Информационное право учебный год 2022-23 / КАФЕДРАЛЬНЫЙ

Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами

впределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Обработка специальных категорий персональных данных, осуществлявшаяся в указанных случаях должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

Особый порядок обработки установлен для биометрических персональных данных — сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Биометрические персональные данные и сведения, которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия

вписьменной форме субъекта персональных данных, за исключением случаев, когда обработка осуществляться в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об опера- тивно-розыскной деятельности, о государственной службе, уголовноисполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, установлены в Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15 сентября 2008 г. № 687.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том

основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, а также организации вправе соответствующими нормативными актами устанавливать правила обработки персональных данных, осуществляемой без использования средств автоматизации, при обязательном учете требований данного Положения.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники органи- зации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом,

чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

§ 2. Права и обязанности субъекта персональных данных

Субъект персональных данных имеет право на доступ к своим персональным данным и получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1)подтверждение факта обработки персональных данных оператором;

2)правовые основания и цели обработки персональных данных;

3)цели и применяемые оператором способы обработки персональных данных;

4)наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5)обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6)сроки обработки персональных данных, в том числе сроки их хранения;

7)порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;

8)информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9)наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10)иные сведения, предусмотренные законодательством о персональных данных.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1)обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2)обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-про- цессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3)обработка персональных данных осуществляется в соответствии

сзаконодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4)доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5)обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное

словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью.

Если запрашиваемые сведения или обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, направить повторный запрос в целях получения этих сведений и ознакомиться с этими персональными данными повторно субъект не вправе ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем, или поручителем является субъект персональных данных. Исключение составляют случаи, когда такие сведения и (или) обрабатываемые персональные данные не были предоставлены первоначально субъекту персональных данных для ознакомления в полном объеме по результатам рассмотрения. Повторный запрос наряду с указанием запрашиваемых сведений должен содержать обоснование направления повторного запроса.

Особый порядок установлен для обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации. Такая обработка допускается только при условии предварительного согласия субъекта персональных данных. Обязанность доказывать факт получения такого согласия лежит на операторе, проводящем обработку персональных данных. Субъект персональных данных имеет право потребовать от оператора немедленно прекратить обработку указанных персональных данных.

Закон запрещает принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Подобное решение может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных законодательством.

Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением его прав и свобод, субъект персональных данных вправе обжаловать действия

или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов,

втом числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Согласие субъекта персональных данных на обработку его персональных данных должно удовлетворять следующим установленным в законе требованиям.

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено в законодательстве. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только в установленных в законодательстве случаях.

Втех случаях, когда закон для обработки персональных данных требует получения оператором согласия от субъекта персональных данных

вписьменной форме или в форме электронного документа, подписанного электронной подписью, согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается со-

гласие субъекта персональных данных;

310Глава 10. Правовое регулирование отношений в области обработки…

6)наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7)перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8)срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9)подпись субъекта персональных данных.

§ 3. Права и обязанности оператора при обработке персональных данных

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе предусмотренную в законодательстве информацию. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

В случае, когда персональные данные получены не от субъекта персональных данных до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1)наименование либо фамилию, имя, отчество и адрес оператора или его представителя;

2)цель обработки персональных данных и ее правовое основание;

3)предполагаемые пользователи персональных данных;

4)установленные в законодательстве права субъекта персональных данных;

5)источник получения персональных данных.

Оператор освобождается от обязанности предоставить субъекту персональных данных указанные сведения, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2)персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3)персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4)оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5)предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством. Оператор самостоятельно определяет состав и перечень таких мер, если иное не предусмотрено законодательством. К таким мерам могут, в частности, относиться:

1)назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2)издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3)применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4)осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5)оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных;

6)ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законода-

тельства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Если сбор персональных данных осуществляется с использованием информационнотелекоммуникационной сети, оператор обязан опубликовать в этой сети указанный документ и обеспечить возможность доступа к нему с использованием средств соответствующей информационно-телеком- муникационной сети.

При обработке персональных данных оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации установлены в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, принятом постановлением Правительства РФ от 17 ноября 2007 г. № 781.

Приказом Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. № 58 утверждено Положение о методах и способах защиты информации в информационных системах персональных данных

Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения классификации информационных систем персональных данных установлен приказом Федеральной службы по техническому