Защита персональных данных граждан
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные — любая информация, относящаяся к прямо или косвенно к физическому лицу (субъекту персональных данных).
Статья 22 Закона № 152-ФЗ обязывает оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора (это можно сделать через сайт).
Уведомление можно не подавать в следующих случаях обработки данных:
работников для исполнения требований трудового законодательства (без передачи данных);
при заключении договора с каждым клиентом и работником без передачи данных третьим лицам;
обработка персональных данных только на бумажных носителях;
при заключении договора с субъектом персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
Согласно пп. 1 п. 1 ст. 6 Закона № 152-ФЗ для сбора персональных данных, нужно получить согласие их владельца – субъекта персональных данных. Согласие должно быть конкретным, информированным и сознательным (, при этом закон не устанавливает конкретную форму согласия (за некоторым исключением, например, письменное согласие нужно для обработки персональных данных о национальной принадлежности и состоянии здоровья лица. Субъект вправе в любое время отозвать свое согласие.
Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети.
За нарушения при обработке персональных данных предусмотрена административная ответственность по ст. 13.11 КоАП РФ.
Так, граждане, должностные и юридические лица могут быть привлечены к административной ответственности в виде предупреждений или штрафов до 75 тыс. рублей за совершение следующих правонарушений:
— обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями их сбора;
— обработка персональных данных без согласия в письменной форме субъекта персональных данных либо с нарушением установленных законодательством Российской Федерации требований к составу сведений, включаемых в согласие;
— невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;
— невыполнение оператором предусмотренной законодательством Российской Федерации обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных;
— невыполнение оператором в сроки, установленные законодательством Российской Федерации, требования об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— невыполнение оператором условий, обеспечивающих сохранность персональных данных, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение и др.;
— невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных.