###
  • Програми
  • Безпека
  • Новини
  • Цікаве
  • Поради
  • Новини
  • Огляди

    • Персональні дані із відкритих джерел. Загальнодоступні особисті дані. Способи захисту особистої інформації та запобіжні заходи

    13.03.2020 Новини

    Не всю інформацію про людину та її життя можна поширювати та публікувати у відкритих джерелах. Із самого початку інтернет-експансії кордони стираються і дані, які мають передаватися лише з дозволу людини, у нього буквально крадуть. Розглянемо детальніше, що таке персональні дані, що включає це поняття, як зберігаються дані з позначкою «ПД», що загрожує за порушення закону і несанкціоноване поширення особистої інформації?

    Нормативна база

    Перелік законів про персональні дані:

    • Федеральний закон Російської Федераціївід 27 липня 2006 р. N 149-ФЗ Про інформацію, інформаційні технології та захист інформації;
    • Указ Президента Російської Федерації від 03 квітня 1995 р. N 334;
    • Указ Президента Російської Федерації від 17 березня 2008 р. N 351;
    • Постанова Уряду РФ від 26.06.1995 Про сертифікацію засобів захисту інформації N 608;
    • Постанова Уряду РФ від 15 серпня 2006 р. N 504 Про ліцензування діяльності з технічного захисту конфіденційної інформації;
    • Постанова Уряду РФ від 31 серпня 2006 р. N 532 Про ліцензування діяльності з розробки та (або) провадження засобів захисту конфіденційної інформації;
    • Наказ ФСБ РФ від 9 лютого 2005 р. N 66 "Про затвердження Положення про розробку, виробництво, реалізацію та експлуатацію шифрувальних (криптографічних) засобів захисту інформації (Положення ПКЗ-2005)";
    • Постанова Уряду Російської Федерації від 17 листопада 2007 р. N 781 р. Москва "Про затвердження Положення про забезпечення безпеки особистих даних при їх обробці в інформаційних структурах персональних даних;
    • ГОСТи з інформаційної безпекита захисту інформації;
    • ДЕРЖСТАНДАРТ Р 34.10-2001 Інформаційна технологія. Криптографічний захистінформації;
    • ДСТУ ISO 7498-2-99 Інформаційна технологія. Архітектура захисту інформації;
    • ГОСТ Р 50739-95 Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Загальні технічні вимоги;
    • ГОСТ Р 50922-96 Захист інформації. Основні терміни та визначення;
    • ГОСТ Р 52069.0-2003 Захист інформації. Система стандартів. Основні положення.;
    • ГОСТ 28147-89 Системи обробки інформації.

    Федеральний закон "Про персональні дані" можна завантажити тут:

    Класифікація персональних даних

    Згідно з Федеральним законом «Про персональні дані» це будь-яка інформація, яка прямо чи опосередковано відноситься до життя суб'єкта. Що стосується персональних даних:

    1. прізвище та паспортні дані;
    2. місце та дата народження;
    3. адресу прописки чи проживання;
    4. сімейний стан;
    5. інформація про доходи та заборгованості;
    6. спеціальність, професія,
    7. інформація про зайнятість;
    8. прибутки.

    Сюди так само може ставитися інформація про соціальні зв'язки, контакти, особисте життя, покупки громадянина або членів його сім'ї.

    Відповідно, частини 1, статті 85 ДК РФ, до особистої інформації працівника підприємства належить вся інформація, необхідна керівнику регулювання всіх трудових процесів, що з конкретним працівником.

    Номер телефону є персональною інформацією РФ, оскільки він прив'язаний до паспортним данным.

    Загальні ПД

    До загальних даних можна віднести ті, що знаходяться на поверхні. Загальнодоступні персональні дані – це ім'я, яке можна побачити на бейджику співробітника компанії, номер телефону в анкеті на сайті, спеціальність та посада. Якщо людина сама поширює дані, які не належать до розділу “Загальні”, це не дає права громадянам розпоряджатися ними чи публікувати у відкритих джерелах.

    Біометричні ПД

    Сюди відноситься вага, зріст, колір волосся та очей, відбитки пальців, національність, особливі прикмети. Ці дані використовуються співробітниками спецслужб для створення орієнтувань та пошуку злочинців у базах даних.

    Поліція та правоохоронні органи не мають права знімати у громадян відбитки пальців без вагомих причин та заносити їх інформацію до бази даних.

    Спеціальні ПД

    Сюди належить расова та національна приналежність, політичні погляди, релігійні чи філософські переконання, стан здоров'я, інтимне життя. Поширення цієї інформації не допускається, крім випадків, передбачених частиною 2 ФЗ-152.

    Жодні обставини не зобов'язують громадянина розголошувати ці дані співробітникам поліції чи публічно. У цьому проханні можна відмовити на законних обставинах.

    Знеособлені ПД

    Це дані, належність яких неможливо встановити. Знеособлення - процес "відчуження" даних, який робить особисту інформацію публічною.

    Приклад: В організації працюють 2 співробітники - чоловік і жінка. Чоловік дотримується дрес-коду, а жінка носить паранджу. Якщо роботодавець подасть статистику про кількість віруючих та/або релігійних людей, а саме – один атеїст, один віруючий, обчислити, хто є хто буде просто.

    Такий незграбний приклад не є прямим порушенням закону, проте передає особисті дані (а також спеціальні) третім особам.

    Обробка персональних даних

    Захист персональної інформації може забезпечуватись кількома джерелами права:

    • Першим джерелом захисту є ТК РФ, у якому закріплені гарантії, норми, правила регуляції обміну та відкритої публікаціїматеріалів працівника;
    • Другим джерелом є система організаційно-правових відносин, статут підприємства, політика конфіденційності, загальноприйнята у цій трудовій сфері;
    • Третім чинником служить декларація про захист особистої інформації, гарантоване Конституцією РФ кожному її громадянину.

    Обмін інформацією та використання персональних даних виникають протягом усього робочого процесу, між роботодавцем та співробітником, між співробітниками, а також третіми особами. Вищий пріоритет у врегулюванні конфліктних ситуацій має Трудовий Кодекс Російської Федерації, за ним іде статутно-правові норми організації, а потім уже право на захист, гарантоване Конституцією РФ. Роботодавець не може просто так вимагати від працівника надати інформацію. Оголошення підлягає лише та інформація, яка необхідна для укладання трудового договору, оформлення нормативних документів, можливого врегулювання конфліктних і спірних ситуацій, колективного або корпоративного договору з третіми особами (згідно з текстом ст. 22 ТК РФ).

    Способи захисту особистої інформації та запобіжні заходи

    Організаційні:

    • Обмежений доступ до сховищ та архівів матеріалів;
    • Верифікація запитувача перед наданням інформації;
    • Ознайомчий формат надання відомостей;
    • Санкції та штрафи за порушення правил.

    Технічні:

    • Криптографія та шифрування даних;
    • Створення окремих серверів та каналів зв'язку;
    • Знищення неактуальних матеріалів;
    • Екранування приміщень та пристроїв для захисту від злому.

    Право на захист персональної інформації працівник може реалізувати через:

    • Вільне безкоштовне звернення до документів, де фігурують особисті дані (може вимагати копію будь-якого нормативного документа).
    • Вимога стосовно роботодавця, що полягає у видаленні або зміні персональних даних, або їх частини.
    • Шляхом оскарження процедури подання, обробки та публікації відомостей, організацією.

    Покрокова інструкція щодо захисту даних в організації:

    • Розробка проекту алгоритму обробки персональних відомостей;
    • Розробка системи згоди та відмови на обробку особистих матеріалів;
    • Розробка проекту повідомлень про включення особистих матеріалів до загального потоку;
    • Проектування структури, яка зобов'язується зберігати інформацію з обмеженим доступом;
    • Видавництво наказу про введення матеріалів працівників підприємства до бази даних, визначення порядку та способу обробки та передачі інформації, призначення відповідальних, позначення санкцій та штрафів за порушення статуту;
    • Внесення змін або доповнень до трудових та посадові інструкціїпрацівників, які відповідальні за зберігання, надання та обробку особистих відомостей.

    В інтернеті, як і в інших відкритих джерелах, також зберігаються та обробляються дані користувачів. З 2017 року сайти, які використовують технологію cookie, зобов'язані повідомляти користувачів про це. Ця технологія дозволить показувати релевантну рекламу, оптимізувати процес роботи, прискорити технічні алгоритми. Проте вони збирають дані про громадян:

    • історію відвідувань;
    • посилання та переходи (сайт бачить, з якої сторінки користувач на неї потрапив);
    • які акаунти прив'язані до облікового запису(якщо авторизуватися на сайті за допомогою профілю у соціальній мережі);
    • пошукові запити (не тільки на конкретному ресурсі. Google, Yandex та інші техно-гіганти збирають всю інформацію а користувачах).

    Збір, зберігання та обробка даних відбувається обов'язково. Якщо користувач проти – потрібно залишити ресурс, який збирає інформацію. Продовжуючи роботу з сайтом, користувач дає свою згоду на збирання даних.

    Що робити, якщо дані використовуються без вашої згоди

    Насамперед переглянути – чи є вони спеціальними ПД та чи заборонено їхнє поширення. Якщо закон порушено – у терміновому порядку потрібно звернутися до поліції із заявою, де чітко вказати обставини та час крадіжки. Послатись на статтю 137 КК РФ. Залежно від класифікації та елементів злочину, можна розраховувати на відшкодування як виплати, розміром 1 000 – 50 000 рублів. Для посадових осіб штраф набагато вищий. Кримінальна відповідальність передбачає позбавлення волі на строк до 2 років (максимальний запобіжний захід).

    Сподіваємось, що наша стаття допомогла читачеві розібратися з питаннями ПД. Пам'ятайте, що закони та права людини в РФ порушуються щодня, а за допомогою до правоохоронних органів звертаються лише одиниці. Якщо читач став жертвою чи свідком крадіжки персональної інформації – мовчати не можна. Сьогодні це чужі права, завтра ваші.

    Розміщуючи інформацію про себе в соціальних мережах, не всі наші громадяни розуміють, що вона може бути використана для їхнього профілю. Збором та опрацюванням такої інформації активно займалося АТ «Національне бюро кредитних історій» («НБКІ»).

    Арбітражний суд міста Москви у травні 2017 року розглянув справу № А40-5250/17, в якій суду довелося оцінювати правомочність обробки таких персональних даних.

    Суть суперечки

    У серпні 2016 року Управлінням Роскомнагляду Центрального федерального округу було проведено планову виїзну перевірку АТ «Національне бюро кредитних історій» («НБКІ») щодо відповідності діяльності з обробки персональних даних вимогам законодавства.

    За результатами перевірки було складено акт перевірки та видано припис про усунення виявленого порушення.

    Розцінивши припис у частині необхідності включення до повідомлення уповноваженого органу даних фізичних осіб (клієнтів або потенційних клієнтів фінансової організації) з відкритих джерел інформації, що передаються фінансовій організації, отриманих з використанням сервісу Double Data Social Link - web-посилання, результат пошуку клієнта чи потенційного клієнта , та сервісу Double Data Social Attributes - обробка профілю шуканої фізичної особи у відкритих джерелах інформації (пункт 1), а також у частині вказівки на порушення вимог закону у вигляді відсутності згоди на обробку тих, що містяться у відкритих джерелах (соціальних мережах: ВКонтакті, Однокласними, МойМир , Instragram, Twitter, інтернет-порталів Авіто і Авто.ру) персональних даних клієнта чи потенційного клієнта фінансової організації, у межах надання послуги виходячи з сервісу « big data» ( тобто. «великі дані») - незаконним та порушуючим права та законні інтереси суспільства у сфері підприємницької та іншої економічної діяльності, останнє звернулося з позовом до арбітражного суду.

    Позиція Арбітражного суду міста Москви

    Стосовно цієї справи, суд зазначив, що обробка персональних даних допускається зокрема у таких випадках:

    • Обробка ПДН здійснюється за згодою суб'єкта ПДн на обробку його персональних даних (п. 1 ч. 1);
    • Здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом ПДН або на його прохання (персональні дані, зроблені загальнодоступними суб'єктом ПДН) (п. 10 ч. 1);
    Таким чином, говорячи про персональні дані, зроблені суб'єктом ПДН загальнодоступними, необхідні дві умови:
    • Персональні дані доступні невизначеному колу осіб;
    • Персональні дані надані безпосередньо самим суб'єктом.
    Без письмової згоди суб'єкта ПДн неможливо стверджувати, що вони надані саме їм.

    На думку суду, персональні дані, зроблені загальнодоступними суб'єктом ПДН, можуть бути лише у загальнодоступних джерелах ПДн.

    Суд дійшов висновку, що інформацію про суб'єкта (зокрема персональні дані), які у соціальних мережах (в мережі Інтернет), може бути віднесено до ПДн, зробленим суб'єктом загальнодоступними, оскільки соціальні мережі не є джерелом загальнодоступних ПДНстосовно положення ст.8 Закону.

    Суд також зазначив, що інформація, яка розміщується її власниками в мережі «Інтернет» у форматі, що допускає автоматизовану обробку без попередніх змін людиною з метою повторного її використання, є загальнодоступною інформацією, що розміщується у формі відкритих даних (ст. 7 Федерального закону від 27.07.2006 №149-ФЗ «Про інформацію, інформаційні технології та захист інформації»).

    Мій коментар:Ну тут суд трохи «загнув»; відкриті дані – це зовсім з іншої опери!

    Суд зробив висновок про те, що персональні дані, що обробляються АТ «НБКІ» в соціальних мережах, не були зроблені загальнодоступними суб'єктом ПДН у зв'язку з чим у діях заявника вбачаються порушення ч.3 ст.22 та п.1 ч.1 ст.6 Федерального закону від 27.07.2006 №152-ФЗ "Про персональні дані".

    Арбітражний суд відмовив у повному обсязі у задоволенні заяви АТ «НБКІ» про визнання недійсними пунктів 1 та 4 припису Управління Роскомнагляду ЦФО.

    Позиція Дев'ятого арбітражного апеляційного суду

    Дев'ятий арбітражний апеляційний суд у липні 2017 року зазначив, що товариство внесено до реєстру операторів, які здійснюють обробку персональних даних, під номером 08-0031682.

    В рамках здійснення даного виду діяльності суспільство обробляє персональні дані клієнтів, потенційних клієнтів фінансових організацій, що містяться у відкритих джерелах (соціальних мережах: ВКонтакте, Однокласники, МойМир, Instragram, Twitter; інтернет-порталів Авіто та Авто.ру). Згода клієнтів на обробку таких даних у суспільства відсутня.

    Суспільство вважає, що має право обробки персональних даних про осіб без їхньої згоди. На думку суду, суспільством не враховано таке.

    На думку апеляційного суду, не є загальнодоступними персональні дані, що опрацьовуються суспільством, що містяться у відкритих джерелах (соціальних мережах: ВКонтакті, Однокласники, МойМир, Instragram, Twitter; інтернет-порталів Авіто та Авто.ру). За змістом Закону про персональні дані, розміщення персональних даних у зазначених відкритих джерелах не робить їх автоматично загальнодоступними. Отже, не допускається опрацювання таких даних без згоди суб'єкта.

    Дев'ятий арбітражний апеляційний суд залишив без зміни рішення Арбітражного суду м. Москви, а апеляційну скаргу – без задоволення.

    Арбітражний суд Московського округуу листопаді 2017 року залишив без зміни рішення Арбітражного суду міста Москви та постанову Дев'ятого арбітражного апеляційного суду, а касаційну скаргу без задоволення.

    Позиція Верховного Суду Російської Федерації

    Суддя Верховного Суду Російської Федерації у січні 2018 року (ухвала № 305-КГ17-21291) відмовила АТ «Національне бюро кредитних історій» у передачі касаційної скарги для розгляду у судовому засіданні Судової колегії з економічних спорів Верховного Суду РФ.

    Мій коментар:Обробка інформації з соціальних мереж– широко поширений метод збору та аналізу інформації про людей та організації, і збором такої інформації про своїх клієнтів та контрагентів зараз не займається лише лінивий. Сувора правда життя в тому, що той, хто не перевіряє таким чином своїх потенційних співробітників, клієнтів та контрагентів, насправді не виявляє належної ділової обачності. Ті, хто хитріші, намагаються менше говорити на публіку про це, і по можливості не вимовляти слова «персональні дані».

    Збір інформації про громадян неминуче тягне за собою проблему законності таких дій, оскільки будь-яка інформація про громадян є їх персональними даними.

    Зазначу, що які б розпорядження Роскомнагляд не видавав, якщо отримання такої інформації дозволяє комерційним організаціям серйозно знизити ризики фінансових втрат, обробка її все одно продовжуватиметься. Ну хіба ще трохи підзароблять юристи, які вигадують правове «прикриття» для цієї діяльності:)

    Щодня фізичні особи надають особисту інформацію до різних інстанцій. За обробку інформації відповідають оператори персональних даних. Це банки, роботодавці, медичні організації, інтернет-сайти та інші структури. Відповідно до закону, оператори зобов'язані захищати персональну інформацію. Для створення джерел, де містяться загальнодоступні персональні дані (ПД).

    Що таке загальнодоступні ПД?

    До загальнодоступних відносять відомості про людину, яку він чи вона самостійно надає в інстанції. Щоб відкрити вільний доступ до інформації, потрібен письмовий дозвіл людини - суб'єкта персональних даних. Суб'єкт – це фізична особа, ПД якого збирає, зберігає та обробляє оператор. Оператор - це юридична чи фізична особа, муніципальний чи державний орган влади.

    До загальнодоступних ПД відносять відомості про суб'єкта, за якими його можна ідентифікувати:

    • дата і місце народження;
    • Домашня адреса;
    • номер телефону;
    • професія;
    • індивідуальний податковий номер;
    • місце роботи або навчання та інші відомості.

    До загальнодоступних даних може входити будь-яка інформація, яка з точки зору закону не є конфіденційною. ПД суб'єкта можуть класифікуватися за обсягом та ступенем важливості інформації особистого характеру.

    До загальнодоступних даних належить також персональна інформація, яка надається:

    • під час працевлаштування, укладання контракту або трудового договору;
    • під час перепису населення;
    • при оформленні договірних відносин під час торгових операцій та інших подібних ситуацій.

    Персональні дані суб'єкта, які поширюються через ЗМІ, не належать до конфіденційних, оскільки є загальнодоступними відповідно до «Переліку відомостей конфіденційного характеру».

    Письмова згода суб'єкта отримання, передачу, обробку та інші дії з ПД потрібно завжди. В окремих випадках, наприклад, за участю в анкетуванні або підписці на розсилку новин, достатньо поставити галочку в графі, яка дозволяє використання ПД.

    Дані загального типу допускають розміщувати в джерелах, які є загальнодоступними. Це означає, що джерела переглядає та використовує величезну кількість зацікавлених осіб. Приклад такого джерела – телефонні довідники.

    Обробка загальнодоступних даних

    Обробкою загальнодоступних даних займаються відділи та підрозділи, до обов'язків яких входить збір, систематизація, зберігання, зміна, використання та знищення ПД. Фізичні особи мають право запросити відомості про оператора даних та дізнатися, яку мету переслідує оператор під час обробки ПД.

    Контроль за дотриманням законів при обробці покладено на Роскомнагляд. Певні ревізійні та контролюючі повноваження мають ФСБ і ФСТЕК. Оператори створюють системи захисту особистих даних для потреб тому, у зв'язку з цим ліцензувати таку діяльність.

    ПД обробляють організації, яким для здійснення своєї діяльності необхідно збирати, накопичувати, обробляти та зберігати інформацію про співробітників, постачальників та клієнтів. У деяких випадках такі дані входять до складу відкритих.

    Права суб'єктів загальнодоступних даних

    Суб'єкти ПД можуть подати заяву з вимогою заблокувати, знищити, уточнити або змінити загальнодоступні дані, якщо відомості втратили актуальність, є неповними або не потрібні для обробки. Суб'єкти мають право також запросити доступ до своїх ПД і дізнатися, які кошти використовує оператор для їх обробки.

    Інформація повинна використовуватись відповідно до вимог законодавства та бути захищеною незалежно від того, є вона конфіденційною чи загальнодоступною. До обов'язків операторів входить забезпечити повний захист ПД суб'єкта та обмежити доступ до даних сторонніх осіб.

    Оператор починає обробляти персональні дані лише після отримання письмового дозволу суб'єкта на обробку. Згода включає інформацію про фізичну особу та дані оператора: назву компанії, прізвище, ім'я та по батькові оператора, посаду. Також у згоді потрібно вказати мету обробки та список даних з описом операцій, які виконуватимуться з інформацією. Фізична особа має право на відкликання своїх ПД та анулювання своєї згоди на обробку.

    У разі недієздатності чи смерті суб'єкта згода на обробку та використання ПД запитується у спадкоємців чи законних представників. При цьому слід керуватися Федеральним законом про персональні дані.

    У разі порушення вимог законодавства винні несуть адміністративну, кримінальну та інші види відповідальності. Неважливо, чи є ПД конфіденційними чи загальнодоступними, відповідно до статті 8 ФЗ-152 про персональні дані загальнодоступні ПД можуть розміщуватися у загальнодоступних джерелах лише за згодою суб'єкта даних. Персональні дані мають бути виключені із джерел, якщо цього вимагає суб'єкт чи уповноважені органи: Роскомнагляд, суд чи інші держструктури.

    До знеособлених даних належать:

    • Ім'я, ім'я та по батькові;
    • Нік/логін суб'єкта в Інтернеті;
    • Електронна адреса (без прив'язки до ПІБ);
    • Посада, місце роботи (без відомостей про особисті дані).

    До загальнодоступних даних належать відомості про суб'єкта, яку можна отримати у відкритих джерелах інформації, наприклад, у телефонному довіднику або адресній книзі. До таких загальнодоступних баз даних вносяться за письмовою згодою суб'єкта. Особливості загальнодоступних персональних даних полягає в тому, що вони можуть бути розміщені у відкритих джерелах інформації. Тобто, якщо у довіднику контактів організації зазначені контактні дані посадових осіб, наприклад, які займаються навчанням та наймом персоналу, такі дані вважаються загальнодоступними.

    Поняття та види персональних даних

    ТК РФ). Під обробкою персональних даних маються на увазі різні операції, передбачені законодавством Російської Федерації. До видів обробки ПДН належить збір, систематизація, накопичення, зберігання, оновлення, використання, знеособлення, знищення, що виробляються за встановленими нормативними актами процедурами.


    Здійснювати операції з ПДн можуть державні, федеральні, муніципальні органи та організації, що мають таке право за статусом. Усі ПДн поділяються на такі розділи:
    • Загальнодоступні персональні дані;
    • Спеціальні персональні дані;
    • Біометричні персональні дані

    При формуванні інформаційних систем персональних даних (ІСПД) рекомендується керуватися Наказом ФСТЕК, ФСБ та Міністерства інформаційні технологіїта зв'язку РФ № 55/86/20 від 13.
    02.

    Загальнодоступні персональні дані

    Нецільове використання такої інформації карається законом. Закон про захист персональних даних піклується не лише про фізичні, а й про юридичних осібах.

    Увага

    Мало кому сподобається, якщо інформація про фінансовий стан справ або даних співробітників компанії буде доступна кожному охочому. Це значно спростило б життя шахраям, чого не бажають ні прості громадяни, ні співробітники правоохоронних органів.


    Які дані вважаються персональними згідно із законодавством? Чіткого переліку відомостей, що належать до персональних, у законі не наводиться. Зміст:
    • Загальнодоступні персональні дані
    • Стаття 8

    Загальнодоступні персональні дані це

    Наприклад, закон точно не визначає, чи номер телефону є персональними даними. Роскомнагляд у відповіді на звернення громадян пояснив, що лише за номером неможливо точно ідентифікувати людину.

    Сам по собі він не персональний, а у зв'язку з ПІБ власника та містом проживання відноситься до ПД. Тому неперсоніфіковане розсилання смс-повідомлень не вважається порушенням ФЗ №152.

    Загальні ПД містяться у паспорті, військовому квитку, дипломі, особистій картці співробітника, трудовій книжціі т. д. Письмовий дозвіл не є обов'язковим для отримання цих даних, досить непрямого, наприклад галочки навпроти відповідного пункту онлайн-анкети.
    Відносна простота доступу часто приносить проблеми суб'єктам ПД – звичайним громадянам: від нав'язливої ​​реклами до шантажу та підробок кредитних заявок.

    Які персональні дані вважаються загальнодоступними

    Наприклад, такі:

    • потреба зберігати резервні копіївсієї бази даних;
    • необхідний фахівець, який займеться адмініструванням інформації;
    • будуть потрібні витрати на спеціально призначене для цього обладнання та програмне забезпечення;
    • співробітник, який обробляє персональні дані, має бути винятково грамотний.

    Які методи застосовують для того, щоб ефективно захистити персональну інформацію співробітників?

    • Зробити приміщення, де обробляються особисті дані, повністю закритими доступу інших співробітників.
    • Для отримання будь-якої інформації співробітники мають отримати спеціальний дозвіл.
    • Зберігання даних має бути чітко організовано.

    Враховуючи наявність і недоліків і переваг у кожного з методів, як правило, роботодавці комбінують їх.

    Стаття 8. Загальнодоступні джерела персональних даних

    Комерційною таємницею зарплата не може через те, що вона належить до системи оплати праці. Але це не виключає її зі списку ПД, за розповсюдження яких працівника можуть звільнити згідно з Трудовим Кодексом.

    І якщо співробітник почне оскаржувати це рішення у суді, то роботодавець зобов'язаний довести, що розголошена інформація стосується таємниці, відомості якої співробітник зобов'язувався нікому не повідомляти. Типи персональних даних можна класифікувати за:

    • Закладеного у них змісту:
    • Розряд, куди входить перелік, зазначений у ст.10: раса, приналежність до нації, релігія, здоров'я, особисте життя, політичні переконання. При цьому згідно з ФЗ-152 тут існують обмеження, а саме доступ може бути здійснений тільки з письмового дозволу власника.

    Заробітна плата – це персональні дані чи ні?

    Важливо

    З метою інформаційного забезпечення можуть створюватися загальнодоступні джерела персональних даних (у тому числі довідники, адресні книги). До загальнодоступних джерел персональних даних за письмовою згодою суб'єкта персональних даних можуть включатися його прізвище, ім'я, по батькові, рік та місце народження, адреса, абонентський номер, відомості про професію та інші персональні дані, що надаються суб'єктом персональних даних.


    (У ред. Федерального закону від 25.07.2011 N 261-ФЗ) (див. текст у попередній редакції) 2. Відомості про суб'єкт персональних даних повинні бути у будь-який час виключені з загальнодоступних джерелперсональних даних на вимогу суб'єкта персональних даних або за рішенням суду чи інших уповноважених державних органів. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ) (див.
    Зміст
    • Біометричні. Характеризують фізіологію.
    • Чи не біометричні. Дані, які не належать до біометричних.

    Види персональних даних Які типи поділяються персональні дані? Що до них належать? Важливо розуміти, що вся інформація, яка зберігається на підприємстві щодо певного співробітника, може бути розглянута із двох різних точок зору.

    • Дані про сімейний стан та сім'ю працівника (окремих її членів), а саме: наявність утриманців, наявність дітей, їх вік та кількість, стан здоров'я.
    • Інформація про певного співробітника, а саме: ПІБ (паспорт), професія, стан здоров'я, а також якісь особливі обставини.

    Керівник підприємства зобов'язаний сформувати нормативно-правовий акт локального значення, що розглядає порядок, що визначає зберігання персональних даних.

    Персональні дані загальнодоступні, що до них відноситься

    Відповідальність за розголошення Важливо врахувати, що 152 ФЗ «Про захист персональних даних» передбачає лише адміністративну відповідальність підприємства за розголошення персональних даних працівника. А отже, якщо організація не здатна гарантувати працівникам абсолютний захист їхньої особистої інформації, то її очікує лише штраф. Причому суми грошового покарання за неправильне зберігання персональних даних є абсолютно кумедними. Загалом вони коливаються від п'яти до десяти тисяч рублів. Звичайно, це так, якщо йдеться лише про поодинокі виплати. Як правило, на підприємствах, де є такі проблеми, порушення множинні, а значить, і суми штрафу істотно зростають. Однак грошові витрати — далеко не найголовніший наслідок того, що використання персональних даних відбувається неправильно. Це сильно б'є за репутацією компанії.
    Наприклад, такі:

    • наявність додаткових ресурсів для зберігання, таких як спеціальні приміщення, обладнання, сейфи тощо;
    • трудомісткість процесу;
    • потрібні спеціальні навички для ведення паперової документації.

    Іноді відділи кадрів вважають за краще зберігати інформацію про одного співробітника окремо (у різних тематичних папках). Так, окремо зберігаються всі трудові договори, анкети та інші документи щодо всіх працівників одразу. Їх нумерують для зручнішого пошуку. Цей спосіб менш трудомісткий, ніж той, що був описаний вище, та й не вимагає ніяких спеціальних навичок від співробітника відділу кадрів. Тим не менш, і він не позбавлений недоліків.
    Повідомлення про обробку персональних даних Дуже частою помилкоюоператорів робити повідомлення про обробку ПД, коли можна було цього робити. І якщо ви все-таки вирішили повідомити Роскомнагляд, то ось кілька рекомендацій:

    • Дуже уважно ознайомтеся із ч.2 ст.22 ФЗ РФ від 27.07.06г.

      N 152-ФЗ "Про персональні дані".

    • Подивіться дані, які обробляються у вас. Деякі випадки вимагатимуть від вас коригування з носіями ПД.

    Одна з причин, через яку можна не повідомляти про обробку ПД, зазначена в п.2 ч.2 ст.22 ФЗ і виглядає так: Візьмемо за приклад встановлення ділових відносин з фізособою на виконання послуги.

    Щоб дати зрозуміти, що все готове і вам не довелося просто так їхати кілька десятків кілометрів, завбачливо майстер узяв ваш номер телефону для оголошення радісної новини.

    Прийнято Державною Думою 8 липня 2006 року
    Схвалено Радою Федерації 14 липня 2006 року

    Глава 1. загальні положення

    Стаття 1 Сфера дії цього Закону

    1. Цим Федеральним законом регулюються відносини, пов'язані з обробкою персональних даних, що здійснюється федеральними органами державної влади, органами державної влади суб'єктів Російської Федерації, іншими державними органами (далі - державні органи), органами місцевого самоврядування, які не входять до системи органів місцевого самоврядування муніципальними органами (далі - муніципальні органи), юридичними особами, фізичними особами з використанням засобів автоматизації або без використання таких засобів, якщо обробка персональних даних без використання таких засобів відповідає характеру дій (операцій), які здійснюються з персональними даними з використанням засобів автоматизації.

    2. Дія цього Закону не поширюється на відносини, що виникають при:

    1) обробці персональних даних фізичними особами виключно для особистих та сімейних потреб, якщо при цьому не порушуються права суб'єктів персональних даних;

    2) організації зберігання, комплектування, обліку та використання документів Архівного фонду Російської Федерації та інших архівних документів, що містять персональні дані, відповідно до законодавства про архівну справу в Російській Федерації;

    3) обробці підлягають включенню до єдиного державного реєстру індивідуальних підприємців відомостей про фізичних осіб, якщо така обробка здійснюється відповідно до законодавства Російської Федерації у зв'язку з діяльністю фізичної особи як індивідуального підприємця;

    4) обробці персональних даних, віднесених в установленому порядку до відомостей, що становлять державну таємницю.

    Стаття 2 Ціль цього Федерального закону

    Метою цього Федерального закону є забезпечення захисту права і свободи людини і громадянина під час обробки його персональних даних, зокрема захисту прав на недоторканність приватного життя, особисту та сімейну таємницю.

    Стаття 3 Основні поняття, що використовуються у цьому Федеральному законі

    З метою цього Федерального закону використовуються такі основні поняття:

    1) персональні дані - будь-яка інформація, що відноситься до певної або визначається на підставі такої інформації фізичній особі (суб'єкту персональних даних), у тому числі її прізвище, ім'я, по батькові, рік, місяць, дата та місце народження, адреса, сімейне, соціальне, майновий стан, освіта, професія, доходи, інша інформація;

    2) оператор - державний орган, муніципальний орган, юридична або фізична особа, що організують та (або) здійснюють обробку персональних даних, а також визначальні цілі та зміст обробки персональних даних;

    3) обробка персональних даних - дії (операції) з персональними даними, включаючи збирання, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), використання, поширення (у тому числі передачу), знеособлення, блокування, знищення персональних даних;

    4) розповсюдження персональних даних - дії, спрямовані на передачу персональних даних певному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб, у тому числі оприлюднення персональних даних у засобах масової інформації, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних будь-яким іншим способом;

    5) використання персональних даних - дії (операції) з персональними даними, що здійснюються оператором з метою прийняття рішень або вчинення інших дій, що породжують юридичні наслідки щодо суб'єкта персональних даних або інших осіб або іншим чином зачіпають права та свободи суб'єкта персональних даних або інших осіб;

    6) блокування персональних даних – тимчасове припинення збору, систематизації, накопичення, використання, розповсюдження персональних даних, у тому числі їх передачі;

    7) знищення персональних даних - дії, внаслідок яких неможливо відновити зміст персональних даних в інформаційній системі персональних даних або внаслідок яких знищуються матеріальні носії персональних даних;

    8) знеособлення персональних даних - дії, внаслідок яких неможливо визначити належність персональних даних конкретному суб'єкту персональних даних;

    9) інформаційна система персональних даних - інформаційна система, що є сукупністю персональних даних, що містяться в базі даних, а також інформаційних технологій та технічних засобів, що дозволяють здійснювати обробку таких персональних даних з використанням засобів автоматизації або без використання таких засобів;

    10) конфіденційність персональних даних - обов'язкова для дотримання оператором або іншою особою, яка отримала доступ до персональних даних, вимога не допускати їх поширення без згоди суб'єкта персональних даних або наявності іншої законної підстави;

    11) транскордонна передача персональних даних - передача персональних даних оператором через Державний кордон Російської Федерації органу влади іноземної держави, фізичній чи юридичній особі іноземної держави;

    12) загальнодоступні персональні дані - персональні дані, доступ необмеженого кола осіб до яких надано за згодою суб'єкта персональних даних або на які відповідно до федеральних законів не поширюється вимога дотримання конфіденційності.

    Стаття 4 Законодавство Російської Федерації у сфері персональних даних

    1. Законодавство Російської Федерації у сфері персональних даних ґрунтується на Конституції Російської Федерації та міжнародних договорах Російської Федерації та складається з цього Федерального закону та інших визначальних випадки та особливості обробки персональних даних федеральних законів.

    2. На підставі та на виконання федеральних законів державні органи в межах своїх повноважень можуть приймати нормативні правові акти з окремих питань, що стосуються обробки персональних даних. Нормативні правові акти з питань, що стосуються обробки персональних даних, що неспроможні містити становища, обмежують права суб'єктів персональних даних.

    Зазначені нормативні правові акти підлягають офіційному опублікуванню, крім нормативних правових актів чи окремих положень таких нормативних правових актів, містять відомості, доступ яких обмежений федеральними законами.

    3. Особливості обробки персональних даних, що здійснюється без використання засобів автоматизації, можуть бути встановлені федеральними законами та іншими нормативними правовими актами Російської Федерації з урахуванням положень цього Закону.

    4. Якщо міжнародним договором Російської Федерації встановлено інші правила, ніж ті, які передбачені цим Законом, застосовуються правила міжнародного договору.

    Розділ 2. Принципи та умови обробки персональних даних

    Стаття 5 Принципи обробки персональних данихих

    1. Обробка персональних даних має здійснюватися на основі принципів:

    1) законності цілей та способів обробки персональних даних та сумлінності;

    2) відповідності цілей обробки персональних даних цілям, заздалегідь визначеним та заявленим при зборі персональних даних, а також повноваженням оператора;

    3) відповідності обсягу та характеру оброблюваних персональних даних, способів обробки персональних даних цілям обробки персональних даних;

    4) достовірності персональних даних, їх достатності для цілей обробки, неприпустимості обробки персональних даних, надлишкових по відношенню до цілей, заявлених під час збору персональних даних;

    5) неприпустимість об'єднання створених для несумісних між собою цілей баз даних інформаційних систем персональних даних.

    2. Зберігання персональних даних повинно здійснюватися у формі, що дозволяє визначити суб'єкта персональних даних, не довше, ніж цього вимагають мети їх обробки, і вони підлягають знищенню після досягнення цілей обробки або у разі втрати потреби у їх досягненні.

    Стаття 6 Умови обробки персональних даних

    1. Обробка персональних даних може здійснюватись оператором за згодою суб'єктів персональних даних, за винятком випадків, передбачених частиною 2 цієї статті.

    2. Згода суб'єкта персональних даних, передбачена частиною 1 цієї статті, не потрібна у таких випадках:

    1) обробка персональних даних здійснюється на підставі федерального закону, що встановлює її мету, умови отримання персональних даних та коло суб'єктів, персональні дані яких підлягають обробці, а також визначального повноваження оператора;

    2) обробка персональних даних здійснюється з метою виконання договору, однією із сторін якого є суб'єкт персональних даних;

    3) обробка персональних даних здійснюється для статистичних чи інших наукових цілей за умови обов'язкового знеособлення персональних даних;

    4) обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних, якщо отримання згоди суб'єкта персональних даних неможливе;

    5) обробка персональних даних необхідна для доставки поштових відправленьорганізаціями поштового зв'язкудля здійснення операторами електрозв'язку розрахунків з користувачами послуг зв'язку за надані послуги зв'язку, а також для розгляду претензій користувачів послугами зв'язку;

    6) обробка персональних даних здійснюється з метою професійної діяльностіжурналіста або з метою наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права та свободи суб'єкта персональних даних;

    7) здійснюється обробка персональних даних, що підлягають опублікуванню відповідно до федеральних законів, у тому числі персональних даних осіб, які заміщають державні посади, посади державної цивільної служби, персональних даних кандидатів на виборні державні або муніципальні посади.

    3. Особливості обробки спеціальних категорій персональних даних, а також біометричних персональних даних встановлюються відповідно до статей 10 і 11 цього Федерального закону.

    4. У разі, якщо оператор на підставі договору доручає обробку персональних даних іншій особі, істотною умовою договору є обов'язок забезпечення зазначеною особою конфіденційності персональних даних та безпеки персональних даних під час їх обробки.

    Стаття 7 Конфіденційність персональних даних

    1. Операторами та третіми особами, які отримують доступ до персональних даних, повинна забезпечуватися конфіденційність таких даних, за винятком випадків, передбачених частиною 2 цієї статті.

    2. Забезпечення конфіденційності персональних даних не вимагається:

    1) у разі знеособлення персональних даних;

    2) щодо загальнодоступних персональних даних.

    Стаття 8 Загальнодоступні джерела персональних даних

    1. З метою інформаційного забезпечення можуть створюватись загальнодоступні джерела персональних даних (у тому числі довідники, адресні книги). До загальнодоступних джерел персональних даних за письмовою згодою суб'єкта персональних даних можуть включатися його прізвище, ім'я, по батькові, рік та місце народження, адреса, абонентський номер, відомості про професію та інші персональні дані, надані суб'єктом персональних даних.

    2. Відомості про суб'єкта персональних даних можуть бути у будь-який час виключені із загальнодоступних джерел персональних даних на вимогу суб'єкта персональних даних або за рішенням суду чи інших уповноважених державних органів.

    Стаття 9 Згода суб'єкта персональних даних на обробку своїх персональних даних

    1. Суб'єкт персональних даних приймає рішення про надання своїх персональних даних та дає згоду на їх обробку своєю волею та у своєму інтересі, за винятком випадків, передбачених частиною 2 цієї статті. Згода на обробку персональних даних може бути відкликана суб'єктом персональних даних.

    2. Цим Федеральним законом та іншими федеральними законами передбачаються випадки обов'язкового надання суб'єктом персональних даних своїх персональних даних з метою захисту основ конституційного ладу, моральності, здоров'я, прав та законних інтересів інших осіб, забезпечення оборони країни та безпеки держави.

    3. Обов'язок надати доказ отримання згоди суб'єкта персональних даних на обробку його персональних даних, а у разі обробки загальнодоступних персональних даних обов'язок доведення того, що оброблені персональні дані є загальнодоступними, покладається на оператора.

    4. У випадках, передбачених цим Федеральним законом, обробка персональних даних здійснюється тільки за згодою письмовій формісуб'єкт персональних даних. Письмова згода суб'єкта персональних даних на обробку своїх персональних даних повинна включати:

    1) прізвище, ім'я, по батькові, адресу суб'єкта персональних даних, номер основного документа, що засвідчує його особу, відомості про дату видачі зазначеного документа та орган, що його видав;

    2) найменування (прізвище, ім'я, по батькові) та адресу оператора, який отримує згоду суб'єкта персональних даних;

    3) мету обробки персональних даних;

    4) перелік персональних даних, на обробку яких надається згода суб'єкта персональних даних;

    5) перелік дій з персональними даними, на вчинення яких надається згода, Загальний описвикористовуваних оператором способів обробки персональних даних;

    6) термін, протягом якого діє згода, а також порядок його відкликання.

    5. Для обробки персональних даних, які містяться у згоді у письмовій формі суб'єкта на обробку його персональних даних, додаткова згода не потрібна.

    6. У разі недієздатності суб'єкта персональних даних згоду на обробку його персональних даних дає письмово законний представник суб'єкта персональних даних.

    7. У разі смерті суб'єкта персональних даних згоду на обробку його персональних даних дають у письмовій формі спадкоємці суб'єкта персональних даних, якщо така згода не була надана суб'єктом персональних даних за його життя.

    Стаття 10 Спеціальні категорії персональних даних

    1. Обробка спеціальних категорій персональних даних, що стосуються расової, національної приналежності, політичних поглядів, релігійних чи філософських переконань, стану здоров'я, інтимного життя не допускається, за винятком випадків, передбачених частиною 2 цієї статті.

    2. Обробка зазначених у частині 1 цієї статті спеціальних категорій персональних даних допускається у випадках, якщо:

    1) суб'єкт персональних даних дав згоду у письмовій формі на обробку своїх персональних даних;

    2) персональні дані загальнодоступні;

    3) персональні дані відносяться до стану здоров'я суб'єкта персональних даних та їх обробка необхідна для захисту його життя, здоров'я або інших життєво важливих інтересів або життя, здоров'я або інших життєво важливих інтересів інших осіб, та отримання згоди суб'єкта персональних даних неможливе;

    4) обробка персональних даних здійснюється в медико-профілактичних цілях, з метою встановлення медичного діагнозу, надання медичних та медико-соціальних послуг за умови, що обробка персональних даних здійснюється особою, яка професійно займається медичною діяльністю та зобов'язаною відповідно до законодавства Російської Федерації зберігати лікарську таємницю ;

    5) обробка персональних даних членів (учасників) громадського об'єднання або релігійної організації здійснюється відповідними громадським об'єднанням або релігійною організацією, що діють відповідно до законодавства Російської Федерації, для досягнення законних цілей, передбачених їх установчими документами, за умови, що персональні дані не поширюватимуться без згоди у письмовій формі суб'єктів персональних даних;

    6) обробка персональних даних необхідна у зв'язку із здійсненням правосуддя;

    7) обробка персональних даних здійснюється відповідно до законодавства Російської Федерації про безпеку, про оперативно-розшукову діяльність, а також відповідно до кримінально-виконавчого законодавства Російської Федерації.

    3. Обробка персональних даних про судимість може здійснюватися державними органами або муніципальними органами в межах повноважень, наданих їм відповідно до законодавства Російської Федерації, а також іншими особами у випадках та в порядку, що визначаються відповідно до федеральних законів.

    4. Обробка спеціальних категорій персональних даних, що здійснювалася у випадках, передбачених частинами 2 та 3 цієї статті, має бути негайно припинена, якщо усунуті причини, внаслідок яких здійснювалася обробка.

    Стаття 11 Біометричні персональні дані

    1. Відомості, що характеризують фізіологічні особливості людини та на основі яких можна встановити її особу (біометричні персональні дані), можуть оброблятися лише за наявності згоди у письмовій формі суб'єкта персональних даних, за винятком випадків, передбачених частиною 2 цієї статті.

    2. Обробка біометричних персональних даних може здійснюватися без згоди суб'єкта персональних даних у зв'язку із здійсненням правосуддя, а також у випадках, передбачених законодавством Російської Федерації про безпеку, законодавством Російської Федерації про оперативно-розшукову діяльність, законодавством Російської Федерації про державну службу, кримінально-виконавчим законодавством Російської Федерації, законодавством Російської Федерації про порядок виїзду з Російської Федерації та в'їзду до Російської Федерації.

    Стаття 12 Транскордонна передача персональних даних

    1. До початку здійснення транскордонної передачі персональних даних оператор зобов'язаний переконатися, що іноземною державою, на територію якої здійснюється передача персональних даних, забезпечується адекватний захист прав суб'єктів персональних даних.

    2. Транскордонна передача персональних даних на території іноземних держав, що забезпечують адекватний захист прав суб'єктів персональних даних, здійснюється відповідно до цього Федерального закону і може бути заборонена або обмежена з метою захисту основ конституційного ладу Російської Федерації, моральності, здоров'я, прав та законних інтересів громадян , забезпечення оборони країни та безпеки держави.

    3. Транскордонна передача персональних даних на території іноземних держав, які не забезпечують адекватного захисту прав суб'єктів персональних даних, може здійснюватися у випадках:

    1) наявності згоди у письмовій формі суб'єкта персональних даних;

    2) передбачених міжнародними договорами Російської Федерації з питань видачі віз, а також міжнародними договорами Російської Федерації про надання правової допомоги у цивільних, сімейних та кримінальних справах;

    3) передбачених федеральними законами, якщо це необхідно з метою захисту основ конституційного ладу Російської Федерації, забезпечення оборони держави та безпеки держави;

    4) виконання договору, стороною якого є суб'єкт персональних даних;

    5) захисту життя, здоров'я, інших життєво важливих інтересів суб'єкта персональних даних або інших осіб за неможливості отримання згоди у письмовій формі суб'єкта персональних даних.

    Стаття 13. Особливості обробки персональних даних у державних чи муніципальних інформаційних системах персональних даних

    1. Державні органи, муніципальні органи створюють у межах своїх повноважень, встановлених відповідно до федеральних законів, державні або муніципальні інформаційні системи персональних даних.

    2. Федеральними законами можуть бути встановлені особливості обліку персональних даних у державних та муніципальних інформаційних системах персональних даних, у тому числі використання різних способівпозначення належності персональних даних, що містяться у відповідній державній або муніципальній інформаційній системі персональних даних, конкретному суб'єкту персональних даних.

    3. Права і свободи людини і громадянина не можуть бути обмежені за мотивами, пов'язаними з використанням різних способів обробки персональних даних або позначення належності персональних даних, що містяться в державних або муніципальних інформаційних системах персональних даних, конкретному суб'єкту персональних даних. Не допускається використання ображаючих почуттів громадян чи які принижують людську гідність способів позначення належності персональних даних, які у державних чи муніципальних інформаційних системах персональних даних, конкретному суб'єкту персональних даних.

    4. З метою забезпечення реалізації прав суб'єктів персональних даних у зв'язку з обробкою їх персональних даних у державних або муніципальних інформаційних системах персональних даних може бути створений державний регістр населення, правовий статус якого та порядок роботи з яким встановлюються федеральним законом.

    Розділ 3. Права суб'єкта персональних даних

    Стаття 14 Право суб'єкта персональних даних на доступ до своїх персональних даних

    1. Суб'єкт персональних даних має право на отримання відомостей про оператора, про місце його знаходження, про наявність у оператора персональних даних, що належать до відповідного суб'єкта персональних даних, а також на ознайомлення з такими персональними даними, за винятком випадків, передбачених частиною 5 цієї статті . Суб'єкт персональних даних має право вимагати від оператора уточнення своїх персональних даних, їх блокування чи знищення у разі, якщо персональні дані є неповними, застарілими, недостовірними, незаконно отриманими або не є необхідними для заявленої мети обробки, а також вживати передбачених законом заходів щодо захисту своїх прав .

    2. Відомості про наявність персональних даних повинні бути надані суб'єкту персональних даних оператором у доступній формі, і в них не повинні містити персональних даних, що належать до інших суб'єктів персональних даних.

    3. Доступ до своїх персональних даних надається суб'єкту персональних даних або його законному представнику оператором при зверненні або отриманні запиту суб'єкта персональних даних або його законного представника. Запит повинен містити номер основного документа, що засвідчує особу суб'єкта персональних даних або його законного представника, відомості про дату видачі зазначеного документа і орган, що його видав, і власноручний підпис суб'єкта персональних даних або його законного представника. Запит може бути направлений в електронній формі та підписаний електронною цифровим підписомвідповідно до законодавства Російської Федерації.

    4. Суб'єкт персональних даних має право на отримання при зверненні або при отриманні запиту інформації щодо обробки його персональних даних, у тому числі:

    1) підтвердження факту обробки персональних даних оператором, а також мету такої обробки;

    2) способи обробки персональних даних, що застосовуються оператором;

    3) відомості про осіб, які мають доступ до персональних даних або яким може бути наданий такий доступ;

    4) перелік оброблюваних персональних даних та джерело їх отримання;

    5) терміни обробки персональних даних, зокрема терміни їх зберігання;

    6) відомості про те, які юридичні наслідки для суб'єкта персональних даних може спричинити обробку його персональних даних.

    5. Право суб'єкта персональних даних на доступ до своїх персональних даних обмежується у разі, якщо:

    1) обробка персональних даних, у тому числі персональних даних, отриманих в результаті оперативно-розшукової, контррозвідувальної та розвідувальної діяльності, здійснюється з метою оборони країни, безпеки держави та охорони правопорядку;

    2) обробка персональних даних здійснюється органами, які здійснили затримання суб'єкта персональних даних за підозрою у скоєнні злочину, або пред'явили суб'єкту персональних даних звинувачення у кримінальній справі, або застосували до суб'єкта персональних даних запобіжний захід до пред'явлення обвинувачення, за винятком передбачених кримінально-процесуальним законодавством випадків, коли допускається ознайомлення підозрюваного чи обвинуваченого із такими персональними даними;

    3) надання персональних даних порушує конституційні права та свободи інших осіб.

    Стаття 15. Права суб'єктів персональних даних при обробці їх персональних даних з метою просування товарів, робіт, послуг на ринку, а також політичної агітації

    1. Обробка персональних даних з метою просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів з потенційним споживачем за допомогою засобів зв'язку, а також з метою політичної агітації допускається лише за умови попередньої згоди суб'єкта персональних даних. Вказана обробка персональних даних визнається здійснюваною без попередньої згоди суб'єкта персональних даних, якщо оператор не доведе, що така згода була отримана.

    2. Оператор зобов'язаний негайно припинити на вимогу суб'єкта персональних даних обробку його персональних даних, зазначену в частині 1 цієї статті.

    Стаття 16. Права суб'єктів персональних даних при прийнятті рішень на підставі виключно автоматизованого оброблення їх персональних даних

    1. Забороняється прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідки щодо суб'єкта персональних даних або іншим чином зачіпають його права та законні інтереси, за винятком випадків, передбачених частиною 2 цієї статті.

    2. Рішення, що породжує юридичні наслідки щодо суб'єкта персональних даних або іншим чином зачіпає його права та законні інтереси, може бути прийняте на підставі виключно автоматизованої обробки його персональних даних лише за наявності згоди у письмовій формі суб'єкта персональних даних або у випадках, передбачених федеральними законами , що встановлюють також заходи щодо забезпечення дотримання прав та законних інтересів суб'єкта персональних даних.

    3. Оператор зобов'язаний роз'яснити суб'єкту персональних даних порядок прийняття рішення на підставі виключно автоматизованої обробки його персональних даних та можливі юридичні наслідки такого рішення, надати можливість заявити заперечення проти такого рішення, а також роз'яснити порядок захисту суб'єктом персональних даних своїх прав та законних інтересів.

    4. Оператор зобов'язаний розглянути заперечення, зазначене у частині 3 цієї статті, протягом семи робочих днів з дня його отримання та повідомити суб'єкта персональних даних про результати розгляду такого заперечення.

    Стаття 17 Право на оскарження дій чи бездіяльності оператора

    1. Якщо суб'єкт персональних даних вважає, що оператор здійснює обробку його персональних даних з порушенням вимог цього Закону або іншим чином порушує його права і свободи, суб'єкт персональних даних має право оскаржити дії або бездіяльність оператора до уповноваженого органу захисту прав суб'єктів персональних даних або судовий порядок.

    2. Суб'єкт персональних даних має право на захист своїх прав та законних інтересів, у тому числі на відшкодування збитків та (або) компенсацію моральної шкоди у судовому порядку.

    Розділ 4. Обов'язки оператора

    Стаття 18 Обов'язки оператора при зборі персональних даних

    1. При зборі персональних даних оператор зобов'язаний надати суб'єкту персональних даних на його прохання інформацію, передбачену частиною 4 статті 14 цього Закону.

    2. Якщо обов'язок надання персональних даних встановлено федеральним законом, оператор зобов'язаний роз'яснити суб'єкту персональних даних юридичні наслідки відмови надати свої дані.

    3. Якщо персональні дані були отримані не від суб'єкта персональних даних, за винятком випадків, коли персональні дані були надані оператору на підставі федерального закону або якщо персональні дані є загальнодоступними, оператор на початок обробки таких персональних даних зобов'язаний надати суб'єкту персональних даних таку інформацію:

    1) найменування (прізвище, ім'я, по батькові) та адресу оператора або його представника;

    2) мета обробки персональних даних та її правову основу;

    3) передбачувані користувачі персональних даних;

    4) встановлені цим Законом права суб'єкта персональних даних.

    Стаття 19 Заходи щодо забезпечення безпеки персональних даних під час їх обробки

    1. Оператор при обробці персональних даних зобов'язаний вживати необхідних організаційних та технічних заходів, у тому числі використовувати шифрувальні (криптографічні) засоби, для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, розповсюдження персональних даних, а також від інших неправомірних процесів.

    2. Уряд Російської Федерації встановлює вимоги до забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, вимоги до матеріальних носіїв біометричних персональних даних та технологій зберігання таких даних поза інформаційними системами персональних даних.

    3. Контроль та нагляд за виконанням вимог, встановлених Урядом Російської Федерації відповідно до частини 2 цієї статті, здійснюються федеральним органом виконавчої влади, уповноваженим у сфері забезпечення безпеки, та федеральним органом виконавчої влади, уповноваженим у сфері протидії технічним розвідкам та технічному захисту інформації, у межах їх повноважень та без права ознайомлення з персональними даними, що обробляються в інформаційних системах персональних даних.

    4. Використання та зберігання біометричних персональних даних поза інформаційними системами персональних даних можуть здійснюватися тільки на таких матеріальних носіях інформації та із застосуванням такої технології її зберігання, які забезпечують захист цих даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, поширення.

    Стаття 20. Обов'язки оператора при зверненні або отриманні запиту суб'єкта персональних даних або його законного представника, а також уповноваженого органу захисту прав суб'єктів персональних даних

    1. Оператор зобов'язаний у порядку, передбаченому статтею 14 цього Федерального закону, повідомити суб'єкт персональних даних або його законного представника інформацію про наявність персональних даних, що належать до відповідного суб'єкта персональних даних, а також надати можливість ознайомлення з ними при зверненні суб'єкта персональних даних або його законного представника або протягом десяти робочих днів із дати отримання запиту суб'єкта персональних даних або його законного представника.

    2. У разі відмови у наданні суб'єкту персональних даних або його законному представнику при зверненні або при отриманні запиту суб'єкта персональних даних або його законного представника інформації про наявність персональних даних про відповідного суб'єкта персональних даних, а також таких персональних даних оператор зобов'язаний надати у письмовій формі мотивований відповідь, що містить посилання на положення частини 5 статті 14 цього Федерального закону або іншого федерального закону, що є підставою для такої відмови, у строк, що не перевищує сім робочих днів з дня звернення суб'єкта персональних даних або його законного представника або з дати отримання запиту суб'єкта персональних даних чи його законного представника.

    3. Оператор зобов'язаний безоплатно надати суб'єкту персональних даних або його законному представнику можливість ознайомлення з персональними даними, що належать до відповідного суб'єкта персональних даних, а також внести до них необхідні зміни, знищити або блокувати відповідні персональні дані щодо надання суб'єктом персональних даних або його законним представником відомостей , що підтверджують, що персональні дані, що належать до відповідного суб'єкта та обробку яких здійснює оператор, є неповними, застарілими, недостовірними, незаконно отриманими або не є необхідними для заявленої мети обробки. Про внесені зміни та вжиті заходи оператор зобов'язаний повідомити суб'єкта персональних даних або його законного представника та третіх осіб, яким персональні дані цього суб'єкта були передані.

    4. Оператор зобов'язаний повідомити до уповноваженого органу захисту прав суб'єктів персональних даних на його запит інформацію, необхідну для здійснення діяльності зазначеного органу, протягом семи робочих днів з дати отримання такого запиту.

    Стаття 21. Обов'язки оператора щодо усунення порушень законодавства, допущених при обробці персональних даних, а також щодо уточнення, блокування та знищення персональних даних

    1. У разі виявлення недостовірних персональних даних або неправомірних дій з ними оператора при зверненні або на запит суб'єкта персональних даних або його законного представника або уповноваженого органу захисту прав суб'єктів персональних даних оператор зобов'язаний здійснити блокування персональних даних, що належать до відповідного суб'єкта персональних даних, моменту такого звернення або отримання запиту на період перевірки.

    2. У разі підтвердження факту недостовірності персональних даних оператор на підставі документів, поданих суб'єктом персональних даних або його законним представником або уповноваженим органом захисту прав суб'єктів персональних даних, або інших необхідних документів зобов'язаний уточнити персональні дані та зняти їхнє блокування.

    3. У разі виявлення неправомірних дій із персональними даними оператор у строк, що не перевищує трьох робочих днів з дати такого виявлення, зобов'язаний усунути допущені порушення. У разі неможливості усунення допущених порушень оператор у строк, що не перевищує трьох робочих днів з дати виявлення неправомірності дій із персональними даними, зобов'язаний знищити персональні дані. Про усунення допущених порушень або про знищення персональних даних оператор зобов'язаний повідомити суб'єкта персональних даних або його законного представника, а у разі якщо звернення або запит було направлено уповноваженим органом із захисту прав суб'єктів персональних даних, також зазначений орган.

    4. У разі досягнення мети обробки персональних даних оператор зобов'язаний негайно припинити обробку персональних даних та знищити відповідні персональні дані в строк, що не перевищує трьох робочих днів з дати досягнення мети обробки персональних даних, якщо інше не передбачено федеральними законами, та повідомити про це суб'єкта персональних даних даних або його законного представника, а у разі, якщо звернення чи запит було направлено уповноваженим органом із захисту прав суб'єктів персональних даних, також зазначений орган.

    5. У разі відкликання суб'єктом персональних даних згоди на обробку своїх персональних даних оператор зобов'язаний припинити обробку персональних даних та знищити персональні дані у строк, що не перевищує трьох робочих днів з дати надходження зазначеного відкликання, якщо інше не передбачено угодою між оператором та суб'єктом персональних даних. Про знищення персональних даних оператор зобов'язаний повідомити суб'єкт персональних даних.

    Стаття 22 Повідомлення про обробку персональних даних

    1. Оператор до початку обробки персональних даних зобов'язаний повідомити уповноважений орган захисту прав суб'єктів персональних даних про свій намір здійснювати обробку персональних даних, за винятком випадків, передбачених частиною 2 цієї статті.

    2. Оператор має право здійснювати без повідомлення уповноваженого органу захисту прав суб'єктів персональних даних обробку персональних даних:

    1) що належать до суб'єктів персональних даних, яких пов'язують із оператором трудові відносини;

    2) отриманих оператором у зв'язку з укладанням договору, стороною якого є суб'єкт персональних даних, якщо персональні дані не поширюються, а також не надаються третім особам без згоди суб'єкта персональних даних та використовуються оператором виключно для виконання зазначеного договору та укладання договорів із суб'єктом персональних даних;

    3) що належать до членів (учасників) громадського об'єднання або релігійної організації та опрацьовуються відповідними громадським об'єднанням або релігійною організацією, що діють відповідно до законодавства Російської Федерації, для досягнення законних цілей, передбачених їх установчими документами, за умови, що персональні дані не поширюватимуться без згоди у письмовій формі суб'єктів персональних даних;

    4) є загальнодоступними персональними даними;

    5) включають лише прізвища, імена та по батькові суб'єктів персональних даних;

    6) необхідні з метою одноразового пропуску суб'єкта персональних даних на територію, на якій знаходиться оператор, або в інших аналогічних цілях;

    7) включених до інформаційних систем персональних даних, що мають відповідно до федеральних законів статус федеральних автоматизованих інформаційних систем, а також до державних інформаційних систем персональних даних, створених з метою захисту безпеки держави та громадського порядку;

    8) оброблюваних без використання засобів автоматизації відповідно до федеральних законів або інших нормативних правових актів Російської Федерації, що встановлюють вимоги до забезпечення безпеки персональних даних при їх обробці та дотримання прав суб'єктів персональних даних.

    3. Повідомлення, передбачене частиною 1 цієї статті, має бути направлене у письмовій формі та підписано уповноваженою особою або направлено в електронній формі та підписано електронним цифровим підписом відповідно до законодавства Російської Федерації. Повідомлення має містити такі відомості:

    1) найменування (прізвище, ім'я, по батькові), адресу оператора;

    2) мету обробки персональних даних;

    5) правова основа обробки персональних даних;

    6) перелік дій із персональними даними, загальний опис використовуваних оператором способів обробки персональних даних;

    7) опис заходів, які оператор зобов'язується здійснювати при обробці персональних даних щодо забезпечення безпеки персональних даних при їх обробці;

    8) дата початку обробки персональних даних;

    9) термін чи умова припинення обробки персональних даних.

    4. Уповноважений орган захисту прав суб'єктів персональних даних протягом тридцяти днів з дати надходження повідомлення про обробку персональних даних вносить відомості, зазначені в частині 3 цієї статті, а також відомості про дату направлення зазначеного повідомлення до Реєстру операторів. Відомості, що містяться в реєстрі операторів, за винятком відомостей про засоби безпеки персональних даних при їх обробці, є загальнодоступними.

    5. На оператора не можуть покладатися витрати у зв'язку з розглядом повідомлення про обробку персональних даних уповноваженим органом захисту прав суб'єктів персональних даних, а також у зв'язку з внесенням відомостей до реєстру операторів.

    6. У разі надання неповних або недостовірних відомостей, зазначених у частині 3 цієї статті, уповноважений орган захисту прав суб'єктів персональних даних має право вимагати від оператора уточнення наданих відомостей до їх внесення до реєстру операторів.

    7. У разі зміни відомостей, зазначених у частині 3 цієї статті, оператор зобов'язаний повідомити про зміни уповноважений орган захисту прав суб'єктів персональних даних протягом десяти робочих днів з дати виникнення таких змін.

    Глава 5. Контроль та нагляд за обробкою персональних даних. Відповідальність за порушення вимог цього Закону

    Стаття 23 Уповноважений орган захисту прав суб'єктів персональних даних

    1. Уповноваженим органом захисту прав суб'єктів персональних даних, на який покладається забезпечення контролю та нагляду за відповідністю обробки персональних даних вимогам цього Федерального закону, є федеральний орган виконавчої влади, який здійснює функції з контролю та нагляду у сфері інформаційних технологій та зв'язку.

    2. Уповноважений орган із захисту прав суб'єктів персональних даних розглядає звернення суб'єкта персональних даних щодо відповідності змісту персональних даних та способів їх обробки цілям їх обробки та приймає відповідне рішення.

    3. Уповноважений орган із захисту прав суб'єктів персональних даних має право:

    1) вимагати у фізичних чи юридичних осіб інформацію, необхідну для реалізації своїх повноважень, та безоплатно отримувати таку інформацію;

    2) здійснювати перевірку відомостей, які містяться у повідомленні про обробку персональних даних, або залучати для здійснення такої перевірки інші державні органи в межах їх повноважень;

    3) вимагати від оператора уточнення, блокування чи знищення недостовірних чи отриманих незаконним шляхом персональних даних;

    4) вживати в установленому законодавством Російської Федерації порядку заходів щодо зупинення або припинення обробки персональних даних, що здійснюється з порушенням вимог цього Закону;

    5) звертатися до суду з позовними заявами на захист прав суб'єктів персональних даних та представляти інтереси суб'єктів персональних даних у суді;

    6) надсилати заяву до органу, який здійснює ліцензування діяльності оператора, для розгляду питання про вжиття заходів щодо зупинення дії або анулювання відповідної ліцензії в установленому законодавством Російської Федерації порядку, якщо умовою ліцензії на здійснення такої діяльності є заборона на передачу персональних даних третім особам без згоди письмовій формі суб'єкта персональних даних;

    7) направляти до органів прокуратури, інших правоохоронних органів матеріалів для вирішення питання про порушення кримінальних справ за ознаками злочинів, пов'язаних з порушенням прав суб'єктів персональних даних, відповідно до підвідомчості;

    8) вносити в Уряд Російської Федерації пропозиції щодо вдосконалення нормативного правового регулювання захисту прав суб'єктів персональних даних;

    9) притягувати до адміністративної відповідальності осіб, винних у порушенні цього Закону.

    4. Щодо персональних даних, які стали відомими уповноваженому органу захисту прав суб'єктів персональних даних у ході здійснення ним своєї діяльності, повинна забезпечуватися конфіденційність персональних даних.

    5. Уповноважений орган із захисту прав суб'єктів персональних даних зобов'язаний:

    1) організовувати відповідно до вимог цього Закону та інших федеральних законів захист прав суб'єктів персональних даних;

    2) розглядати скарги та звернення громадян чи юридичних осіб з питань, пов'язаних з опрацюванням персональних даних, а також приймати в межах своїх повноважень рішення за результатами розгляду зазначених скарг та звернень;

    3) вести реєстр операторів;

    4) вжити заходів, спрямованих на вдосконалення захисту прав суб'єктів персональних даних;

    5) приймати у встановленому законодавством Російської Федерації порядку за поданням федерального органувиконавчої влади, уповноваженого у сфері забезпечення безпеки, чи федерального органу виконавчої, уповноваженого у сфері протидії технічним розвідкам і технічного захисту інформації, заходи для зупинення чи припинення обробки персональних даних;

    6) інформувати державні органи, а також суб'єктів персональних даних за їх зверненнями або запитами щодо стану справ у галузі захисту прав суб'єктів персональних даних;

    7) виконувати інші передбачені законодавством Російської Федерації обов'язки.

    6. Рішення уповноваженого органу захисту прав суб'єктів персональних даних можуть бути оскаржені в судовому порядку.

    7. Уповноважений орган із захисту прав суб'єктів персональних даних щорічно надсилає звіт про свою діяльність Президенту Російської Федерації, до Уряду Російської Федерації та Федеральних Зборів Російської Федерації. Зазначений звіт підлягає опублікуванню у засобах масової інформації.

    8. Фінансування уповноваженого органу захисту прав суб'єктів персональних даних здійснюється за рахунок коштів федерального бюджету.

    9. При уповноваженому органі захисту прав суб'єктів персональних даних створюється на громадських засадах консультативна рада, порядок формування та порядок діяльності якої визначаються уповноваженим органом захисту прав суб'єктів персональних даних.

    Стаття 24 Відповідальність за порушення вимог цього Закону

    Особи, винні у порушенні вимог цього Закону, несуть цивільну, кримінальну, адміністративну, дисциплінарну та іншу передбачену законодавством Російської Федерації відповідальність.

    Розділ 6. Заключні положення

    Стаття 25 Заключні положення

    1. Цей Федеральний закон набирає чинності після закінчення ста вісімдесяти днів після дня його офіційного опублікування.

    2. Після дня набрання чинності цим Законом обробка персональних даних, включених до інформаційних систем персональних даних до дня його набрання чинності, здійснюється відповідно до цього Федерального закону.

    3. Інформаційні системиперсональних даних, створені до дня набрання чинності цим Законом, повинні бути приведені у відповідність до вимог цього Закону не пізніше 1 січня 2010 року.

    4. Оператори, які здійснюють обробку персональних даних до дня набрання чинності цим Федеральним законом і продовжують здійснювати таку обробку після дня його набрання чинності, зобов'язані направити до уповноваженого органу захисту прав суб'єктів персональних даних, за винятком випадків, передбачених частиною 2 статті 22 цього Закону, повідомлення, передбачене частиною 3 статті 22 цього Закону, не пізніше 1 січня 2008 року.

    Президент
    Російської Федерації
    В. Путін