3.61°C
eye1
27 апреля 2024

Что нужно знать о персональных данных? Продолжение

Просмотров: 742

Основные положения законодательства о персональных данных.

13. Статьей 21 Федерального закона предусмотрены обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора.
В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5 данной статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

14. В соответствии с ч.ч. 15-17 ст. 155 Жилищного кодекса Российской Федерации от 29.12.2004 № 188-ФЗ наймодатель жилого помещения, управляющая организация, иное юридическое лицо или индивидуальный предприниматель, которым в соответствии с Жилищным кодексом Российской Федерации вносится плата за жилое помещение и коммунальные услуги, а также их представитель вправе осуществлять расчеты с нанимателями жилых помещений государственного и муниципального жилищных фондов и собственниками жилых помещений и взимать плату за жилое помещение и коммунальные услуги при участии платежных агентов, осуществляющих деятельность по приему платежей физических лиц, а также банковских платежных агентов, осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности.
При привлечении вышеуказанными лицами, представителей для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется.
В соответствии со статьей 2 Федерального закона от 03.06.2009 № 103-ФЗ «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами» платежный агент – это юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, осуществляющие деятельность по приему платежей физических лиц. Платежным агентом является оператор по приему платежей либо платежный субагент.
Оператор по приему платежей - платежный агент - юридическое лицо, заключившее с поставщиком договор об осуществлении деятельности по приему платежей физических лиц.
Платежный субагент - платежный агент - юридическое лицо или индивидуальный предприниматель, заключившие с оператором по приему платежей договор об осуществлении деятельности по приему платежей физических лиц.

15. При отсутствии согласия субъекта ПДн оператор вправе обрабатывать ПДн этого субъекта только при наличии оснований, предусмотренных пунктами 2-11 части 1 статьи 6 Федерального закона:

- согласно пункту 2 допускается обработка персональных данных, необходимая для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- пунктом 3 допускается обработка персональных данных, осуществляемая в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- пунктом 3.1 допускается обработка персональных данных, необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

- пунктом 4 допускается обработка персональных данных, необходимая для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

- пунктом 5 – обработка персональных данных, необходимая для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- пунктом 6 – обработка персональных данных, необходимая для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- пунктом 7 – обработка персональных данных, необходимая для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

-пунктом 8 допускается обработка персональных данных, необходимая для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

- пунктом 9 – обработка персональных данных, осуществляемая в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона, при условии обязательного обезличивания персональных данных;

- пунктом 9.1 – обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляемая в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом 24.04.2020 № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных», в порядке и на условиях, которые предусмотрены указанным Федеральным законом;

- пунктом 10 допускается осуществление обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
- пунктом 11 – обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

16. При отсутствии согласия в письменной форме субъекта ПДн (когда такое согласие предусмотрено Федеральным законом) оператор вправе обрабатывать ПДн этого субъекта только при наличии оснований, предусмотренных пунктами 2-10 части 2 статьи 10 и часть. 2 статьи 11 Федерального закона.

17. Учитывая, как было рассмотрено выше, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных), информация о задолженности, вывешиваемая в подъездах домов, не должна в своей совокупности определять конкретное физическое лицо (субъекта ПДн). Возможно указание только на номер квартиры и сумму задолженности.

18. Заполнение формы уведомления о ПДн, предусмотренного ст. 22 Федерального закона, регламентировано приказом Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения». Данные Методические рекомендации размещены на официальном сайте Управления во вкладке «Деятельность управления» – «Персональные данные» – «Информация для операторов, осуществляющих обработку персональных данных» – «Уведомление об обработке персональных данных. Формы уведомления, информационного письма, заявления. Методические рекомендации».

19. В соответствии с ч. 4 ст. 22.1 Федерального закона лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

20. Внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора является одной из возможных мер, принимаемых оператором в целях обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами (п. 4 ч. 1 ст. 18.1).
Порядок проведения такого контроля (аудита), его периодичность, перечень лиц, уполномоченных на его проведение, а также результаты такого контроля (аудита) Оператору необходимо оформить локальным правовым актом.

21. Согласно ст. 24 Федерального закона лица, виновные в нарушении требований данного Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность. Это может быть административная, гражданско-правовая и уголовная ответственность.
Административная ответственность на практике наиболее часто применяется за следующие административные правонарушения:
ч. 1 ст. 19.4 КоАП РФ
Неповиновение законному распоряжению или требованию должностного лица органа, осуществляющего государственный надзор (контроль), государственный финансовый контроль, должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа, осуществляющего муниципальный контроль, муниципальный финансовый контроль, -
влечет предупреждение или наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц − от двух тысяч до четырех тысяч рублей.
ч. 1 ст. 19.5 КоАП РФ
Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц − от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.7 КоАП РФ
Непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, организацию, уполномоченную в соответствии с федеральными законами на осуществление государственного надзора (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) муниципальный контроль, муниципальный финансовый контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, организацию, уполномоченную в соответствии с федеральными законами на осуществление государственного надзора (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) муниципальный контроль, муниципальный финансовый контроль, таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьей 6.16, частью 2 статьи 6.31, частями 1, 2 и 4 статьи 8.28.1, статьей 8.32.1, частью 5 статьи 14.5, частью 2 статьи 6.31, частью 4 статьи 14.28, частью 1 статьи 14.46.2, статьями 19.7.1, 19.7.2, 19.7.2-1, 19.7.3, 19.7.5, 19.7.5-1, 19.7.5-2, 19.7.7, 19.7.8, 19.7.9, 19.7.12, 19.7.13, 19.8, 19.8.3 КоАП РФ,

- влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц − от трех тысяч до пяти тысяч рублей.

ст. 13 11 КоАП РФ:
ч. 1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, -
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц − от тридцати тысяч до пятидесяти тысяч рублей;
ч. 2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных,

- влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц − от пятнадцати тысяч до семидесяти пяти тысяч рублей;
ч. 3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

- влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц − от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей − от пяти тысяч до десяти тысяч рублей; на юридических лиц − от пятнадцати тысяч до тридцати тысяч рублей;
ч. 4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных,

- влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц − от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей − от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей;

ч. 5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки,

- влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц − от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей − от десяти тысяч до двадцати тысяч рублей; на юридических лиц − от двадцати пяти тысяч до сорока пяти тысяч рублей;

ч. 6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния

- влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц − от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей − от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей;
ч. 7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных

- влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей;

ч. 8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации,

- влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц − от ста тысяч до двухсот тысяч рублей; на юридических лиц − от одного миллиона до шести миллионов рублей;

ч. 9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи,

- влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц − от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц − от шести миллионов до восемнадцати миллионов рублей.

Согласно примечанию к статье 13.1 данной статьи, статьями 13.31, 13.35 - 13.37, 13.39 и 13.40 КоАП РФ, лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.

Кроме того, органы Роскомнадзора в соответствии с п. 5 ч. 3 ст. 23 Федерального закона имеют право обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с гражданским законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков в результате рассмотрения судом исковых требований субъекта персональных данных.

Вопросы уголовной ответственности находятся в компетенции правоохранительных органов.

22. Вопросы назначения административного наказания, в том числе административного штрафа, за вышеперечисленные административные правонарушения находятся в компетенции судебных органов.

Материал предоставлен Управлением Роскомнадзора по Сибирскому округу

 

Поделиться в социальных сетях:

Свидетельство о регистрации СМИ Эл № ФС77-60021 от 21.11.2014 г.
Использование материалов, опубликованных на сайте, допускается с обязательной ссылкой. Редакция не несет ответственности за достоверность информации, содержащейся в рекламных материалах. Мнение редакции не всегда совпадает с мнением авторов первого интернет-портала для пенсионеров НСО.
activniy gorod
activniy gorod
caritas
fpg
nasledie nso
new123
pfr partneri
rostel
rostel2
s3v
scisc
su emblema2
su emblema2
su emblema2
ncvsm
sv-consult-nsk

Поиск по сайту