприняв в своем внутреннем законодательстве необходимые шаги для применения изложенных в нем принципов.
Россия подписала закон от 5 июля 2022 года, вступающий в силу с 1 сентября 2022 года, вносящий существенные изменения в Федеральный закон № 152-ФЗ.
Эти изменения включают новые правила международной передачи данных, уведомления об утечке данных и дополнительную защиту данных.
Эти изменения имеют политическую подоплеку, поскольку они влияют на освещение в новостях войны в Украине, но также можно интерпретировать эти изменения в защите данных как приверженность России Конвенции 108 и другим конвенциям и протоколам.
Реакция и рекомендации EDPB
В заявлении EDPB особо подчеркиваются сохраняющиеся обязательства России по Конвенции 108 и ставится вопрос о том, как именно дальнейшее участие России в этой Конвенции будет иметь значение в будущем.
Из-за этих неопределенностей EDPB рекомендует экспортерам данных принять дополнительные меры. Эти рекомендации представляют собой добровольные пошаговые инструкции о том, как обеспечить более адекватную защиту данных и правильное использование данных для правильного выполнения этих дополнительных действий.
Это шесть шагов:
- шаг 1 — выяснить, куда попадают личные данные конечного пользователя,
- шаг 2 — узнать, как отправляются данные, а затем
- шаг 3 — спросить, защищены ли данные после одного отправил данные.
- На шаге 4 будут приняты дополнительные меры защиты при передаче данных в случае, если данные не защищены должным образом, и
- шаги 5 и 6 поощряются, когда человек документирует свои методы передачи данных и переоценивает свои методы передачи данных на случай, если что-то изменится в странах. вы отправляете персональные данные.
После того, как вы следовали этим рекомендациям, вы можете быть уверены, что сделали все правильно, чтобы гарантировать, что данные субъектов данных правильно обрабатываются и защищаются.
Вдобавок к этому, EDPB упоминает решение Шремса II Суда ЕС (CJEU) о механизмах, позволяющих передавать персональные данные из ЕС в США. Вкратце, CJEU постановил, что Стандартные договорные положения ( SCC) можно использовать только в том случае, если экспортер данных может обеспечить адекватный уровень защиты данных в стране получателя данных.
Этим упоминанием EDPB хочет подчеркнуть, что существует приоритет в случае, если страны, не входящие в ЕС и не входящие в ЕЭЗ, не имеют надлежащей защиты данных, и к России могут относиться в равной степени как к США
Что теперь рассматривать как бизнес
Подводя итог, EDPB подчеркивает, что Россия не получила решения Европейской комиссии о достаточности в соответствии со ст.
