шпора1
.pdf
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» Статья 3. Основные понятия
1) Персональные данные – любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Однако надлежит учитывать, что не всякий из этих элементов подпадает под защиту Закона № 152-ФЗ, а только те из них, которые в отдельности или в совокупности достоверно указывают на конкретное определяемой лицо.
требования Закона № 152-ФЗ к транспортным средствам не применимы. Поэтому согласие владельца на передачу информации об автомобиле другим лицам не требуется.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» Статья 3. Основные понятия
3)Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4)Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
5)Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
6)Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
7)Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
8)Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
9)Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
10)Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
11)Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Безопасность персональных данных
Обеспечения конфиденциальности персональных данных не требуется:
1)в случае обезличивания персональных данных;
2)в отношении общедоступных персональных данных. Общедоступные источники персональных данных
42. Основные нормативные правовые акты Российской Федерации в области защиты персональных данных.
Основные международные нормативные правовые акты Первым международным актом, регулирующих принципы обработки и защиты
персональных данных при автоматизированной обработке, стала Конвенция Совета
Европы о защите физических лиц при автоматизированной обработке персональных данных.
Целью принятия Конвенция Совета Европы стало обеспечение для каждого физического
лица независимо от его гражданства или местожительства права на неприкосновенность частной жизни при автоматизированной обработке персональных данных.
Российской Федерацией Конвенция была ратифицирована Федеральным Законом от 19.12.2005 № 160-ФЗ, но вступила в силу только с 1 сентября 2013 года. При ратификации были установлены следующие изъятия, касающиеся сферы ее применения:
Основные нормативные правовые акты Российской Федерации в области защиты персональных данных
•Конституция Российской Федерации от 12 декабря 1993 г.;
•Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
•Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
•Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
•Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера».
43. Сфера действия ФЗ № 152 «О персональных данных».
ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Регулирует отношения, связанные с обработкой персональных данных, осуществляемые федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее – государственные органы), органами местного самоуправления, иными муниципальными органами (далее – муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационнотелекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Цель: обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
•«Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени»;
•«Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения»;
•«Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются»;
•«Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом».
Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; 2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации; 4) обработке персональных данных, отнесенных в установленное порядке к сведениям,
составляющим государственную тайну;
Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются
в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
44. Принципы обработки персональных данных.
ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» Статья 5. Принципы обработки персональных данных
1.Обработка персональных данных должна осуществляться на законной и справедливой основе.
2.Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
3.Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора).
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если оператор поручает обработку персональных данных другому лицу,
ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований такой обработки возлагается на оператора.
45. Согласие субъекта персональных данных на обработку своих персональных данных.
Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения По общему правилу распространение персональных данных без согласия их субъекта –
запрещено (ст. 88 ТК РФ, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Поэтому согласие на распространение персональных данных – обязательный документ для раскрытия сведений субъекта (работника, контрагента и др.) неопределенному кругу
лиц.
С принятием статьи 10.1 Закона 152 о персональных данных к распространению применяют новые требования.
Главная цель – сдержать бесконтрольное использование ПД, которые публикуют в открытых источниках информации. Теперь субъект может сам определить, какие сведения о себе он раскрывает неопределенному кругу лиц, а к какие – нет.
Согласие на распространение получают в виде отдельного документа. Особые требования к его содержанию устанавливает Приказ Роскомнадзора от 24.02.2021 № 18.
Форма согласия на распространение ПДн
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
1)непосредственно от работника;
2)с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
46. Специальные категории персональных данных. В данную группу входят:
•сведения, касающиеся состояния здоровья;
•гендерная и расовая принадлежность;
•сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни;
•философские воззрения;
•религиозные убеждения;
•политические взгляды и т.д.
Обработка специальных категорий персональных данных допускается случаях, если:
3)обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
4)обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения":
5)обработка персональных данных осуществляется соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
6)обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
7)обработка персональных данных осуществляется в медико-профилактических целях, в
целях установления медицинского диагноза, оказания медицинских и медико-
социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
8)обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной будут распространяться без согласия в письменной форме субъектов организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не персональных данных;
9)обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением
правосудия;
10)обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
11)обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с
осуществлением ими прокурорского надзора;
12)обработка персональных данных осуществляется в соответствии с законодательством
об обязательных видах страхования, со страховым законодательством;
13)обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся
без попечения родителей, на воспитание в семьи граждан;
14)обработка персональных данных осуществляется а соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
47. Биометрические персональные данные.
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
Включают такие данные, как отпечатки пальцев, изображения лиц, голос, движения и
другие физические или поведенческие маркеры.
их использование в обязательном порядке требует получения письменного согласия
владельцев.
Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных
•в связи с реализацией международных договоров Российской Федерации о реадмиссии,
•в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, обязательной государственной геномной регистрации,
•а также в случаях, предусмотренных законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из РФ и въезда в РФ, о гражданстве РФ, законодательством о нотариате. Стоит отметить, что не все фотографии и видеозаписи конкретного лица являются его биометрическими персональными данными, а только те, которые позволяют установить личность и используются для установления личности.
Не являются биометрическими ПДн:
•копий паспортов, снимаемых в связи с заключением договоров, фотографий в личных делах работников и т.п. случаев, когда идентификация личности не является непосредственной целью обработки ПД.
В настоящее время в вопросе об отнесении ПДн к категории биометрических ПДн можно ориентироваться на позицию Роскомнадзора, сформулированную в письме от 10.02.2020 № 08АП-6782, согласно которому биометрические персональные данные будут являться таковыми при наличии следующих условий:
•они признаны таковыми в силу положений нормативных правовых актов;
•они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
•они используются оператором для установления личности субъекта персональных данных.
Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 статьи 11.
Оператор не вправе отказывать в обслуживании случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
48. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом № 152.
I.) Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор
самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом...
К таким мерам могут, в частности, относиться:
Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных
Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
•доводить до сведения работников требования законов и иных нормативных документов;
•осуществлять внутренний контроль (аудит) не реже 1 раза в 3 года
•организовывать прием и обработку обращений субъектов персональных данных –
ответ не позднее 10 дней;
•проводить оценку вреда субъекту при нарушении требований закона № 152-ФЗ
(приказ Роскомнадзора № 178 от 27.10.2022).
II.) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных...
Примерный перечень документов:
1. Документ, определяющий политику оператора в отношении обработки персональных данных, и подтверждение ознакомления с ним работников оператора.
2.Отдельные локальные акты по вопросам обработки таких данных, документы об ознакомлении с ними работников оператора.
различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т.п.), перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.), инструкции и регламенты и др
3.Уведомление об обработке персональных данных (изменения в уведомление об обработке персональных данных).
III.) применение правовых, организационных и технических мер по обеспечению
безопасности персональных данных.
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) "О персональных данных" Статья 19. Меры по обеспечению безопасности персональных данных при их обработке Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в
информационных системах персональных данных; 2) применением организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
IV.) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; Оператор обязан уведомить Роскомнадзор:
• о факте и о возможных причинах – в течение 24 часов;
• о результатах внутреннего расследования – в течение 72 часов.
V.) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
VI.) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
VII.) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
49. Уровень защищенности персональных данных, Категории обрабатываемых персональных данных.
Оператор для целей оценки вреда определяет одну из степеней вреда (высокую, среднюю, низкую):
Высокую в случаях если оператор обрабатывает:
•биометрические персональные данные, которые используются для установления личности субъекта персональных данных
•специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости
•персональных данных несовершеннолетних для исполнения договора,
•В целях обезличивания персональных данных, том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг...
•поручает иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан РФ;
•Ведет сбор персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.
Среднюю оценку вреда в случаях:
•распространения персональных данных на официальном сайте в сети «Интернет» оператора, а равно предоставление персональных данных неограниченному кругу лиц,
•обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
•продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;
•получения согласия на обработку персональных данных посредством реализации на официальном сайте в сети «Интернет» функционала, не предполагающего дальнейшую идентификация и (или) аутентификация субъекта персональных данных;
•осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
Низкую в случаях:
•ведения общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных;
•назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.
Категории обрабатываемых персональных данных (ПДн) подразделяются на 4 группы: 1 группа – специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта; 2 группа – биометрические ПДн, то есть данные, характеризующие биологические или
физиологические особенности субъекта, например фотография или отпечатки пальцев; 3 группа – общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом; 4 группа – иные категории ПДн, не представленные в трех предыдущих группах.
По форме отношений между организацией и субъектами обработка ПДн подразделяется на 2 вида: