Юридические и образовательные услуги для операторов, осуществляющих обработку персональных данных
Курс повышения квалификации по программе «Обеспечение безопасности персональных данных при их обработке» с выдачей удостоверения государственного образца, 72 часа по требованиям Федерального закона №152-ФЗ от 27.07.2006 г. «О персональных данных».
Правовой аудит сайта в сети Интернет с подготовкой письменного заключения. Комплексная правовая оценка данных в правовой составляющей Web-сайта, устанавливающая уровень их соответствия определенным критериям, правовым нормам, корпоративным стандартам и сложившейся судебной практике.
Подготовка уведомления об обработке (намерении осуществлять обработку) персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Разработка документов для обработки персональных по требованиям Федерального закона №152-ФЗ от 27 июля 2006 г. «О персональных данных».
Внесение изменений в сведения в реестре операторов, осуществляющих обработку персональных данных.
- Политика конфиденциальности Интернет-сайта.
- Пользовательское соглашение с пользователем Интернет-сайта.
- Согласие на обработку персональных данных пользователя Интернет-сайта.
- Согласие на использование cookie-файлов.
- Правила использования cookie-файлов.
Документальное оформление факта уничтожения персональных данных в случаях невозможности обеспечения правомерности обработки персональных данных, отзыва субъектом персональных данных согласия на обработку его персональных данных и при достижении цели обработки персональных данных.
Документальное оформление инструктажей с работниками, допущенными к работе с персональными данными в информационных системах персональных данных
Документальное оформление рассмотрения обращений субъектов персональных данных и законных представителей.
Комплект документов по обработке персональных данных в некредитной финансовой организации по требованиям Банка России.
Разработка политики в отношении обработки персональных данных по требованиям Федерального закона №152-ФЗ от 27 июля 2006 г. «О персональных данных».
Проверка структуры и содержания сайта образовательной организации на предмет соответствия Требованиям к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети Интернет и формату представления информации и Правилам размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети Интернет и обновления информации об образовательной организации.
Проверка структуры и содержания сайта медицинской организации на предмет наличия Информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями и соответствия Требованиям к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах медицинских организаций в информационно-телекоммуникационной сети Интернет.
Проверка структуры и содержания сайта микрокредитной компании на предмет его соответствия требованиям Базового стандарта защиты прав и интересов физических и юридических лиц - получателей финансовых услуг, оказываемых членами саморегулируемых организаций в сфере финансового рынка, объединяющих микрофинансовые организации, утв. Банком России 22 июня 2017 года
Исключение из списка компаний с выявленными признаками нелегальной деятельности на финансовом рынке.
Консультация оператора обработки персональных данных о подключении к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
О персональных данных простыми словами
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Среди персональных данных можно выделить пять категорий персональных данных.
Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных):
- фамилия, имя, отчество;
- год, месяц, дата рождения;
- место рождения;
- адрес;
- телефон;
- семейное положение;
- социальное положение;
- имущественное положение;
- образование;
- профессия;
- занимаемая должность;
- стаж работы;
- доходы;
- иная информация.
К персональным данным несовершеннолетнего обучающегося можно отнести сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность, и информацию, содержащуюся в личном деле и классном журнале.
Специальные категории персональных данных, которые включают следующие персональные данные: расовая или национальная принадлежность; политические взгляды; религиозные или философские убеждения; состояние здоровья; состояние интимной жизни.
Обработка специальных категорий персональных данных допускается только в специально предусмотренных Федеральным законом №152-ФЗ от 27.07.2006 г. «О персональных данных» случаях:
- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных;
- обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
- обработка персональных данных осуществляется в соответствии с Федеральным законом о Всероссийской переписи населения;
- обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
- обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
- обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
Биометрические персональные данные - это сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Биометрические персональные данные будут являться таковыми при наличии условий:
- они признаны таковыми в силу положений нормативных правовых актов;
- они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
- они используются оператором для установления личности субъекта персональных данных.
К биометрическим персональным данным относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись), в частности фотографические изображения обучающихся, сотрудников и посетителей организации, поскольку они характеризуют физиологические и биологические особенности человека.
Отпечатки пальцев человека являются биометрическими персональными данными (дактилоскопической информацией), обработка которых осуществляется только в случаях установленных Федеральным законом о государственной дактилоскопической регистрации в Российской Федерации, которым четко определены виды и порядок проведения дактилоскопической регистрации.
Обработка биометрических данных в иных случаях, действующим законодательством не предусмотрена. В Российской Федерации проведение государственной дактилоскопической регистрации, а также использование дактилоскопической информации осуществляются в целях идентификации личности человека. Проведение государственной дактилоскопической регистрации возможно в случаях:
- розыска пропавших без вести граждан Российской Федерации, иностранных граждан и лиц без гражданства;
- установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
- установления личности граждан Российской Федерации, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов, удостоверяющих личность;
- подтверждения личности граждан Российской Федерации, иностранных граждан и лиц без гражданства;
- предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.
Таким образом, дактилоскопическая регистрации посетителей для осуществления однократного и (или) многократного пропуска на территорию не подпадает под действие Федерального закона №152-ФЗ от 27.07.2006 г. «О персональных данных» и в таком случае обработка биометрических персональных данных осуществляется без наличия оснований, предусмотренных законодательством Российской Федерации.
Биометрические персональные данные могут обрабатываться оператором только при согласии в письменной форме субъекта персональных данных. Не относятся к биометрическим персональным данным:
- данные, полученные при сканировании паспорта оператором персональных данных для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.), т.е. без проведения процедур идентификации (установления личности);
- данные, полученные при осуществлении ксерокопирования документа, удостоверяющего личность;
- фотографическое изображение, содержащееся в личном деле работника;
- подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы;
- рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента;
- материалы видеосъемки в публичных местах и на охраняемой территории.
Общедоступные персональные данные - это сведения, доступные неограниченному кругу лиц, информация из открытых справочников, к которой доступ имеет любой желающий, в частности из таких общедоступных источников персональных данных как справочники и адресные книги.
Субъектом персональных данных является физическое лицо, в том числе граждане Российской Федерации, которое принимает решение о предоставлении своих персональных данных операторам персональных свободно, своей волей и в своем интересе.
Ответственность за нарушения законодательства о персональных данных
Кодексом Российской Федерации об административных правонарушениях статьей 13.11 установлена административная ответственность для индивидуальных предпринимателей, юридических лиц и их должностных лиц за несоблюдение требований по обеспечению безопасности персональных данных при их обработке, установленных Федеральным законом №152-ФЗ от 27.07.2006 г. «О персональных данных»:
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния, влечет предупреждение или штраф на должностных лиц - от 5000 до 10000 рублей; на юридических лиц - от 30000 до 50000 рублей.
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет штраф на должностных лиц - от 10000 до 20000 рублей; на юридических лиц - 15000 до 75000 рублей.
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных, влечет предупреждение или штраф на должностных лиц - от 3000 до 6000 рублей; на индивидуальных предпринимателей - от 5000 до 10000 рублей; на юридических лиц - 15000 до 30000 рублей.
4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, влечет предупреждение или штраф на должностных лиц – 4000 до 6000 рублей; на индивидуальных предпринимателей - от 10000 до 15000 рублей; на юридических лиц - от 20000 до 40000 рублей.
5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или штраф на должностных лиц - от 4000 до 10000 рублей; на индивидуальных предпринимателей - от 10000 до 20000 рублей; на юридических лиц - от 25000 до 45000 рублей.
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния, влечет штраф на должностных лиц - от 4000 до 10000 рублей; на индивидуальных предпринимателей - от 10000 до 20000 рублей; на юридических лиц - от 25000 до 50000 рублей.
Следует подчеркнуть, что увеличение административных санкций произошло с 2017 года в связи с вступлением в силу Федерального закона от 07.02.2017 №13-ФЗ. Увеличение санкций привело к повышенному вниманию надзорных органов к вопросу соблюдения законодательства о персональных данных в первую очередь со стороны территориальных органов прокуратуры и территориальных управлений Роскомнадзора.