Согласно Федеральному закону №152 «О персональных данных» перед частными и государственными организациями, а также физлицами, занимающимися сбором, передачей, обработкой и хранением персональных данных (ПД) возникает ряд требований. 

Требования призваны обеспечить защиту персональных данных, в том числе проведения организационно-технических мероприятий, позволяющих защитить сведения субъектов персональных данных.

Согласно закону, при обработке данных оператор ПД должен выполнять следующие действия:

• направлять уведомления об обработке ПД в специально уполномоченные организации (статья 22 пункт 3); 
• уведомить субъекта ПД о необходимости получения документа, который удостоверяет согласие на обработку персональных данных; 
• при уничтожении персональных данных и прекращении обработки оператор обязан выслать соответствующее уведомление субъекту ПД. 

Последним пунктом можно пренебречь только в случае, если организация и субъект имеют договорные отношения, в том числе трудовые (статья 22 пункт 2). 

Действие закона №152-ФЗ не касается следующих случаев:

• обработки ПД физическими лицами в собственных целях, если отсутствуют нарушения прав субъектов ПД;
• организации хранения и учета архивных документов согласно закону об архивном деле РФ;
• обработки ПД, которые относятся к государственной тайне;
• обработки сведений для включения в Единый госреестр, касающихся физического лица, занимающегося деятельностью в качестве индивидуального предпринимателя;
• передачи данных, касающихся деятельности судов на территории РФ (ФЗ № 262).

Далее подробно рассмотрим статью 9, регламентирующую согласие субъекта на обработку персональных данных.

Статья 9 закона № 152 о согласии субъекта персональных данных на обработку ПД

Субъект должен предоставить персональные данные по собственной воле. Предоставление согласия должно быть максимально понятным и подробным. Предоставить согласие субъект в праве через своего представителя в любой форме, если иное не предусмотрено законом. При предоставлении ПД представителем субъекта, необходимо осуществить проверку полномочий представителя. Проверку выполняет оператор.

Субъект ПД имеет право отозвать согласие на обработку персональных данных. Оператор имеет право продолжить обработку персональных данных без получения одобрения, если на то имеются основания, соответствующие статьям упомянутого Федерального закона, а именно статье 6, статье 10, статье 11.

Подтверждение согласия от субъекта персональных данных или получение доказательств оснований на продолжение обработки без него остается заботой оператора.

Если обработка касается случая, предусмотренного Федеральным законом, субъект должен предоставить согласие на обработку персональных данных в письменной форме. Документ может быть предоставлен как в электронной форме, так и на бумажном носителе. Оба документа заверяются подписью. На документе, полученном в цифровом видео, субъект оставляет электронную подпись.

Информация о согласии на обработку персональных данных должна включать следующие пункты:

1. ФИО субъекта персональных данных, его адрес, сведения о документе, удостоверяющем личность.

2. Для случая предоставления информации представителем уполномоченное лицо также должно указать свои ФИО, адрес, сведения о документе, подтверждающем личность, сведения о документе, способном удостоверить факт получения полномочий, в том числе реквизиты.

3. Полная информация об операторе, который получил согласие (разрешение) на обработку персональных данных.

4. В обязательном порядке указывается цель обработки персональных данных.

5. Приводится вся информация, которую субъект готов предоставить оператору.

6. При необходимости передачи полномочий на обработку персональных данных другому лицу оператор обязан предоставить подробную информацию, в том числе наименование и адрес.

7. Документ должен содержать список операций для обработки персональных данных, одобренных со стороны субъекта. Каждое действие (операция) должно иметь общее описание.

8. Для согласия устанавливается конкретный срок и описывается способ его отзыва.

9. Подпись субъекта, удостоверяющая заверение документа.

Когда требуется прибегнуть к услугам государственного или муниципального учреждения (организации), согласие на обработку данных можно получить в порядке, который установлен правительством РФ.
Согласие за недееспособного субъекта может дать его представитель. В случае смерти субъекта дать разрешение на обработку персональных данных могут его наследники.

Оператор может получить персональные данные от лица, которое не является субъектом, если им будут предоставлены основания, указанные в статье 6, статье 10 и статье 11 Федерального закона № 152 РФ.

Основные понятия Федерального закона № 152 

Ключевые положения приведены в статье 3: 

• Персональные данные являются сведениями, которые прямо или косвенно относятся к конкретному физическому лицу, субъекту персональных данных. К ним можно отнести любые сведения, позволяющие установить личность лица, в том числе номер мобильного телефона.
• Оператором может быть юридическое или физическое лицо. В том числе госорганизация.
• Обработку персональных данных следует трактовать, как действия, предполагающие задействование средств автоматизации, в том числе запись, хранение, актуализацию, анонимизацию, дальнейшую передачу персональных данных другим лицам (организациям), удаление и т.д. Обработка персональных данных может также производиться ручными методами.
• Под автоматизированной обработкой персональных данных принято понимать действия, при которых используется вычислительная техника. 
• Под передачей и распространением персональных данных в статье 3 Федерального закона № 152 понимается действие, которое направлено на раскрытие сведений сторонним лицам и организациям. 
• Под предоставлением персональных данных понимаются действия, которые направлены на раскрытие сведений определенным лицам (организациям). 
• Блокирование персональных данных – остановка оператором работы с информацией. 
• Уничтожение персональных данных – операции, целью которых является полное стирание информации, после чего данные уже невозможно восстановить в информационной системе. Это уничтожение цифровых данных и сведений на физических носителях. 
• Под анонимизацией персональных данных понимаются операции, которые направлены на обезличивание информации, в результате чего становится невозможно установить принадлежность сведений к конкретному лицу (организации).
• В законе также дано понятие трансграничной передачи персональных данных. Такие действия подразумевает передачу данных лицам, компаниям и организациям других стран. Под такими действиями принято понимать предоставление данных лицам и организациям иных государств.

Обязательства оператора при организации сбора персональных данных

При запросе субъекта персональных данных оператор обязан предоставлять информацию в соответствии с частью 7 статьи 14 Федерального закона № 152. 

За субъектом сохраняется право отказать в предоставлении сведений. В таком случае оператор обязан объяснить юридические последствия отказа. 

Если оператор получил персональные данные не от субъекта, то, за исключением случаев, которые будут рассмотрены ниже, он обязан уведомить субъекта персональных данных и предоставить следующую информацию:

• сведения об операторе или его представителе, в том числе наименование или ФИО;
• основание для обработки персональных данных; 
• список пользователей, которые будут проводить операции с персональными данными; 
• список прав субъекта в соответствии с настоящим Федеральным законом; 
• сведения об источнике, предоставившем данные. 
• Оператор освобождается от необходимости давать вышеуказанные сведения в следующих случаях:
• субъект персональных данных уже уведомлен о начале процесса обработки предоставленных им персональных данных;
• оператором были получены персональные данные на основании ФЗ или ввиду исполнения договора, в котором фигурирует непосредственно сам субъект;
• получение персональных данных было выполнено благодаря общедоступным источникам;
• обработка персональных данных производится для исследований, в том числе научных, литературных или иных видов деятельности, не нарушая прав и законных интересов субъекта.

Оператору, выступающему в роли юридического лица, надлежит опубликовать на подконтрольном ему информационном ресурсе политику конфиденциальности в отношении работы с ПД.

«СёрчИнформ КИБ» сертифицирована ФСТЭК России. Система соответствует четвертому уровня контроля недекларированных возможностей, которые могут навредить обрабатываемой информации. Это значит, что данные в системе защищены не только от утечек, но и от нарушения целостности, доступности и конфиденциальности. 

Накопление персональных данных можно выполнять с помощью Интернета. Оператор самостоятельно обновляет данные, выполняет хранение, проверяет корректность и прочие действия, необходимые для проведения обработки данных при задействовании баз данных, которые должны располагаться на территории РФ.

Если была осуществлена передача персональных данных стороннему лицу (организации) по согласию, то лицо (организация), осуществляющее в дальнейшем обработку персональных данных, не обязано получать разрешение напрямую. Отвечать за предоставление данных другим лицам (организациям) обязан оператор. Он должен контролировать все операции и процесс обработки данных. В свою очередь, лица, которые проводят работу с данными, полученными от оператора, отвечают перед самим оператором.

18.02.2020