политика обработки персональных данных

Меня зовут Татьяна Никонорова, я работаю ведущим консультантом по ИБ и занимаюсь разработкой организационно-распорядительных документов.

Проще говоря, перевожу со сложного юридического языка на понятный русский -))

Что относится к Вашим персональным данным?

Согласно Федеральному Закону №152-ФЗ О персональных данных (далее 152-ФЗ) к персональным данным может быть отнесена любая информация, прямо или косвенно определяющая человека (субъекта персональных данных).

Персональные данные – это очень широкое понятие. 152-ФЗ, судебная практика, Роскомнадзор и другие ведомства признают разный перечень персональных данных. Например, все признают, что ФИО, паспортные данные относятся к персональным данным.

Чтобы понять, является ли информация персональными данными, необходимо ответить на вопросы:

• Идентифицирует ли данная информация субъекта персональных данных?
• Можно ли на основании данной информации выделить человека из группы людей?

Примеры данных, относящихся к персональным данным:

• Фамилия, имя, отчество
• Дата, место рождения
• Сведения, содержащиеся в документах, удостоверяющих личность
• Адрес фактического проживания
• Адрес электронной почты

Другие примеры данных:

Дополнительные примеры данных:

• Сведения, содержащиеся в трудовом договоре
• Адрес выполнения трудовой функции
• Сведения о доходах, заработной плате
• Номера банковских счетов
• Сведения о наличии водительских прав

Надеюсь, в моей колонке вы найдете ответы на все свои вопросы. А если нет, давайте общаться в комментариях.

Файлы cookie и данные пользовательской аналитики

Например, собираемые посредством сервисов Яндекс.Метрика, Google Аналитика

История заказов (даже в отсутствие его ФИО, поскольку такие как могут являться основой для профайлинга)

Нужно помнить, что ваши персональные данные могут относится к биометрическим или персональным данным специальной категории, и требования к их обработке имеют особенности.

Что требуется для законной обработки персональных данных?

Для того, чтобы законно обрабатывать персональные данные оператор (организация, ИП, работодатель и т.д) должен иметь хотя бы одно из правовых оснований обработки, определённых в ч.1 ст.6 152-ФЗ:

Таким образом только в одном из 10 случаев вы можете отказаться от обработки ваших персональных данных — при обработке на основании согласия на обработку. В других случаях требовать прекращения обработки данных можно при несоответствии или избыточности перечня данных по отношению к основанию обработки.

При этом согласие – самое частое основание для обработки персональных данных в России. Его собирают и работодатели, и компании, заключающие договора в интересах субъектов, для подстраховки. Согласно практике проверок Роскомнадзора, в России проще всего показать подписанное субъектом согласие, а не доказывать иные основания обработки. Российское законодательство, в отличии от европейского, не запрещает иметь несколько оснований обработки.

Что делать, если я не хочу давать согласие на обработку персональных данных?

Если в соответствии с 152-ФЗ предоставление персональных данных или получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить вам юридические последствия отказа дать ему персональные данные или согласие на их обработку. Ваш отказ может стать причиной не предоставлять вам услуги.

Но есть статья 16 Федерального Закона О защите прав потребителей. По ней продавец (тот же оператор) не вправе отказывать потребителю (вам) в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные. За исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем.

Так что получается вы не можете отказаться предоставить адрес проживания и номер телефона, если хотите заключить, например, договор доставки. Но имеете полное право отказаться от предоставления номера ИНН или фотографии, поскольку эти данные не требуются для исполнения договора.

Что я могу узнать об обработке своих персональных данных?

Права потребителей по обработке персональных данных в России

Согласно Федеральному Закону О защите прав потребителей, вы имеете право требовать предоставление информации о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных. Продавец должен предоставить такую информацию в течение семи дней со дня предъявления указанного требования в письменной форме, а в устной форме такая информация должна быть предоставлена незамедлительно.

Положения 152-ФЗ гласят, что вы имеете право запросить у оператора (и получить ответ в срок не более 10 рабочих дней) информацию, связанную с обработкой ваших персональных данных, а именно:

• целями обработки персональных данных,
• категориями обрабатываемых персональных данных,
• сроками обработки персональных данных,
• основаниями обработки персональных данных.

Если после вашего запроса информации, связанной с обработкой ваших персональных данных, вы считаете, что оператор использует их незаконно (например, передает третьим лицам) и/или эти действия ущемляют ваши интересы, то вы можете:

Что делать, если я хочу отозвать согласие на обработку персональных данных?

Вы имеете право отозвать свое согласие на обработку персональных данных в любое время (п. 2 ст. 9 152-ФЗ). Вам не требуется даже указывать причину такого решения.

Достаточно направить в адрес оператора уведомление в письменной форме об отзыве согласия на обработку ваших персональных данных. Обычно в политике обработки персональных данных, которая должна быть на каждом сайте, или в согласии, которое вы подписывали, будет указан порядок отзыва согласия на обработку персональных данных. После получения отзыва оператор обязан прекратить обработку и уничтожить персональные данные не позднее чем через 30 дней (п. 5 ст. 21 152-ФЗ), если он не имеет иных оснований обработки ваших персональных данных. Если оператор не имеет возможности уничтожить персональные данные в этот срок, то он осуществить блокирование данных и обеспечить уничтожение в срок не более чем 6 месяцев.

Что делать, если обработка персональных данных проводится не на основании согласия, но я все равно хочу ее прекратить?

Рассмотрим несколько случаев.

Клиент по договору

Вы – клиент по договору и на основании договора (без отдельного согласия) уже передали оператору персональные данные в большем объеме, чем вам хотелось бы. Вам необходимо детально изучить необходимые персональные данные для исполнения договора. Если на ваш взгляд, данных обрабатывается больше, чем требуется, напишите обращение оператору о прекращении им обработки ненужных по отношению к исполнению договора персональных данных. Срок ответа на такое обращение не более 10 рабочих дней.

Соискатель или работник

Вы соискатель или работник и ваши персональные данные обрабатываются исключительно на основании ТК РФ. Без определенных персональных данных устроиться на работу не получится. Перечень документов определен ст. 65 ТК РФ. Однако работодатель не имеет право требовать от претендента на вакансию или работника предоставление персональных данных, превышающих необходимый объем (ч. 3 ст. 65 ТК РФ). Работник также имеет право полную информацию об их персональных данных и обработке этих данных (ст. 89 ТК РФ).

Если работодателю необходимы дополнительные данные, не связанные с трудоустройством, например, номер вашей банковской карты для зачисления туда заработной платы, то необходимо оформить согласие на обработку персональных данных для соответствующей цели. При расторжении трудового договора вы вправе написать заявление и отозвать согласие.

А вот данные, предоставленные при трудоустройстве, отозвать и удалить не получится. Они обрабатывались на основании ТК РФ, а значит продолжат обрабатываться и храниться в течение установленного времени. Потом их обработку продолжат в соответствии с требованиями законодательства в области архивного делопроизводства.

Вы не предоставляли свои данные, но их используют в рекламных или прочих целях.

Предположим, вам систематически названивают с предложением услуг или присылают персональные предложения на скидку. А может звонят коллекторы, чтобы заставить кого-то заплатить долг. Нужно уточнить, откуда получены ваши персональные данные.

Если данные получены от третьих лиц или из открытых источников, то вы можете подать жалобу в Роскомнадзор на незаконную обработку персональных данных, потому что право предоставлять ваши персональные данные имеете только вы или ваш законный представитель, оформленный соответствующим образом. Например, для несовершеннолетних детей – родители; для всех – человек, действующий на основе доверенности с правом совершать действия от имени субъекта персональных данных.

В начале мая, как раз, появился законопроект, предусматривающий повышение административного штрафа за незаконную обработку персональных данных без согласия субъекта (в случаях, когда оно необходимо):

Что делать и куда обратиться, если обработка персональных данных не прекращается после моего запроса?

Вы всегда можете подать жалобу на незаконную обработку ваших персональных данных через электронную приемную Роскомнадзора: https://rkn.gov.ru/treatments/ask-question/

Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

Выводы

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1. Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ-152), подзаконными актами к нему и Рекомендациями Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном ФЗ-152 и Регламентом № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (далее – GDPR).1.2. Настоящая Политика определяет общие цели и принципы обработки персональных данных и меры по обеспечению безопасности персональных данных в АО «БИОКАД» с целью защиты прав и свобод человека и гражданина при обработке его персональных данных и устанавливает официально выраженные руководством АО «БИОКАД» намерения и обязательства в указанной области.1.3. Настоящая Политика действует в течение 3 (трех) лет и может быть пересмотрена по достижении этого срока, либо ранее – в случае изменения действующего законодательства в области защиты и обработки персональных данных.

2.Область применения2.1. Настоящая Политика обязательна к применению всеми работниками АО «БИОКАД» вне зависимости от их должности, в том числе работниками с полной и частичной занятостью, с момента введения Политики в действие. Другие локальные нормативные акты по обеспечению и защите персональных данных в АО «БИОКАД» не должны противоречить настоящей Политике.

3.Термины и обозначения3.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.3.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).3.3. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных.3.4. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя:

3.5. Оператор –акционерное общество (АО «БИОКАД»).3.6. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).3.7. Определенное (или определяемое) лицо – лицо, которое может быть определено прямо или косвенно, например, по имени, паспортным данным, номеру телефона, онлайн идентификатору или по одному или нескольким факторам, характерным для физической, физиологической, генетической, ментальной, экономической, культурной или социальной идентичности человека.3.8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.3.9. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных).3.10. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.3.11. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.3.12. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

4.Ответственность / владелец процесса4.1. Работники Оператора, виновные в нарушении требований настоящей Политики, могут быть привлечены к ответственности, в том числе к материальной, в связи с причинением материального ущерба Оператору, связанного с привлечением Оператора к административной или уголовной ответственности в виде штрафа, возмещением Оператором имущественного и/или морального вреда субъекту персональных данных в результате неправомерных действий таких работников Оператора.4.2. Контроль за соблюдением требований настоящей Политики осуществляет Департамент информационной безопасности.

5.Основные положения5.1. Принципы и условия обработки персональных данных5.1.1.Обработка персональных данных у Оператора осуществляется на основании следующих принципов:5.1.1.1. Законность, справедливость и прозрачность.5.1.1.2. Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей.5.1.1.3. Недопущение обработки персональных данных, несовместимой с целями сбора персональных данных.5.1.1.4. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.5.1.1.5. Обработка только тех персональных данных, которые отвечают целям их обработки.5.1.1.6. Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки.5.1.1.7. Недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки.5.1.1.8. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных.5.1.1.9. Уничтожение либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом и / или GDPR.5.1.1.10. Обработка персональных данных осуществляется способом, обеспечивающим соответствующую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения, с помощью соответствующих технических и организационных мер.5.1.2. Условия обработки персональных данных:5.1.2.1. Категории субъектов персональных данных, перечень обрабатываемых персональных данных, цели и правовые основания их обработки определяются в Положении об обработке персональных данных Оператора.5.1.2.2.Оператору, в случае отсутствия иных правовых оснований обработки персональных данных, необходимо получать явное согласие субъектов на обработку их персональных данных в момент сбора персональных данных. В случае, если Оператор планирует осуществлять обработку персональных данных с целью, несовместимой с первичной целью обработки персональных данных, Оператор должен получить отдельное согласие субъектов персональных данных для планируемой цели. В случае, если персональные данные получены Оператором не от субъекта персональных данных, Оператор должен оповестить субъекта о такой обработке.5.1.3. Конфиденциальность персональных данных5.1.3.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом и / или GDPR.5.1.4. Поручение обработки персональных данных другому лицу5.1.4.1. Оператор вправе поручать обработку персональных данных другим лицам с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом и / или GDPR, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, GDPR и настоящей Политикой.5.1.5. Трансграничная передача персональных данных5.1.5.1. Оператор в ходе своей деятельности может осуществлять трансграничную передачу персональных данных на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам. До начала осуществления такой передачи Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.5.1.5.2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться только в случаях наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных или исполнения договора, стороной которого является субъект персональных данных, а также в иных предусмотренных применимым законодательством в области обработки и обеспечения безопасности персональных данных случаях.5.1.5.3. В отношении процессов обработки персональных данных, подпадающих под действие GDPR, трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях, предусмотренных GDPR.

5.2. Субъект персональных данных имеет право на:5.2.1. Защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.5.2.2. Получение от Оператора уведомления об обязанности предоставлять достоверные персональных данных, а также о возможных последствиях предоставления недостоверных данных.5.2.3. Реализацию своих прав субъекта как самостоятельно, так и через представителя. Оператор при этом сохраняет за собой право запрашивать у представителя информацию, необходимую для подтверждения законности обращения (например, доверенность, решение суда или органов опеки и пр.).

5.3. Субъект персональных данных Оператора имеет право на:5.3.1. Получение сведений об Операторе: о месте нахождения Оператора, о наличии у Оператора персональных данных, относящихся к нему как субъекту персональных данных, и ознакомление с такими персональными данными, а также на получение иных сведений в соответствии со статьями 12-14 GDPR.5.3.2. Требование от Оператора уточнения своих персональных данных, ограничение их обработки, блокирование или уничтожение в случае, когда его персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной Оператором цели обработки.5.3.3. Принятие предусмотренных законодательством мер по защите своих прав.5.3.4. Отзыв согласия на обработку персональных данных с последующим уничтожением (удалением) персональных данных.5.3.5. Подачу жалобы надзорным органам в случае нарушения требований применимого законодательства в области обработки и обеспечения безопасности персональных данных.5.3.6. Если субъект персональных данных является субъектом права Европейского Союза (статья 3 GDPR), Оператор гарантирует соблюдение следующих прав в рамках GDPR:5.3.6.1. Право на отзыв согласия на обработку персональных данных с последующим уничтожением персональных данных (статья 7 GDPR).5.3.6.2. Право на получение информации, касающейся обрабатываемых персональных данных (статьи 12-14 GDPR).5.3.6.3. Право на получение копии обрабатываемых персональных данных (статья 15 GDPR).5.3.6.4. Право на исправление предоставленных персональных данных, если они неполны или неправильны (статья 16 GDPR).5.3.6.5. Право на удаление персональных данных (статья 17 GDPR).5.3.6.6. Право на ограничение обработки персональных данных (статья 18 GDPR).5.3.6.7. Право на получение предоставляемых нам персональных данных в структурированном формате и передачу этих данных в другие организации (статья 20 GDPR).5.3.6.8. Право на возражение против обработки персональных данных (статья 21 GDPR).5.3.6.9. Право на получение информации о нарушениях безопасности персональных данных (статья 34 GDPR).5.3.6.10. Право на подачу жалобы в надзорный орган, если права субъекта персональных данных были нарушены (статья 77 GDPR).5.3.6.11. Право на возмещение убытков и компенсацию морального вреда (статья 82 GDPR).

5.4. Обеспечение безопасности персональных данных5.4.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных, а также GDPR.5.4.2. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:5.4.2.1. Назначение должностных лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных.5.4.2.2. Ограничение состава лиц, допущенных к обработке персональных данных.5.4.2.3. Ознакомление работников с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных.5.4.2.4. Организация учета, хранения и обращения носителей, содержащих информацию с персональными данными.5.4.2.5. Определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз.5.4.2.6. Разработка на основе модели угроз системы защиты персональных данных.5.4.2.7. Разработка локальных нормативных актов в области защиты персональных данных.5.4.2.8. Осуществление внутреннего контроля соответствия обработки персональных данных применимому законодательству в области обработки и обеспечения безопасности персональных данных.5.4.2.9. Ведение реестра процессов обработки персональных данных (RoPA) и поддержка его в актуальном состоянии.5.4.2.10. Контроль и отслеживание сроков обработки обращений и запросов на реализацию прав субъектов персональных данных.5.4.2.11. Проведение DPIA (Data Protection Impact Assessment) для процессов, представляющих высокие риски для прав и свобод субъектов персональных данных в силу их особенностей (характера, объема и типа данных), и принятие необходимых мер в отношении таких процессов.5.4.2.12. Использование принципов Privacy by Design и Privacy by Default при разработке систем или при внесении изменений, влияющих на процессы обработки персональных данных.5.4.2.13. Принятие мер для обеспечения безопасности обработки персональных данных третьими лицами, получающими доступ к персональным данным (заключение специальных договоров и поручений на обработку).5.4.2.14. Отслеживание инцидентов безопасности (при наличии) и их последствий, расследование их, и, при необходимости, уведомление надзорного органа, а также субъектов персональных данных (если необходимо) в течение 72 часов.5.4.2.15. Проведение регулярных аудитов процессов обработки персональных данных.5.4.2.16. Осуществление иных мер, предусмотренных локальными нормативными актами Оператора.

5.5. Права и обязанности Оператора по обработке персональных данных5.5.1. Оператор вправе:5.5.1.1. Поручать обработку персональных данных другим лицам с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора.5.5.1.2. Определять цели, основания и перечень обрабатываемых персональных данных.5.5.1.3. Осуществлять контроль за законностью обработки персональных данных для исключения рисков, связанных с привлечением к административной ответственности за нарушения порядка обработки персональных данных.5.5.2. Оператор обязан:5.5.2.1. При сборе персональных данных предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных.5.5.2.2. Обеспечивать точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.5.5.2.3. Обеспечивать сбор согласий на обработку персональных данных, разрешенных субъектом персональных данных для распространения – в случае предоставления доступа к персональным данным субъекта неограниченному кругу лиц.5.5.2.4. Принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.5.5.2.5. Не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.5.5.2.6. Немедленно прекращать по требованию субъекта персональных данных обработку его персональных данных, если нет законных оснований для продолжения обработки персональных данных без согласия субъекта.5.5.2.7. Разъяснять субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставлять возможность заявить возражение против такого решения, а также разъяснять порядок защиты субъектом персональных данных своих прав и законных интересов.5.5.2.8. Обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.5.5.2.9. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.5.5.2.10. Предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.5.5.2.11. Прекращать обработку персональных данных или обеспечить ее прекращение в случае достижения цели обработки персональных данных.5.5.2.12. Выполнять иные обязанности, предусмотренные федеральными законами и иные нормативно-правовыми актами, регулирующими обработку и защиту персональных данных.5.5.3. Работники Оператора, обрабатывающие персональные данные субъектов, обязаны:5.5.3.1. Обрабатывать персональные данные субъектов только в рамках выполнения своих должностных обязанностей.5.5.3.2. Не разглашать персональные данные субъектов, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности.5.5.3.3. Пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных субъектов.5.5.3.4. Выявлять факты разглашения, уничтожения, искажения персональных данных субъектов и информировать об этом Департамент информационной безопасности Оператора.5.5.3.5. Назначение Data Protection Officer (DPO).

6.1. Оператор назначил компанию VeraSafe в качестве Data Protection Officer (DPO), которая является ответственной за обработку персональных данных пациентов на территории стран Европейского союза.

Контактные данные DPO:

Klimentská 46 Prague 1, 11002 Czech Republic

+420 228 881 031, +1 617 398 7067

Условия обработки персональных данных

В этом материале:

По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных (далее – Согласие) (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Согласие человека должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 Закона № 152-ФЗ).

Конкретность и предметность Согласия обеспечивается тем, что цели обработки персональных данных должны быть четкими, ясно выраженными, обоснованными и понятными. Цель обработки не следует формулировать слишком обобщенно, абстрактно. Разрешая оператору обрабатывать персональные данные субъект одобряет его действия лишь в том виде и в том объеме, в котором они изначально запланированы. Согласие не может быть всеобщим. Поэтому, если в процессе обработки персональных данных меняются цели обработки, способы и т. п., оператор должен получить новое Согласие.

Информированность Согласия предполагает, что субъект персональных данных перед дачей Согласия должен получить минимальный набор информации о том, кто собирает персональные данные, в каких целях, о видах обработки, о праве отзыва Согласия и т. п.

Требование однозначности Согласия тесно связано с требованием об информированности и состоит в том, что волеизъявление гражданина должно быть выражено недвусмысленно, совершено посредством четкого утвердительного действия, будь то письменное или устное подтверждение, но ни в коем случае не молчание и не бездействие.

Подчеркнем, что в основу принятия субъектом персональных данных решения о предоставлении их к обработке положен гражданско-правовой принцип автономии воли (ч. 1 ст. 9 Гражданского кодекса). Принцип автономии воли подразумевает свободное и самостоятельное принятие решения, основанного исключительно на внутреннем убеждении субъекта, определяющего характер и содержание собственных действий. Согласие субъекта персональных данных на их обработку подразумевает не только свободное принятие решения на их передачу, но и свободное выражение своей воли. Волеизъявление – важный элемент согласия на обработку персональных данных, с которым, как правило, связываются юридические последствия. Согласие будет свободным, если у правообладателя имелся выбор, давать его или нет, и на каких условиях. Согласие не может считаться свободным, когда предоставление гражданину каких-либо услуг обусловлено обязательной дачей Согласия на обработку его персональных данных.

Форма согласия

Если Согласие составляется в форме электронного документа, то оно должно быть подписано электронной подписью (ч. 4 ст. 9 Закона № 152-ФЗ). Электронная подпись является аналогом собственноручной подписи. Ее использование допускается в случаях и в порядке, предусмотренных законом и иными правовыми актами или соглашением сторон (п. 2 ст. 160 ГК РФ). Отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, а также во всех случаях, установленных федеральными законами, регулирует Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи" (далее – Закон № 63-ФЗ).

Закон № 152-ФЗ допускает возможность оформления Cогласия в форме электронного документа, подписанного электронной подписью. Соответственно оператор вправе воспользоваться таким дозволением, используя при этом простую электронную подпись (далее – ПЭП), поскольку в Законе № 152-ФЗ нет оговорок, что электронная подпись должна быть именно квалифицированная. Однако для признания такого документа равнозначным документу, составленному на бумажном носителе, полагаем, необходимо заключить с гражданином соглашение, соответствующее требованиям ст. 9 Закона № 63-ФЗ.

Согласно п. 1 ст. 9 Закона № 63-ФЗ электронный документ считается подписанным ПЭП при выполнении в том числе одного из следующих условий: ПЭП содержится в самом электронном документе; ключ ПЭП применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.

Кроме того, для легализации подобного документооборота оператор должен издать соответствующий локальный акт, с которым ознакомить всех участников электронного взаимодействия (ст. 18.1 Закона № 152-ФЗ).

Полагаем, что при соблюдении требований Закона № 63-ФЗ, Закона № 152-ФЗ в части обеспечения безопасности персональных данных при их обработке препятствий для использования ПЭП при оформлении договорных отношений с гражданами, включая согласие на обработку персональных данных, не имеется. Алгоритм такого взаимодействия в данном случае оператор разрабатывает самостоятельно.

Однако оператору в любом случае необходимо обеспечить возможность подтвердить факт получения такого согласия, поскольку на него возлагается обязанность доказывать факт обработки персональных данных с согласия субъекта (ч. 3 ст. 9 Закона № 152-ФЗ).

Важно! При недееспособности гражданина письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона № 152-ФЗ). А в случае смерти такое согласие оформляют наследники умершего, если только оно не было получено от него самого при жизни (ч. 7 ст. 9 Закона № 152-ФЗ).

Согласие на обработку персональных данных несовершеннолетнего и лица, ограниченного в дееспособности

Законодатель не указывает с какого возраста субъект персональных данных вправе выражать согласие на обработку сведений о себе самостоятельно, оговаривая лишь обязательность представительства в отношении недееспособных лиц, не упоминая при этом несовершеннолетних и лиц, ограниченных в дееспособности. Однако недееспособными считаются граждане, которые признаны таковыми судом в том случае, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ). Несовершеннолетние граждане таковыми не являются. В силу своего возраста они наделяются законом частичной дееспособностью, объем которой постепенно расширяется.

Полагаем, что представительство лиц, под опекой которых находятся малолетние дети, то есть до 14 лет (п. 1 ст. 28 ГК РФ), в части, касающейся обработки персональных данных таких детей, необходимо. Однако несовершеннолетние в возрасте от 14 до 18 лет, на наш взгляд, могут делать соответствующее волеизъявление самостоятельно. По крайней мере, Закон № 152-ФЗ соответствующего запрета не содержит (письмо Роскомнадзора от 11 марта 2022 г. № 08-15154).

Отметим, что в Регламенте (ЕС) Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г., в отличие от отечественного законодательства, данный вопрос урегулирован: в пар. 1 ст. 8 предписано, что при предоставлении услуг информационного общества непосредственно ребенку, обработка персональных данных ребенка является законной только в случае, если ребенку исполнилось как минимум 16 лет. Если ребенок еще не достиг возраста 16 лет, такая обработка является законной, только если и поскольку согласие было дано лицом, обладающим родительской ответственностью в отношении ребенка, или было дано с его одобрения. Государствам-членам ЕС предоставлена возможность на законодательном уровне предусмотреть меньший возраст для указанных целей при условии, что такой возраст не ниже 13 лет. При этом, если профилактические мероприятия и консультационные услуги предлагаются непосредственно ребенку, то согласие лиц, обладающих родительской ответственностью, не является необходимым (пар. 38 Преамбулы).

Аналогичный подход должен иметь место и в отношении лица, ограниченного в дееспособности (ст. 30 ГК РФ). Правовой эффект ограничения дееспособности гражданина состоит в том, что он лишается возможности без помощи попечителя участвовать в имущественном обороте, за исключением совершения мелких бытовых сделок (п. 1 ст. 30 ГК РФ). Однако это не препятствует ему участвовать в иных правоотношениях, в том числе и тех, которые регулируются законодательством в области защиты персональных данных.

Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

Для обработки персональных данных, разрешенных для распространения, оформляется отдельное согласие (требования к нему предусмотрены в приказе Роскомнадзора от 24 февраля 2021 г. № 18). Субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) неограниченным кругом лиц (исключение: обработка персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ). Оператор же обязан в срок не позднее 3 рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

Согласие может быть предоставлено оператору:

Обращаем внимание, что субъект вправе обратиться с требованием прекратить распространение своих персональных данных, ранее разрешенных для распространения, в любое время к любому лицу, обрабатывающему его персональные данные, или в суд. Требование должно включать в себя в том числе перечень персональных данных, обработка которых подлежит прекращению. Лицо же обязано прекратить передачу (распространение, предоставление, доступ) данных в течение 3 рабочих дней с момента получения требования или в срок, указанный во вступившем в судебном решении (если срок не указан, то в течение 3 рабочих дней с момента вступления в силу решения суда).

Особенности обработки персональных данных о судимости

В соответствии с ч. 3 ст. 10 Закона № 152-ФЗ обработка персональных данных о судимости может осуществляться госорганами или муниципальными органами в пределах их полномочий, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

В частности, такое право есть у полиции. Сотрудники полиции могут обрабатывать данные о гражданах, необходимые для выполнения возложенных на них обязанностей, с последующим внесением полученной информации в банки данных (ч. 1 ст. 17 Федерального закона от 7 февраля 2011 г. № 3-ФЗ "О полиции", далее – Закон № 3-ФЗ). Так, внесению в банки данных подлежит информация о лицах, подвергающихся или подвергавшихся уголовному преследованию. Полиция должна обеспечить защиту данной информации от неправомерного и случайного доступа, уничтожения, копирования, распространения и иных неправомерных действий. Статья 17 Закона № 3-ФЗ допускает раскрытие содержащейся в банках данных информации государственным органам и их должностным лицам только в случаях, предусмотренных федеральным законом; правоохранительным органам иностранных государств и международным полицейским организациям – в соответствии с международными договорами РФ, а также гражданину, права и свободы которого непосредственно затрагиваются содержащейся в банках данных информацией.

Необходимость обработки персональных данных граждан, связанных с фактами осуждения, обусловлена также положениями ст. 65 и 331 Трудового кодекса. Отсутствие судимости, в том числе снятой или погашенной, является обязательным требованием, которое предъявляется к лицу, назначаемому на должность прокурора, к кандидатам на должность судьи, к лицам, принимаемым на службу или на работу в органы федеральной службы безопасности и т. д. В таких случаях работодатель вправе осуществлять обработку персональных данных о судимости.

С позицией Верховного Суда Российской Федерации по вопросу о признании недействующим подп. 76.2 п. 76 Административного регламента МВД России по предоставлению государственной услуги по выдаче справок о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования можно ознакомиться в Решении ВС РФ от 18 июля 2022 г. № АКПИ22-365.