Политика обработки персональных данных

Обработка персональных данных

Получение персональных данных

Документы, содержащие персональные данные, создаются путем

Обработка персональных данных

Цели обработки персональных данных

Обрабатываются персональные данные следующих субъектов персональных данных

Персональные данные, обрабатываемые Оператором

Обработка персональных данных ведется

Хранение персональных данных

Уничтожение персональных данных

Передача персональных данных

Защита персональных данных

Основными мерами защиты персональных данных, используемыми Оператором, являются:

Права субъекта персональных данных

Они подробно прописаны в гл. 3 Закона № 152-ФЗ.

Право на доступ к персональным данным

Право субъекта на доступ к его персональным данным включает ряд правомочий (ч. 1 ст. 14 Закона № 152-ФЗ), которым корреспондируются соответствующие обязанности оператора.

  1. Право получать информацию об обработке его персональных данных конкретным оператором в объеме, определенном ч. 7 ст. 14 Закона № 152-ФЗ.
  2. Гражданин в любое время может запросить интересующую его информацию, и оператор обязан в течение 10 рабочих дней предоставить информацию или мотивированный отказ.
  3. Субъект или его представитель могут обратиться к оператору лично либо посредством направления письменного запроса или запроса в электронной форме.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

  • обработка осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
  • обработка производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления;
  • обработка производится органами, предъявившими субъекту персональных данных обвинение по уголовному делу.

Имеются исключения, допускающие ознакомление подозреваемого или обвиняемого с такими персональными данными (ч. 8 ст. 14 Закона № 152-ФЗ).

Права субъектов персональных данных в соответствии с законодательством РФ

Право на получение информации об обработке персональных данных

Согласно законодательству РФ, субъекты персональных данных имеют право получить информацию об обрабатываемых оператором персональных данных. Эта информация может включать в себя цели обработки, способы сбора и использования данных, а также другие важные детали. Оператор обязан предоставить такую информацию по запросу субъекта.

Право на уточнение персональных данных

Вторым важным правом субъектов является право на уточнение персональных данных, если они являются неполными, устаревшими или неточными. Оператор обязан внести необходимые изменения в срок, не превышающий 7 рабочих дней с момента получения запроса субъекта. Также оператор должен уведомить носителя данных об изменениях или принять меры по уведомлению третьих лиц, которым были переданы эти данные.

Право на блокирование персональных данных

Субъекты персональных данных имеют право на блокирование своих данных, что означает временное прекращение их обработки. Если персональные данные являются неточными, оператор обязан заблокировать их для проверки. Это право может быть реализовано по запросу субъекта или Роскомнадзора.

Право на уничтожение персональных данных

Согласно законодательству, субъекты персональных данных имеют право требовать уничтожения своих данных, если они были получены незаконно или являются избыточными. Оператор должен уничтожить данные в срок не более 3 рабочих дней после получения запроса. Если уничтожение данных невозможно, оператор должен заблокировать их и обеспечить уничтожение в течение 6 месяцев.

Эти права субъектов персональных данных важны для защиты их информационных интересов и обеспечения соблюдения законов о персональных данных в России.

Кроме того, так же как и в случае с уточнением персональных данных, оператор обязан уведомить носителя персональных данных, Роскомнадзор (в зависимости от того, кто обращался с соответствующим запросом) о совершенных действиях или принять разумные меры для уведомления третьих лиц, которым эти данные были переданы (ч. 3 ст. 20 Закона № 152-ФЗ).

Напомним, субъект вправе в любой момент обратиться к оператору с требованием о прекращении обработки персональных данных, при этом оператор обязан в срок, не превышающий 10 рабочих дней с даты его получения, прекратить обработку данных или обеспечить прекращение такой обработки, за исключением случаев, предусмотренных п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ. Срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления.

## Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

В случаях, когда анализ персональных данных и принятие решения в отношении конкретного человека осуществляются исключительно в автоматизированном режиме, для субъекта персональных данных возникают определенные риски. Например, кредитная организация может отказать потенциальному заемщику в выдаче кредита после оценки информационной системой его платежеспособности, кредитной истории и т. п. информации. Работодатель на основе автоматизированной обработки персональных данных соискателя может счесть его непригодным для выполнения той или иной работы. К тому же возможны погрешности внесения персональных данных в информационную систему самим субъектом, поскольку он делает это самостоятельно без чьей-либо помощи, что также может повлечь для него негативные последствия. 

В связи с этим законодатель и устанавливает дополнительные гарантии для защиты прав и законных интересов субъектов персональных данных.

### Условия допустимости принятия решений

Так, условия допустимости принятия подобных решений приведены в ч. 2 ст. 16 Закона № 152-ФЗ. Такая обработка персональных допускается исключительно при наличии согласия физического лица в письменной форме либо в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных (например, ст. 85.1 Воздушного кодекса РФ, ст. 11 Федерального закона от 9 февраля 2007 г. № 16-ФЗ О транспортной безопасности).
  • Гражданин вправе обжаловать действия оператора, связанные с нарушением законодательства в сфере защиты персональных данных как в административном порядке, обратившись в Роскомнадзор, так и в судебном (ч. 1 ст. 17 Закона № 152-ФЗ).
  • При этом законодательство не устанавливает обязательного соблюдения досудебной процедуры, поэтому субъект самостоятельно решает, в какой орган ему обратиться за защитой своих прав.

Обжалование в Роскомнадзор

  • Роскомнадзор при рассмотрении обращений граждан руководствуется Федеральным законом от 2 мая 2006 г. № 59-ФЗ О порядке рассмотрения обращений граждан Российской Федерации (далее – Закон № 59-ФЗ).
  • Жалоба может быть подана в электронном виде через Единый портал госуслуг или через сайт Роскомнадзора либо на бумажном носителе заявителем лично или посредством почтовой связи.
  • Обращение гражданина составляется в произвольной форме, но при этом в обязательном порядке должно содержать (ст. 7 Закона № 59-ФЗ):
    • Фамилию, имя, отчество гражданина, его адрес или адрес электронной почты для получения ответа;
    • Содержание обращения, которое должно быть изложено кратко и ясно;
    • Подпись гражданина.
  • Гражданин вправе приложить к своему обращению необходимые документы и материалы в электронной форме либо направить указанные документы и материалы или их копии в письменном виде.
  • Действующее законодательство не содержит оснований для отказа в приеме документов, приостановления или отказа в рассмотрении обращений граждан. Однако в некоторых случаях Роскомнадзор вправе не отвечать на обращения.
  • Срок рассмотрения обращения граждан в Роскомнадзор по общему правилу составляет 30 дней с даты их регистрации (ч. 1 ст. 12 Закона № 59-ФЗ), который может быть продлен не более чем на 30 дней, о чем гражданин уведомляется.

Обжалование в суд

  • В случае неудовлетворения результатами обращения в Роскомнадзор гражданин вправе обратиться в судебный орган и обжаловать действия оператора.

Судебный способ защиты прав субъекта персональных данных реализуется по правилам гражданского судопроизводства в соответствии с Гражданско-процессуальным кодексом РФ. Рассмотрение спора осуществляется в исковом порядке (подраздел II ГПК РФ). Иски подаются в районный суд (ст. 24 ГПК РФ) по месту жительства или адресу ответчика (оператора персональных данных). Однако для данной категории споров предусмотрена альтернативная подсудность, в силу которой иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться также в суд по месту жительства истца (ч. 6.1 ст. 29 ГПК РФ). Право выбора при этом принадлежит истцу.

В судебном порядке гражданин вправе требовать, помимо восстановления нарушенных прав, возмещения убытков и (или) компенсацию морального вреда (ч. 2 ст. 17 Закона № 152-ФЗ).

В соответствии со ст. 15 Гражданского кодекса лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы (упущенная выгода).

При этом по общему правилу вред, причиненный личности или имуществу гражданина, подлежит возмещению в полном объеме лицом, причинившим вред (п. 1 ст. 1064 ГК РФ). В отдельных случаях законом обязанность возмещения вреда может быть возложена на лицо, не являющееся непосредственным причинителем вреда (например, ответственность за действия своих работников при исполнении ими трудовых (служебных, должностных) обязанностей несет работодатель: юридическое лицо или гражданин (п. 1 ст. 1068 ГК РФ). Обязательство из причинения вреда (деликтное обязательство) возникает при наличии в совокупности четырех элементов: наличия убытков; факта противоправного поведения (действия или бездействия) причинителя вреда; причинной связи между поведением причинителя и возникновением убытков; вины причинителя вреда. Обязанность доказывания первых трех элементов (объективных) возлагается на потерпевшего, в частности субъекта персональных данных. Вина же причинителя вреда (субъективный элемент) предполагается (презюмируется), а потому лицо, причинившее вред, должно доказать ее отсутствие (п. 2 ст. 1064 ГК РФ).

Отметим, что на практике доказать факт причинения имущественного вреда в результате противоправных действий оператора при обработке персональных данных физического лица достаточно сложно, поэтому суды, как правило, подобные иски отклоняют в связи с отсутствием доказательств. Однако взыскать компенсацию морального вреда вполне возможно. Согласно положениям ст. 151 ГК РФ, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.

Условия привлечения к гражданско-правовой ответственности в данном случае те же самые, при этом компенсация морального вреда не зависит от наличия или отсутствия причиненного гражданину имущественного ущерба (п. 3 ст. 1099 ГК РФ). Достаточно доказать факт противоправного нарушения прав и законных интересов субъекта персональных данных и наступление вследствие этого негативных последствий для него. Моральный вред может иметь место, в частности, в случаях нежелательного для субъекта раскрытия конфиденциальной информации (например, о состоянии здоровья, семейной жизни и т. п.) неопределенному кругу лиц; во временном ограничении или лишении субъекта каких-либо прав (например, недостоверные сведения о наличии у гражданина задолженности по кредиту, алиментным обязательствам могут являться препятствием для выезда за границу; ошибочные сведения о судимости – отказом в приеме на работу) и т. п. Однако в любом случае субъект должен представить суду доказательства, какими именно действиями (бездействием) оператора ему причинены нравственные или физические страдания и в чем они выражались, поскольку голословные утверждения субъекта о причинении ему страданий не могут быть положены в основу судебного решения.

Размер компенсации морального вреда определяется судом в зависимости от характера причиненных физических и нравственных страданий, а также степени вины причинителя вреда в случаях, когда вина является основанием возмещения вреда. При определении размера компенсации вреда должны учитываться требования разумности и справедливости. Характер физических и нравственных страданий оценивается судом с учетом фактических обстоятельств, при которых был причинен моральный вред, и индивидуальных особенностей лица (Определения Новосибирского областного суда от 7 ноября 2017 г. по делу № 33-10773/2017, Верховного Суда Республики Бурятия от 17 января 2018 г. по делу № 33-151/2018).

В ч. 1 ст. 15 Закона № 152-ФЗ указано, что обработка персональных данных в маркетинговых целях, а также в целях политической агитации, осуществляемая путем прямых контактов с потенциальными потребителями, электоратом с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных. В данном случае речь идет о ситуациях, когда конкретным физическим лицам рассылаются почтовые, электронные или sms-сообщения, содержащие информацию агитационного характера или о товарах, предстоящих акциях, выгодных предложениях и т. д. Эта адресная рассылка предполагает, что организация-отправитель владеет различными персональными данными о получателе (Ф.И.О., номером телефона, адресом проживания, электронной почты, датой рождения и др.) и совершает с ними определенные действия: осуществляет сбор, накопление, систематизацию, хранение и т. п.

Положения приведенной нормы являются специальными по отношению ко всем другим основаниям обработки персональных данных, перечисленным в ч. 1 ст. 6, ч. 2 ст. 10 Закона № 152-ФЗ. Соответственно, каких-либо исключений, освобождающих оператора от получения согласия физического лица на получение информации рекламного или агитационного характера, не имеется. При этом в ч. 2 ст. 15 Закона № 152-ФЗ закреплена безусловная обязанность оператора немедленно прекратить по требованию субъекта персональных данных обработку данных в обозначенных целях.

При обработке персональных данных в маркетинговых целях надлежит также учитывать положения Федерального закона от 13 марта 2006 г. № 38-ФЗ "О рекламе" (далее – Закон № 38-ФЗ), так как отсутствие согласия физического лица на получение сообщений рекламного характера может одновременно свидетельствовать и о нарушении законодательства о рекламе.

Согласно подп. 1 п. 1 ст. 3 Закона № 38-ФЗ под рекламой понимается информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке.

Последняя актуализация: 23 июня 2023 г.

Право субъекта ПД на доступ к информации

Одно из ключевых прав субъекта ПД – право на доступ к информации об обработке его персональных данных. Многие другие права будут получать развитие из данного базового права.

В соответствии с частью 1 статьи 14 ФЗ № 152-ФЗ субъект ПД имеет право получать следующую информацию, касающуюся обработки его данных:

Данный перечень не является исчерпывающим.

Указанные права могут быть реализованы (1) при личном обращении субъекта ПД или его представителя, либо посредством направления оператору (2) запроса ПД. Запрос в адрес оператора ПД может быть направлен в форме бумажного документа или электронного документа, подписанного ЭЦП, и должен содержать:

Сведения предоставляются оператором в доступной форме и не должны содержать персональных данных иных лиц. Ответ на запрос предоставляется в той же форме, что и запрос, если иное не было указано при его подаче.

Срок предоставления данных сведений – 10 рабочих дней с даты обращения субъекта/его представителя или получения запроса (часть 1 статьи 20 ФЗ № 152-ФЗ). Указанный срок может быть продлен на 5 рабочих дней с обязательным направлением мотивированного уведомления о причинах такого продления.

Повторно направить запрос можно не ранее чем через 30 дней после первоначального обращения. Исключение – если это прямо предусмотрено федеральным законом или договором, или если сведения ранее не были предоставлены оператором в полном объеме. Повторный запрос должен содержать обоснование его направления.

Право на доступ к персональным данным может быть ограничено федеральными законами. Так, согласно части 8 статьи 14 ФЗ № 152-ФЗ в предоставлении запрашиваемой информации может быть отказано, если обработка персональных данных осуществляется:

При отказе в предоставлении информации оператор ПД в течение 10 рабочих дней обязан дать мотивированный ответ в письменной форме с указанием нормы федерального закона, являющейся основанием для такого отказа.

Невыполнение оператором ПД обязанности по предоставлению субъекту ПД информации, касающейся обработки его персональных данных, влечет привлечение к административной ответственности по части 4 статьи 13.11 КоАП РФ. Штраф на граждан в размере от 2 000 до 4 000 рублей; на должностных лиц – от 8 000 до 12 000 рублей; на индивидуальных предпринимателей – от 20 000 до 30 000 рублей; на юридических лиц – от 40 000 до 80 000 рублей.

Как показывает практика, контролирующие органы в большинстве случаев не усматривает в действиях указанных лиц признаков правонарушения, однако риск привлечения к ответственности при незаконном отказе существует.

Право субъекта ПД не получать рекламу и политическую агитацию без предварительного согласия

Многие компании используют персональные для направления рекламных сообщений. Согласно статьи 15 ФЗ № 152-ФЗ любая обработка персональных данных, осуществляемая для продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем или с целью политической агитации допускаются только с предварительного согласия субъекта персональных данных.

Закон о персональных данных не предъявляет каких-либо специальных требований к такому согласию. Главное, чтобы оно было конкретным, предметным, информированным, сознательным и однозначным (часть 1 статьи 9 ФЗ № 152-ФЗ). Оно может быть получено при оформлении скидочных карт, анкет, в личном кабинете интернет-магазина путем проставления галочки в соответствующей графе. Обязанность подтвердить получение такого согласия возлагается на Оператора ПД. Также Закон обязывает оператора ПД немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.

За нарушение рассматриваемого права есть риск привлечения к административной ответственности по части 1 статьи 13.11 КОАП РФ «Обработка персональных данных в непредусмотренных законом случаях». Штраф на граждан в размере от 2000 до 6 000 рублей; на должностных лиц – от 10 000 до 20 000 рублей; на юридических лиц – от 60 000 до 100 000 рублей.

Нередко суды и антимонопольные органы расценивают действия по рассылке конкретным лицам информации, направленной на продвижение товаров, работ, услуг, как нарушение не только Закона о персональных данных, но и Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе» (далее по тексту – «Закон о рекламе»). Поясним подробнее.

Понравилась статья? Поделиться с друзьями:
СДО от Почты России
Добавить комментарий