Что относится к личной информации субъекта и как её защищает закон о персональных данных?

Закон защищает право гражданина на соблюдение тайны личной жизни и гарантирует неразглашение информации без его согласия. Эти требования закреплены в №152-ФЗ «О персональных данных», а за их нарушение предусмотрена не только административная, но и уголовная ответственность. Итак, кто может собирать информацию о гражданах и какие обязанности на него возлагаются?

Скрыть содержание

• Что значит личная информация и её конфиденциальность?
• Что нельзя разглашать в интернете?
• Положения статьи №152 ФЗ (Федерального закона) РФ
Принципы и условия обработки этой информации     Виды     Права субъекта     Обязанности оператора     Как стать оператором?     Государственный контроль и надзор     Куда следует обращаться за защитой?     Ответственность за нарушение    

Что значит личная информация и её конфиденциальность?

Под персональными данными понимается информация, которую прямо или косвенно можно соотнести с конкретным гражданином, например:

• Ф.И.О.;
• сведения о месте и дате рождения;
• информация о прописке и месте проживания;
• паспортные данные и СНИЛС;
• семейное положение;
• образование, профессия;
• уровень доходов;
• номер телефона.

Понятие конфиденциальности рассматривается в ст. 7 ФЗ «О персональных данных». Соглашение предусматривает обязанность неразглашения самим оператором, а также его сотрудниками собранных сведений третьим лицам, за исключением случаев, предусмотренных в ст. 6 данного закона.

Что нельзя разглашать в интернете?

Категорически запрещено распространять сведения, которые позволяют идентифицировать гражданина по фамилии, паспортным данным, семейному положению, уровню доходов, номеру телефона или другой информации, носящей личный характер в интернете, это считается прямым нарушением требований закона о защите личной информации.

О защите персональных данных в интернете мы подробнее рассказывали здесь.

Положения статьи №152 ФЗ (Федерального закона) РФ

Сбор данных о физических лицах практикуется многими организациями, однако не все из них готовы должным образом хранить базы данных и защищать их от утечки. Принятие №152-ФЗ «О персональных данных» позволило урегулировать отношения между субъектами и операторами, а также установить ограничение в возможности использования собранных о гражданине данных.

Цель принятия акта оговорена в ст. 2 №152-ФЗ «О персональных данных». Целью Федерального закона является обеспечение сохранности сведений о частной жизни граждан, а также он призван гарантировать защиту прав и свобод, предусмотренных Конституцией и иными законами РФ.

Принципы и условия обработки этой информации

Одним из способов защиты личной информации являются принципы и условия её обработки, которые оговариваются в ст. 5 и 6 настоящего закона. Согласно этим положениям любые манипуляции с данными должны осуществляться законно, а обработка ограничиваться достижением целей, указанных в согласии на обработку. Оператор обязан самостоятельно принимать меры для актуализации сведений, обеспечивать надежное и безопасное хранение персональных данных.

С точки зрения законодательства собирать и хранить сведения без разрешения субъектов недопустимо. Гарантом того, что права граждан не нарушаются, является согласие на обработку персональных данных (ст. 9 ФЗ №152). Такой документ подписывается субъектом лично, добровольно и в своих интересах.

Само согласие должно быть сознательным, информированным, а также конкретным и содержать следующие сведения:

• Ф.И.О. и данные удостоверяющего документа;
• данные об операторе, собирающем информацию;
• цель сбора данных;
• перечень данных, которые подлежат обработке;
• действия, на совершение которых предоставляется согласие;
• срок, в течение которого документ действителен;
• личные подписи сторон.

Законодательство требует, чтобы субъект давал свое письменное согласие на обработку и хранение персональных данных не только о себе, но и о несовершеннолетних детях. В этом случае в текст документа обязательно добавляется строка, подтверждающая право оператора на обработку и хранение таких данных, а также указываются основания, по которым представитель ребенка предоставляет информацию о нем.

О том, что нужно знать об обработке и хранении персональных данных в России, читайте здесь.

Виды

Все персональные данные подразделяются на следующие виды:

• Общие (Ф.И.О., сведения, содержащиеся в паспорте, ИНН, СНИЛС, информация о семейном положении или образовании, контактные данные). Чаще всего такую информацию о клиентах собирают магазины, операторы сотовой связи или банки.
• Биометрические (рост, вес, группа крови, отпечатки пальцев, в некоторых случаях фотографии) необходимы для установления личности человека, а также проведения медицинских манипуляций.
• Специальные (раса, религия, здоровье) необходимы при трудоустройстве в полицию и другие государственные структуры.
• Находящиеся в свободном доступе или обезличенные, например, налоговые декларации сотрудников муниципальных органов управления.

О персональных данных и их видах мы рассказывали тут.

Права субъекта

Все права субъекта персональных данных перечислены в гл. 3 № 152-ФЗ. Самое важное из них – закон предоставляет возможность отозвать ранее данное согласие на обработку информации о себе. В случае если станет известно, что оператор хранит недостоверные данные либо они были получены незаконным путем, гражданин или организация вправе потребовать внесения изменений либо их уничтожения.

Если в ходе проверки подтверждается факт незаконного использования данных или их обработки, оператор обязан их заблокировать и уничтожить.

В случае когда недостоверная информация размещается на сайте, а владелец отказывается ее удалить, субъект вправе обратиться с иском в суд. После вынесения положительного решения и вступления акта в силу, владельцу ресурса направляется соответствующее уведомление. Если в течение суток информация не будет удалена, доступ к ресурсу будет ограничен, а данные оператора внесены в «список нарушителей».

Обязанности оператора

Обязанности оператора оговорены в гл. 4 ФЗ «О персональных данных». Согласно ст. 22 настоящего закона перед началом деятельности необходимо оповестить об этом территориальное подразделение Роскомнадзора, направив соответствующее уведомление. Только после регистрации в качестве оператора организация или предприниматель могут начать работу и начать сбор данных.

В соответствии со ст. 7 № 152-ФЗ оператор обязан обеспечить конфиденциальность собранных данных, т.е. гарантировать, что без согласия субъекта они не будут переданы сторонним лицам. Во исполнение данных требований организация обязана:

• уведомлять лиц, предоставляющие о себе информацию, об использовании сведений только в тех целях, в которых они были предоставлены;
• использовать сведения только в пределах одной организации, уведомив об ответственности работников, занимающихся ее обработкой и хранением;
• ограничить круг лиц, имеющих доступ к сведениям;
• не запрашивать дополнительной информации (например, состояние здоровья) в отношении работников, если только это не связано с выполнением трудовых обязанностей (о том, что относится к персональным данным работника, каков порядок защиты и хранения информации в организации, читайте здесь).

Законодательство требует, чтобы операторы обеспечивали безопасное хранение полученной информации (ст. 18 и 22 закона «О персональных данных»), регламентируя порядок работы и закрепляя ответственность за сотрудниками, отвечающими за прием и обработку сведений. Также закон возлагает на организации обязанность организовать хранение данных с помощью баз, расположенных на территории РФ.

Как стать оператором?

Чтобы зарегистрироваться в качестве оператора достаточно просто заполнить на сайте Роскомнадзора уведомление, указав наименование территориального органа, тип работы с данными и сведения об организации или предпринимателе. Документ необходимо распечатать и направить заказным письмом в то отделение, которое ответственно за регистрацию операторов в данном регионе.

В случае удовлетворения заявления данные о новом операторе вносятся в соответствующий реестр. Для подтверждения полномочий организации достаточно получить выписку в электронном виде.

Государственный контроль и надзор

Постановлением Правительства № 228 от 16.03.2009 г. функции контроля и надзора за распространением информации, связью и массовыми коммуникациями были возложены на Роскомнадзор. Данный орган уполномочен проводить проверки организаций и предпринимателей, имеющих статус операторов, выявлять нарушения и выносить следующие решения:

• о проверке поступивших жалоб и направлении материалов при наличии оснований в иные органы для принятия мер в отношении нарушителя;
• о блокировке или уничтожении неподтвержденных сведений или порочащей информации;
• об ограничении доступа к сведениям в соответствии с законодательством РФ;
• об устранении нарушений в обработке и хранении информации, собранной о физических или юридических лицах;
• об обращении в суд для привлечения ответчика к ответственности;
• об аннулировании или приостановлении лицензии оператора;
• о привлечении к административной ответственности при наличии состава.

Куда следует обращаться за защитой?

Как правило, пострадавшие от утечки данных обращаются в полицию с требованием возбудить уголовное дело, но получают отказ. После проверки заявителю приходит письмо с предложением подать жалобу в Роскомнадзор, который непосредственно занимается такими нарушениями. Сделать это можно несколькими способами:

• посредством сети интернет, зайдя на официальный сайт в раздел «Обращения граждан»;
• лично обратившись в один из офисов организации;
• отправив заказное письмо с жалобой.

Если гражданину был причинен моральный вред, он имеет право обратиться в суд с соответствующим иском и потребовать не только устранить утечку информации, но и взыскать моральный ущерб с виновного лица.

В каких ситуациях следует обращаться за защитой персональных данных, как составить и куда направить жалобу, читайте тут.

Ответственность за нарушение

Ответственность за разглашение чужих личных данных предусмотрена ст. 24 № 152-ФЗ. Согласно закону к виновному лицу могут быть применены следующие меры административного воздействия:

• за обработку данных без согласия гражданина либо обработку тех данных, которые не подлежат включению в состав сведений предусмотрено наказание по ч. 2 ст. 13.11 КоАП РФ (штраф в размере до 5000 рублей для физических лиц и до 75000 рублей для юридических лиц);
• несвоевременное предоставление данных, в т.ч. искажение сведений – по ст. 5.39 КоАП РФ, максимальный штраф для ответственных лиц – до 10000 рублей;
• обработка сведений о гражданах в случаях, когда это не предусматривается законом (штраф до 50000 рублей);
• прочие нарушения, связанные с хранением, передачей и обработкой данных – по ч. 4-7 ст. 13.11 и ст. 19.7 КоАП РФ.

Запрещены законом сбор и распространение любой информации, относящейся к личной или семейной жизни лица. В этом случае виновному грозит уже уголовная ответственность по ст. 137 УК РФ, ст. 140 УК РФ или ст. 272 УК РФ. Также могут быть применены меры гражданско-правовой и дисциплинарной ответственности.

Недопустимо собирать, распространять или передавать иным лицам конфиденциальную информацию о гражданах без их письменного согласия. Несоблюдение требований закона может обернуться для организации не только крупным штрафом, но и лишением права заниматься этим видом деятельности.