Operazioni dei titolari dei dati personali
In base al punto 2 dellarticolo 3 della legge n. 152-FZ, il titolare dei dati personali è unorganizzazione statale (municipale), una persona giuridica o fisica che, da sola o insieme ad altre persone, organizza e svolge operazioni sui dati personali, nonché determina scopi di elaborazione, composizione di tali dati e azioni (operazioni) eseguite su di essi.
Prima di iniziare lelaborazione dei dati personali, il titolare dei dati informa Roskomnadzor della sua intenzione di elaborare i dati personali. La notifica viene inviata sotto forma di documento su supporto cartaceo o sotto forma di documento elettronico firmato da un rappresentante autorizzato. I moduli correlati sono presenti nellordine di Roskomnadzor del 28 ottobre 2022, n. 180.
Roskomnadzor entro 30 giorni dalla data di ricezione della notifica inserisce le informazioni nel registro dei titolari. Le informazioni contenute nel registro dei titolari, ad eccezione delle informazioni sui mezzi di protezione dei dati personali durante il loro trattamento, sono pubbliche (www.pd.rkn.gov.ru/operators-registry/operators-list/).
In caso di modifiche alle informazioni fornite in precedenza, il titolare, entro il 15 del mese successivo a quello in cui si sono verificate, è tenuto a informare Roskomnadzor su tutte le modifiche avvenute nel periodo specificato. Lo stesso termine è previsto anche in caso di cessazione dellelaborazione dei dati personali.
- Notifica dellintenzione di elaborare i dati personali
- Notifica sulle modifiche alle informazioni contenute nella notifica sullintenzione di elaborare i dati personali
- Notifica sulla cessazione dellelaborazione dei dati personali
Ci sono anche altri 1267+ moduli utili.
Lelenco dei casi di elaborazione dei dati personali senza notifica a Roskomnadzor è chiuso (par. 2 dellarticolo 22 della legge n. 152-FZ). Quindi il titolare può elaborare:
I compiti dei titolari dei dati personali sono definiti nel capitolo 4 della legge n. 152-FZ. Il titolare, nellelaborare i dati personali, deve adottare le misure legali, organizzative e tecniche necessarie o garantirne ladozione per proteggere i dati personali dallaccesso non autorizzato o accidentale, dalla distruzione, modificazione, blocco, copia, divulgazione, diffusione dei dati personali e da altre azioni illecite nei confronti dei dati personali.
Lelaborazione dei dati personali può avvenire con o senza luso di mezzi automatici. Per ulteriori informazioni sulle misure organizzative e legali adottate dal titolare per garantire la sicurezza dei dati personali trattati senza luso di mezzi automatici, consultare lEnciclopedia delle soluzioni del sistema GARANT. Ottieni laccesso completo gratuito per 3 giorni!
Distruzione dei dati personali
La distruzione dei dati personali sono le azioni che rendono impossibile ripristinare il contenuto dei dati personali nel sistema informativo dei dati personali e che comportano la distruzione dei supporti materiali ad essi associati (punto 8 dellarticolo 3 della legge n. 152-FZ).
Процедура уничтожения информации, содержащей персональные данные
Процедура уничтожения информации, содержащей персональные данные, законодательно не регламентирована, поэтому оператор определяет ее самостоятельно. С 1 марта 2023 года установлены требования к подтверждению уничтожения персональных данных (приказ Роскомнадзора от 28 октября 2022 г. № 179).
Если обработка данных осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются:
- акт об уничтожении
- выгрузка из журнала регистрации событий в информационной системе персональных данных
Если обработка данных осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных. Указанные документы должны храниться в течение 3 лет с момента уничтожения данных.
Оценка вреда в случае нарушения закона № 152-ФЗ
Одной из мер, направленных на обеспечение выполнения оператором своих обязанностей, является оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона № 152-ФЗ.
Требования к оценке вреда утверждены приказом Роскомнадзора от 27 октября 2022 года № 178 и начали действовать с 1 марта 2023 года.
Оператор должен определить степень вреда, который может быть причинен субъекту персональных данных и оформить результаты оценки актом.
Виды персональных данных
- Биометрические персональные данные: физиологические и биологические особенности человека, на основании которых можно установить его личность.
- Специальные категории персональных данных: данные о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях и др.
- Персональные данные несовершеннолетних: сбор информации для заключения договоров или оказания услуг несовершеннолетним.
- Обезличивание персональных данных: процесс обработки данных для проведения исследований и аналитики.
- Передача персональных данных за пределы РФ: в том числе поручение иностранным лицам обработки данных граждан РФ.
Соблюдение всех требований к обработке и уничтожению персональных данных поможет оператору соблюдать законодательство и защищать информацию субъектов.
| № | Обязанность |
|---|---|
| 1 | Сбор персональных данных только с согласия субъекта данных |
| 2 | Соблюдение условий и порядка обработки персональных данных |
| 3 | Обеспечение обработки ПД в целях, для которых они были получены |
| 4 | Недопущение объединения баз данных, если это приведет к нарушению прав |
| 5 | Уведомление Роскомнадзора о начале обработки ПД и изменениях в ПД |
| 6 | Обеспечение доступности информации о политике в отношении ПД |
| 7 | Принятие мер по обеспечению безопасности ПД |
| 8 | Определение лиц, имеющих доступ к ПД и обеспечение их конфиденциальности |
| 9 | Применение мер по защите прав субъектов ПД |
Ответственность за несоблюдение обязанностей
Несоблюдение оператором обязанностей, установленных Законом о персональных данных, может повлечь за собой административную, гражданско-правовую или уголовную ответственность. Например, нарушение норм по обработке персональных данных может привести к штрафу.
Обязанности оператора при обработке персональных данных
Обязанностям оператора посвящена отдельная глава 4 Закона о персональных данных, однако некоторые из них содержатся также и в других главах закона. Кроме того, они получают свое развитие в нормативных актах органов-регуляторов (Роскомнадзора, ФСТЭК РФ и ФСБ РФ).
Для удобства рассмотрения условно разделим обязательства на несколько групп.
Ниже рассмотрим каждую из групп подробнее.
Обязанности ОПД при взаимодействии с Роскомнадзором
Начнем рассмотрение темы с данной группы, поскольку любая работа с персональными данными начинается с уведомления Роскомнадзора. Далее оператор в течение всей деятельности по обработке персональных данных обязан информировать контролирующий орган о наступлении определенных событий. Рассмотрим их подробнее.
Обязанность подавать уведомление об обработке персональных данных
Оператор до начала обработки ПД обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 ФЗ № 152-ФЗ). Исключение, если обработка осуществляется:
- В случае изменения сведений указанных в уведомлении, оператор обязан уведомить Роскомнадзор не позднее 15-го числа следующего месяца, а при прекращении обработки данных – в течение 10 рабочих дней с даты прекращения. Формы также предусмотрены Приказом № 180.
Обязанность подать уведомление о трансграничной передаче персональных данных
С 1 марта 2023 года на операторов возложили обязанность подавать в Роскомнадзор уведомление о своем намерении осуществлять трансграничную передачу персональных данных (часть 3 статьи 12 ФЗ № 152-ФЗ). Трансграничной признается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Обязанность сообщать информацию по запросу Роскомнадзора
Оператор обязан по запросу Роскомнадзора необходимую информацию в течение 10 рабочих дней с даты его получения (часть 4 статьи 20 ФЗ № 152-ФЗ). Указанный срок может быть продлен по мотивированному уведомлению оператора, но не более чем на 5 рабочих дней.
Обязанность уведомлять об утечках персональных данных
С 1 сентября 2022 года на оператора также возложена обязанность уведомлять Роскомнадзор о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (часть 3.1 статьи 21 ФЗ № 152-ФЗ).
Согласно введенным нормам ОПД должен уведомить контролирующий орган:
ОПД, относящиеся к субъектам критической информационной инфраструктуры (предприятия оборонной промышленности, связи, транспорта, энергетики, здравоохранения, науки, банковского сектора, горнодобывающей, металлургической и химической промышленности) обязаны сообщать о компьютерных инцидентах через информационную систему ГосСОПКА (часть 12 статьи 19 ФЗ № 152-ФЗ). Остальные передают информацию путем направления уведомления через сайт Роскомнадзора.
За нарушение обязанностей при взаимодействии с Роскомнадзором операторов ПД привлекают к административной ответственности по статье 19.7 КоАП РФ «Непредставление сведений (информации)». Штраф на должностных лиц – от 300 до 500 рублей; на юридических лиц – от 3 000 до 5 000 рублей.
Обязанности по соблюдению принципов и условий обработки персональных данных
При работе с персональными данными оператор обязан соблюдать принципы и условия их обработки, предусмотренные Законом о персональных данных. Данное требование вытекает из положений статьи 6 ФЗ № 152-ФЗ. Рассмотрим основные из них:
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
Так, по общему правилу на обработку персональных данных оператор ПД должен получить согласие субъекта ПД (часть 1 статьи 6 ФЗ № 152-ФЗ). Обработка без согласия допускается только в случаях, прямо предусмотренных нормами Закона о персональных данных. Например, не нужно получать согласие на обработку, если данные нужны для исполнения договора, где владелец данных является его стороной или выгодоприобретателем, или если сведения нужны для исполнения требований пенсионного, налогового, трудового законодательства. Обязанность предоставить доказательства получения согласия или наличия оснований обработки без согласия возлагается на Оператора.
2. При сборе персональных данных оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку субъекту персональных данных (часть 4 статьи 16 ФЗ № 152-ФЗ).
3. По общему правилу получать персональные данные необходимо у их владельца. Если персональные данные получены из сторонних источников, Оператор обязан предоставить субъекту персональных данных информацию о целях их обработки, предполагаемых пользователях и источнике получения данных (части 2,3 статьи 18 ФЗ № 152-ФЗ).
3. Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных (статья 7 ФЗ № 152-ФЗ). Иное может быть предусмотрено только федеральным законом. Например, если персональные данные предоставляются по запросу органов дознания, следствия и суда в соответствии с процессуальным законодательством, законодательством об оперативно-розыскных мероприятиях.
4. Оператор обязан обеспечить хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (часть 5 статьи 18 ФЗ № 152-ФЗ).
5. При обработке персональных данных должны быть обеспечены их точность достаточность и актуальность. Оператор должен принимать необходимые меры по удалению или уточнению неполных или неточных данных (часть 6 статьи 18 ФЗ № 152-ФЗ). Данные факты могут быть обнаружены оператором самостоятельно или в результате обращения субъекта персональных данных или запроса Роскомнадзора.
Обязанности оператора ПД в связи с выявлением фактов неправомерной обработки персональных данных или обработки неточных персональных данных подробно раскрываются в статье 21 ФЗ № 152-ФЗ.
В частности, оператор ПД обязан:
КоАП РФ содержит несколько составов административных правонарушений за невыполнение обязанностей при обработке персональных данных:
Обязанности операторов по защите персональных данных
Ключевой обязанностью оператора является защита персональных данных от неправомерных действий с ними (неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и т.п.). Для этого оператор обязан принимать необходимые правовые, организационные и технические меры (статья 19 ФЗ № 152-ФЗ).
К правовым мерам относят принятие соответствующих локальных нормативных актов, к организационным – назначение ответственных лиц, обучение работников, задействованных в обработке данных, к техническим – меры, направленные предотвращение угроз информационной безопасности. Полный перечень мер Закон о персональных данных не приводит, поэтому их оператор разрабатывает самостоятельно с учетом требований подзаконных нормативных актов и особенностей деятельности оператора. Рассмотрим меры, которые обязан принимать оператор,
Правовые меры по защите персональных данных
Оператор обязан разработать Политику в отношении обработки персональных данных (далее по тексту – «Политика») и другие локальные акты по вопросам обработки персональных данных. В них определяются категории и перечень обрабатываемых данных, категории субъектов, чьи данные обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения.
Оператор должен обеспечить доступ к Политике неограниченному кругу лиц, в том числе опубликовать ее на своем сайте в сети Интернет (часть 2 статьи 18.1 ФЗ № 152-ФЗ). Нарушение такой обязанности влечет привлечение к административной ответственности по части 3 статьи 13.11. КоАП РФ, штраф на должностных лиц – от 6 000 до 12 000 рублей; на индивидуальных предпринимателей – от 10 000 до 20 000 рублей; на юридических лиц – от 30 000 до 60 000 рублей.
Помимо Политики, как правило, составляются такие локальные акты и документы как Положение об обработке и защите персональных данных, приказы о допуске к обработке ПД, соглашения о неразглашении согласия на обработку, Положение о порядке организации работы с обращениями субъектов персональных данных и т.п. Также разрабатываются акты, направленные на предотвращение и выявление нарушений правил обработки в информационных системах, такие как:
Оператор ПД должен ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных и локальными нормативными актами, проводить обучение указанных работников (пункт 6 части 1 статьи 18.1 ФЗ № 152-ФЗ).
Организационные меры при обработке персональных данных
Помимо правовых мер должны быть разработаны и организационные меры защиты. К таковым относят назначение лиц, ответственных за организацию обработки персональных данных (пункт 1 части 1 статьи 18.1 ФЗ № 152-ФЗ).
Для операторов, обрабатывающих персональные данные без использования средств автоматизации, этого достаточно. Для организации работ в ИСПДн назначают еще лицо, ответственное за обеспечение безопасности персональных данных.
Технические меры при обработке персональных данных
Перечень технических мер для операторов, обрабатывающих данные в ИСПДн, регламентирован приказами органов-регуляторов:
Перечисленные акты носят технический характер и адресованы преимущественно специалистам в области информационной безопасности. В состав таких мер включены:
Конкретный перечень и содержание мер определяется оператором исходя из определенных уровней защищенности.
Также оператор должен разработать и применять физические меры защиты персональных данных, например, оборудовать помещение, где хранятся персональные данные, запирающимися замками. По запросу Роскомнадзора оператор обязан представить документы или иным образом подтвердить принятие мер защиты (часть 4 статьи 18.1 ФЗ №152-ФЗ).
Оператор обязан осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству и локальным актам оператора. Порядок аудита утверждают отдельным локальным актом или включают в Положение о защите персональных данных.
За невыполнение обязанности по сохранности персональных данных при обработке персональных данных без использования средств автоматизации, если это повлекло неправомерные действия в отношении персональных данных, оператора могут привлечь к ответственности по части 6 статьи 13.11 КоАП РФ. Штраф для должностных лиц от 8 000 до 20 000 рублей; на индивидуальных предпринимателей – от 20 000 до 40 000 рублей; на юридических лиц – от 50 000 до 100 000 рублей.
За нарушение правил защиты персональных данных в ИСПДн привлекают к ответственности по части 6 статьи 13.12. КоАП РФ. Штраф на должностных лиц – от 1 000 до 2 000 рублей; на юридических лиц – от 10 000 до 15 000 рублей.
Кроме того, стоит помнить, что в нарушении норм Закона о персональных данных, регламентирующих требования к защите персональных данных, могут усмотреть наличие следующих составов преступлений: нарушение неприкосновенности частной жизни (статья 137 УК РФ) или неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (статья 272 УК РФ).
Обязанности при взаимодействии с субъектом персональных данных
Статьей 20 Закона о персональных данных регламентированы обязанности Оператора при обращении к нему субъекта персональных данных или его представителя (далее по тексту – «субъект ПД»). В соответствии с указанной нормой Оператор обязан:
1. Предоставить информацию о персональных данных или возможность ознакомления с ними.
В силу части 7 статьи 14 ФЗ № 152-ФЗ субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, как-то: факта обработки, оснований, целей и способов обработки, источников получения данных, сведений о лицах, которым поручена обработка и т.п. По общему правилу, запрашиваемые сведения должны быть предоставлены в течение 10-ти рабочих дней с момента получения запроса.
Оператор обязан предоставлять по просьбе субъекта ПД информацию об обрабатываемых персональных данных (перечне, правовых основаниях, целях и способах обработки и т.п.) – в течение 10 рабочих дней с даты получения запроса. В такие же сроки предоставляется субъекту возможность ознакомления с этими данными. Срок может быть продлен до 5 рабочих дней при условии мотивированного уведомления субъекта с указанием причин продления срока.
Сведения, должны быть предоставлены в доступной форме, В них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Предоставление запрашиваемой информации осуществляется на безвозмездной основе.
В случае отказа от предоставления запрашиваемых данных оператор обязан письменной форме дать мотивированный ответ в такие же сроки с указанием оснований отказа. Отказ допускается только по основаниям, прямо предусмотренным ФЗ № 152-ФЗ:
Роскомнадзор получает большое количество обращений граждан об отказах должностных лиц в предоставлении запрашиваемой информации. Хотя, как показывает практика, контролирующий орган в большинстве случаев не усматривает в действиях указанных лиц признаков правонарушения, риск привлечения к ответственности при незаконном отказе существует.
Максимальное наказание для должностных лиц – штраф до 12 000 рублей, для индивидуальных предпринимателей – до 30 000 рублей, для юридических лиц – до 80 000 рублей.
2. Внести изменения в обрабатываемые персональные данные или уничтожить.
Оператор обязан внести изменения в персональные данные, если субъект ПД предоставил Оператору сведения, повреждающие, что они являются неполными, неточными или неактуальными – в течение 7 рабочих дней со дня предоставления сведений. О внесенных изменения субъекта персональных данных необходимо уведомить.
Максимальное наказание для должностных лиц – штраф до 20 000 рублей, для индивидуальных предпринимателей – до 40 000 рублей, для юридических лиц – до 90 000 рублей.
В такие же сроки оператор обязан уничтожить персональные данные субъекта, если субъект ПД представит подтвержденные сведения, что персональные данные незаконно получены или не являются необходимыми для заявленной цели обработки.
Так, в одном из дел хозяйственное общество, являющееся оператором персональных данных, не выполнило требования Роскомнадзора об удалении персональных данных работников на указанных интернет-страницах. Общество признано виновным в совершении административного правонарушения, предусмотренного частью 5 статьи 13.11 КоАП РФ, и подвергнуто административному наказанию в виде штрафа в размере 25 000 рублей.
Подводя итоги, подчеркнем необходимость надлежащего исполнения Операторами обязанностей, предусмотренных Законом о персональных данных, вне зависимости от того, является ли оператор ПД микропредприятием или крупным обществом. Игнорирование обязанностей повлечет за собой неблагоприятные последствия для бизнеса в виде штрафов, размер которых год от года растет.
Основные понятия, используемые в Политике:
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
