Субъект персональных данных

Еще на этапе планирования коммерческой или некоммерческой деятельности необходимо задуматься о том, как ваша компания будет исполнять законодательные требования в сфере ПДн. Проблеме информационной защиты в России уделяется особое внимание: разрабатываются и принимаются новые положения, дорабатываются действующие законы, создаются новые механизмы контроля и, что самое важное, ужесточаются штрафные санкции за подтвержденные нарушения. Начинать проработку вопроса следует с определения, что такое субъект ПДн, какие у него есть права, и какие обязательства на оператора накладывает ФЗ-152 (основной документ, регулирующий взаимоотношения участником операций с персональными данными). Из нашего обзора вы получите нужную информацию и не станете совершать ошибки, которые поставят под угрозу деловую репутацию и вызовут незапланированные финансовые затраты.

Кто является субъектом персональных данных

В процессе торговли, производства, оказания услуг предприниматели, компании и государственные органы взаимодействуют с гражданами, получая от них определенную информацию. Если с помощью предоставляемых сведений можно идентифицировать личность, то речь идет об обработке ПДн. Человек, которого ПДн помогают определить, является субъектом персональных данных — в качестве ПДн могут выступать ФИО, адрес, социальный статус, дата рождения, профессия, уровень образования, материальное положение, заработная плата и т.д. Независимо от возраста и других характеристик, на всех граждан Российской Федерации распространяется действие ФЗ-152, где четко прописаны права, обязанности оператора, а также сроки проведения процессуальных действий, меры обеспечения безопасности и несение ответственности за неправомерные действия с конфиденциальными сведениями.

За исключением некоторых ситуаций, указанных в законе, для хранения, изменения, применения, накопления, обезличивания и прочих операций компания, ИП и муниципальным органам требуется от владельца ПДн письменное согласие на обработку.

Какие права имеет субъект обработки персональных данных

Государство, в первую очередь, заинтересовано в обеспечении безопасности личных сведений граждан, чьи сведения проходят обработку, поэтому наделяет их целым рядом прав в рамках взаимодействия с операторами. Полный список указан в Главе 3 ФЗ-152, который следует внимательно изучить всем, кто намерен подписывать письменное или электронное соглашение на копирование, сбор, уничтожение, дополнение и прочие операции со своими персональными данными. Из наиболее важных моментов следует отметить возможность получения точной и исчерпывающей информации о работе с ПДн, где есть ответы на следующие вопросы:

• на какие конкретно действия соглашаются субъекты;
• какова нормативно-правовая база сформированных взаимоотношений;
• с какой целью осуществляется сбор ПДн;
• каким образом будет осуществляться обработка;
• кто является оператором, какой у него юридический адрес;
• какие лица имеют доступ к конфиденциальным данным;
• какие виды ПДн проходят обработку;
• как долго будет осуществляться хранение идентифицирующей информации;
• планируется ли передача ПДн за границу;
• кто проводит операции с данными по поручению основного оператора (если привлекаются аутсорсинговые компании).

Если ПДн используются в рамках коммерческой деятельности либо политической агитации, то обязательным является наличие согласия на распространение персональных данных. Также на оператора накладывается обязательство сразу прекратить использование сведений, если субъект подает соответствующий запрос. При наличии обоснованных подозрений, что используемые сведения неполные, ошибочные либо получены незаконным способом субъект вправе потребовать их немедленной блокировки и уничтожения в предусмотренные действующим законодательством сроки.

ФЗ-152 устанавливает запрет на принятие решений, которые приводят к правовым последствиям в отношении субъекта ПДн, если обработка производится исключительно электронным способом. Для проведения операций необходимо сначала получить письменное согласие.

На рассмотрение возражений от физических лиц закон отводит до 7 рабочих дней. Если гражданина не устраивает результат, то можно пожаловаться на действия либо бездействие организации в Роскомнадзор или же сразу идти в суд с исковым заявлением. В последние 5-7 лет все чаще субъектам ПДн удается выигрывать дела, а многие споры получается разрешить на досудебном этапе.

Примечательно, что около 50% проведенных Роскомнадзором внеплановых проверок операторов инициированы субъектами, обнаружившими и способными подтвердить факт нарушения закона в отношении их персональных данных.

Особенности подачи запросов операторам ПДн

Использовать свое право на получение достоверных и актуальных сведений о том, какие ПДн и в каком количестве используются оператором, может любой субъект путем подачи заявления. Обращаться следует письменно (форма заявления произвольная) либо в цифровой форме с применением электронной подписи — документы имеют равную юридическую силу, но есть ряд условий к их составлению. В подаваемом запросе обязательно нужно указать:

• ФИО и прочие данные субъекта;
• уникальный номер документа, идентифицирующего личность (либо его представителя), а также дату получения и орган выдачи;
• доказательства наличия взаимоотношений между субъектом и оператором — лучше всего прописать номер и дату договора;
• подпись заявителя (непосредственно субъекта или уполномоченного лица).

К сожалению, ИП и организации не всегда быстро реагируют на обращения физлиц, поэтому нередко возникает потребность в подаче повторного запроса. Сделать это можно не раньше, чем спустя 30 календарных дней, если нет законных оснований подать заявление раньше. Еще раз попросить о предоставлении сведений об обрабатываемых ПДн можно также в том случае, если при первичном обращении вам дали неполную или неточную информацию. Причем если запрос окажется необоснованным, например, не будет доказательств факта выполнения операций с личными сведениями, то оператор имеет законное право ответить вам отказом.

Получение от субъекта согласия на обработку ПДн

Если не хотите попасть в область пристального внимания контролирующих органов и платить десятки тысяч рублей штрафа за несанкционированное использование личной информации, нужно получать официальное согласие на совершение тех или иных операций. Субъект ПДн подтверждает его, подписывая соглашение после детального изучения всех пунктов и подпунктов. Документ должен описывать все запланированные действия конкретно, четко и понятно, чтобы у человека не возникало сложностей с интерпретацией запланированных действий. В противном случае, владелец может отозвать согласие, лишая вас права обрабатывать его личные сведения до повторного подписания документа установленного образца.

В отдельных случаях необязательно ставить подпись лично — можно признать согласие электронным способом, используя ЭЦП.

Чтобы соглашение приобрело юридическую силу, необходимо убедиться в том, что текст документа включает:

• ФИО и адрес субъекта персональных данных;
• сведения об органе, выдавшем паспорт или другой подтверждающий личность документ;
• имя, отчество и фамилию, а также место регистрации официального представителя (если он есть);
• информацию об операторе, начиная от юридического адреса, заканчивая правильным наименованием;
• четкий перечень будущих действий и цели обработки;
• ограничения по срокам;
• упоминание о возможности отозвать согласие;
• подписи и даты всех участников либо их представителей.

Когда дело касается погибших субъектов ПДн, предусмотренные ФЗ права относительно личных сведений, переходят наследникам в предусмотренные законодательством сроки.

Ответы на распространенные вопросы о защите прав субъектов ПДн

Определение субъекта персональных данных достаточно четкое и понятное, но как у операторов, так и у рядовых граждан часто возникают вопросы, связанные с реализацией обязанностей и обеспечения прав участников взаимоотношений. Дадим ответы на самые популярные из них:

1. Кого подразумевают под Уполномоченным органом, отвечающим за защиту прав граждан в сфере ПДн? Речь идет о федеральном органе исполнительной власти, на которого возлагается функция контролировать различные аспекты в области связи и информационных технологий. С 2009 года после вступления в силу постановления Правительства № 228 такой госструктурой является Роскомнадзор. Именно этот орган проводит проверки, обрабатывает заявления операторов, рассматривает заявления от субъектов на несанкционированное использование их ПДн и т.д. В том числе у него есть право штрафовать за обнаруженные нарушения.

2. Считается ли ИП или компания оператором ПДн, если она не прошла процедуру внесения в Реестр Роскомнадзора? В соответствии с ФЗ-152 под эту категорию подпадают все, кто осуществляет обработку персональных данных, независимо от того, включены ли они в Реестр или нет.

3. Всегда ли нужно сообщать контролирующему органу о выполнении операций с ПДн? Да, оператору необходимо сначала проинформировать Роскомнадзор о начале обработки, а потом начинать сбор, копирование, хранение, изменение и другие действия с персональными данными. Исключение составляют случаи, когда речь идет о:

• работе религиозной либо общественной организации, которая действует в соответствии с актуальными требованиями в сфере защиты ПДн;
• заключении официального соглашения с субъектом для исполнения взаимных обязательств;
• обработке данных, связанных с трудоустройством;
• использовании только ФИО;
• обеспечении безопасности и целостности государства;
• изготовлении одноразового пропуска на территорию предприятия;
• наличии письменного соглашения владельца ПДн на их распространение;
• обработке без применения автоматизированных средств учета и хранения;
• вхождении информации в ИСПДн со статусом государственных информационных систем, действующих для поддержания общественного порядка;
• поддержании транспортной безопасности на разных уровнях.

4. Как интерпретируют понятие конфиденциальности? В Статье 7 ФЗ-152 его определяют как обязанность операторов и прочих лиц, имеющих доступ к личным сведениям физлиц, не распространять их и не передавать без соответствующего разрешения субъекта третьим лицам.

5. Какой документ является подтверждением факта уничтожения ПДн (после достижения поставленных целей, по запросу владельца и т.д.)? Согласно установленному российским законодательством порядку, сначала оператор должен разработать локальные акты, регулирующие саму процедуру, затем зафиксировать результат в особом журнале либо составить соответствующий акт.

6. Идентифицируют ли сайт как ИСПДн? Да, по характеристикам, прописанным в Статье 10 ФЗ-152, любой портал (корпоративный, информационный и т.д.) является ИС, соответственно, на него распространяются и остальные положения закона, в частности, необходимость информировать пользователей о целях, методах и прочих аспектах обработки ПДн.

7. Действуют ли законодательные требования на фирмы, зарегистрированные в других государствах? Да. При организации деятельности представительства зарубежной организации нужно быть готовыми к тому, что на его деятельность в пределах РФ будут распространяться те же правила, что и на местных операторов.