Персональные данные

 

 

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 

 

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

 

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

• категория 4 - обезличенные и (или) общедоступные персональные данные;  
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;  
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;  
• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 статьи 10.

 

Действие настоящего Федерального закона не распространяется на отношения, возникающие при: 

 

1) обработке персональных  данных физическими лицами исключительно  для личных и семейных нужд, если при этом не нарушаются  права субъектов персональных  данных; 

 

2) организации хранения, комплектования, учета и использования  содержащих персональные данные  документов Архивного фонда Российской  Федерации и других архивных  документов в соответствии с  законодательством об архивном  деле в Российской Федерации;  

 

4) обработке персональных  данных, отнесенных в установленном  порядке к сведениям, составляющим  государственную тайну; 

 

5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

 

Согласие на обработку

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей  волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и  сознательным. Согласие на обработку  персональных данных может быть дано субъектом персональных данных или  его представителем в любой позволяющей  подтвердить факт его получения  форме, если иное не установлено федеральным  законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. 

 

2. Согласие на обработку  персональных данных может быть  отозвано субъектом персональных  данных. В случае отзыва субъектом  персональных данных согласия  на обработку персональных данных  оператор вправе продолжить обработку  персональных данных без согласия  субъекта персональных данных  при наличии оснований, указанных  в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований возлагается на оператора.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных  данных, номер основного документа,  удостоверяющего его личность, сведения  о дате выдачи указанного документа  и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта  персональных данных, номер основного  документа, удостоверяющего его  личность, сведения о дате выдачи  указанного документа и выдавшем  его органе, реквизиты доверенности  или иного документа, подтверждающего  полномочия этого представителя  (при получении согласия от  представителя субъекта персональных  данных);

3) наименование или фамилию,  имя, отчество и адрес оператора,  получающего согласие субъекта  персональных данных;

4) цель обработки персональных  данных;

5) перечень персональных  данных, на обработку которых  дается согласие субъекта персональных  данных;

6) наименование или фамилию,  имя, отчество и адрес лица, осуществляющего обработку персональных  данных по поручению оператора,  если обработка будет поручена  такому лицу;

7) перечень действий  с персональными данными, на  совершение которых дается согласие, общее описание используемых  оператором способов обработки  персональных данных;

8) срок, в течение которого  действует согласие субъекта  персональных данных, а также  способ его отзыва, если иное  не установлено федеральным законом;

9) подпись субъекта персональных  данных.

 

Обязанности оператора  при сборе персональных данных

 

1. При сборе персональных  данных оператор обязан предоставить  субъекту персональных данных  по его просьбе информацию, предусмотренную  частью 7 статьи 14 настоящего Федерального  закона.

2. Если предоставление  персональных данных является  обязательным в соответствии  с федеральным законом, оператор  обязан разъяснить субъекту персональных  данных юридические последствия  отказа предоставить его персональные  данные.

3. Если персональные данные  получены не от субъекта персональных  данных, оператор, за исключением  случаев, предусмотренных частью 4 настоящей статьи, до начала  обработки таких персональных  данных обязан предоставить субъекту  персональных данных следующую  информацию:

1) наименование либо фамилия,  имя, отчество и адрес оператора  или его представителя;

2) цель обработки персональных  данных и ее правовое основание;

3) предполагаемые пользователи  персональных данных;

4) установленные настоящим  Федеральным законом права субъекта  персональных данных;

5) источник получения  персональных данных.

4. Оператор освобождается  от обязанности предоставить  субъекту персональных данных  сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных  данных уведомлен об осуществлении  обработки его персональных данных  соответствующим оператором;

2) персональные данные  получены оператором на основании  федерального закона или в  связи с исполнением договора, стороной которого либо выгодоприобретателем  или поручителем по которому  является субъект персональных  данных;

3) персональные данные  сделаны общедоступными субъектом  персональных данных или получены  из общедоступного источника;

4) оператор осуществляет  обработку персональных данных  для статистических или иных  исследовательских целей, для  осуществления профессиональной  деятельности журналиста либо  научной, литературной или иной  творческой деятельности, если при  этом не нарушаются права и  законные интересы субъекта персональных  данных;

5) предоставление субъекту  персональных данных сведений, предусмотренных  частью 3 настоящей статьи, нарушает  права и законные интересы  третьих лиц.

 

Ст.16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

 

1. Запрещается принятие  на основании исключительно автоматизированной  обработки персональных данных  решений, порождающих юридические  последствия в отношении субъекта  персональных данных или иным  образом затрагивающих его права  и законные интересы, за исключением  случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить  субъекту персональных данных  порядок принятия решения на  основании исключительно автоматизированной  обработки его персональных данных  и возможные юридические последствия  такого решения, предоставить  возможность заявить возражение  против такого решения, а также  разъяснить порядок защиты субъектом  персональных данных своих прав  и законных интересов.

4. Оператор обязан рассмотреть  возражение, указанное в части  3 настоящей статьи, в течение  тридцати дней со дня его  получения и уведомить субъекта  персональных данных о результатах  рассмотрения такого возражения.

 

 

Статья 22. Уведомление  об обработке персональных данных

 

1. Оператор до начала  обработки персональных данных  обязан уведомить уполномоченный  орган по защите прав субъектов  персональных данных о своем  намерении осуществлять обработку  персональных данных, за исключением  случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять  без уведомления уполномоченного  органа по защите прав субъектов  персональных данных обработку  персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

(п. 1 в ред. Федерального  закона от 25.07.2011 N 261-ФЗ)

2) полученных оператором  в связи с заключением договора, стороной которого является субъект  персональных данных, если персональные  данные не распространяются, а  также не предоставляются третьим  лицам без согласия субъекта  персональных данных и используются  оператором исключительно для  исполнения указанного договора  и заключения договоров с субъектом  персональных данных;

3) относящихся к членам (участникам) общественного объединения  или религиозной организации  и обрабатываемых соответствующими  общественным объединением или  религиозной организацией, действующими  в соответствии с законодательством  Российской Федерации, для достижения  законных целей, предусмотренных  их учредительными документами,  при условии, что персональные  данные не будут распространяться  или раскрываться третьим лицам  без согласия в письменной  форме субъектов персональных  данных;

(в ред. Федерального  закона от 25.07.2011 N 261-ФЗ)

4) сделанных субъектом  персональных данных общедоступными;

(п. 4 в ред. Федерального  закона от 25.07.2011 N 261-ФЗ)

5) включающих в себя  только фамилии, имена и отчества  субъектов персональных данных;

6) необходимых в целях  однократного пропуска субъекта  персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные  системы персональных данных, имеющие  в соответствии с федеральными  законами статус государственных  автоматизированных информационных  систем, а также в государственные  информационные системы персональных  данных, созданные в целях защиты  безопасности государства и общественного  порядка;

(в ред. Федерального  закона от 25.07.2011 N 261-ФЗ)

8) обрабатываемых без  использования средств автоматизации  в соответствии с федеральными  законами или иными нормативными  правовыми актами Российской  Федерации, устанавливающими требования  к обеспечению безопасности персональных  данных при их обработке и  к соблюдению прав субъектов  персональных данных;

9) обрабатываемых в случаях,  предусмотренных законодательством  Российской Федерации о транспортной  безопасности, в целях обеспечения  устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

3. Уведомление, предусмотренное  частью 1 настоящей статьи, направляется  в виде документа на бумажном  носителе или в форме электронного  документа и подписывается уполномоченным  лицом. Уведомление должно содержать  следующие сведения:

(в ред. Федерального  закона от 25.07.2011 N 261-ФЗ)

1) наименование (фамилия,  имя, отчество), адрес оператора;

2) цель обработки персональных  данных;

3) категории персональных  данных;

4) категории субъектов,  персональные данные которых  обрабатываются;

5) правовое основание  обработки персональных данных;

6) перечень действий с  персональными данными, общее  описание используемых оператором  способов обработки персональных  данных;

7) описание мер, предусмотренных  статьями 18.1 и 19 настоящего Федерального  закона, в том числе сведения  о наличии шифровальных (криптографических)  средств и наименования этих  средств;