Персональные данные

 

Информационное сообщение

о деятельности Управления Роскомнадзора по Республике Дагестан как уполномоченного органа по защите прав субъектов персональных данных

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций», является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
           На территории Республики Дагестан, в соответствии с Приказом Роскомнадзора от 26.12.2012 № 1383 «Об утверждении Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Дагестан», функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ возложены на Управление Роскомнадзора по Республике Дагестан.

Основные обязанности Управления Роскомнадзора по Республике Дагестан как уполномоченного органа:

- организовывать в соответствии с требованиями законодательства Российской Федерации защиту прав субъектов персональных данных;

- рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

- осуществлять обработку и внесение в Единую информационную систему  Роскомнадзора уведомлений об обработке персональных данных операторов;

 - выполнять иные предусмотренные законодательством Российской Федерации обязанности.

В целях выполнения полномочий по организации и осуществлению контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Управление Роскомнадзора по Республике Дагестан имеет право:

- запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

- осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах своих полномочий;

- требовать от оператора уточнения, блокирования или уточнения недостоверных или полученных незаконным путем персональных данных;

- принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

- обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

- направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

- направлять в органы прокуратуры, правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

- привлекать к административной ответственности лиц, виновных в нарушении Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Защита прав субъектов персональных данных

Основным нормативно-правовым актом, регулирующим отношения, связанные с обработкой персональных данных является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» установил следующие основные понятия:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- специальные персональные данные - персональные данные, касающиеся касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

- биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;

 


конфиденциальность персональных данных - операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Также Федеральный закон № 152-ФЗ установил принципы обработки персональных данных, условия и порядок обработки персональных данных, права субъектов персональных данных, обязанности оператора, права и обязанности уполномоченного органа в ходе осуществлениям им своей деятельности, а также ответственность за нарушение требований данного федерального закона

Права субъектов персональных данных

Субъект персональных данных (физическое лицо, гражданин Российской Федерации) имеет право на обеспечение защиты его прав и свобод при обработке его персональных данных, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

 Данное право человека и гражданина установлено статьей 24 Конституции Российской Федерации.

Глава 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» устанавливает следующие права субъектов персональных данных:
          1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными.
          2. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
          3. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
- способы обработки персональных данных, применяемые оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
        4. Субъект персональных данных имеет право требовать от оператора прекратить обработку его персональных данных в случае обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.
        5. Субъект персональных данных вправе обжаловать действия (бездействия) оператор осуществляет обработку его персональных данных, в случае нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
       6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
        Обжалование действий (бездействий) оператора, осуществляющего обработку персональных данных, в судебном порядке регламентируется Гражданским процессуальным кодексом Российской Федерации.
         Порядок обжалования действий (бездействий) оператора, осуществляющего обработку персональных данных, в уполномоченный орган по защите прав субъектов персональных данных установлен Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
Федеральный закон № 152-ФЗ устанавливает, что жалоба о восстановлении или защите прав, свобод или законных интересов гражданина направляется в письменной форме с обязательным указанием наименования государственного органа, в который направляет обращение, своей фамилии, имя, отчества, почтового адреса, по которому должен быть направлен ответ, содержать суть жалобы, должно содержать личную подпись и дату.
         Кроме того, в подтверждение своих доводов гражданин прилагает к письменному обращению документы и материалы, либо их копии.

Обязанности оператора, осуществляющего обработку персональных данных

В целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, основной обязанностью оператора является осуществление обработки персональных данных в соответствии с требованиями нормативных правовых актов, регламентирующих обработку персональных данных.
         В соответствии с требованиями главы 4 Федерального закона от 27.07.2006          № 152-ФЗ «О персональных данных» на оператора, осуществляющего обработку персональных данных, возлагаются следующие обязанности:
        1. Оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
        - о факте обработке его персональных данных,
        - о способах обработки персональных данных,
        - сведения о лицах, имеющих доступ к его персональным данным,
        - перечень обрабатываемых персональных данных и источник их получения, сроки обработки его персональных данных,
       - сведения о том, какие юридические последствия для субъекта персональных данных может повлечь обработка его персональных данных.
        2. Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, если обязанность предоставления персональных данных установлена федеральным законом.
        3. оператор обязан получить письменное согласие субъекта персональных данных в случае, когда требуется получение специального письменного согласия субъекта на обработку его персональных данных, а именно:
- осуществляется обработка персональных данных для создания общедоступных источников персональных данных (в том числе справочники, адресные книги);
       - осуществляется обработка биометрических персональных данных;
       - осуществляется обработка специальных категорий персональных данных;
       - осуществляется трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;
       - в случае если решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных.
         4. В случае если персональные данные были получены не от субъекта персональных данных (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными), оператор до начала обработки персональных данных обязан предоставить субъекту персональных данных следующую информацию:
        - наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
       - цель обработки персональных данных и ее правовое основание;
       - предполагаемые пользователи персональных данных;
       - установленные настоящим Федеральным законом права субъекта персональных данных.
       5. Оператор обязан принимать необходимые организационные и технические меры (в том числе использовать шифровальные средства) для защиты персональных данных от неправомерного или случайного доступа к ним, а также от иных неправомерных действий третьих лиц.
       6. При обращении, либо получении запроса субъекта персональных данных или его законного представителя, оператор обязан сообщить субъекту персональных данных о наличии персональных данных относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении в течении десяти рабочих дней с даты получения запроса.
       7. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку нормативные правовые акты, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных.
        8. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
         9. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
        10. Оператор обязан осуществить блокирование персональных данных, в случае выявления недостоверных персональных данных или неправомерных действий с ними, при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, с момента такого обращения или получения такого запроса на период проверки.
        11. Оператор обязан уточнить персональные данные, в случае подтверждения факта недостоверности персональных данных на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов.
        12. Оператор обязан в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
       13. Оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные, в случае достижения цели обработки персональных данных в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
       14. Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные, в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
       15. Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных до начала обработки персональных данных, за исключением следующих случаев:
        - осуществляется обработка персональных данных относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
        - осуществляется обработка персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
       - осуществляется обработка персональных данных относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
       - осуществляется обработка персональных данных, являющихся общедоступными персональными данными;
       - осуществляется обработка персональных данных, включающих в себя только фамилии, имена и отчества субъектов персональных данных;
      - осуществляется обработка персональных данных, необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
     - осуществляется обработка персональных данных, включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
     - осуществляется обработка персональных данных, обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
     16. В случае изменения сведений, указанных в уведомлении об обработке персональных данных, оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных в течении десяти рабочих дней с даты возникновения таких изменений.

Ответственность операторов за неисполнение требований нормативно-правовых актов, регулирующих обработку персональных данных

Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
          Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан РФ. Ограничение прав граждан РФ на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
          Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.

Статьей 24 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» установлено, что лица, виновные в нарушении требований законодательства, применяемым к обработке персональных данных, несут уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Административная ответственность за невыполнение требований законодательства в области обработки персональных данных установлена статьями:
          - ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, устанавливающей ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);        

       - ст. 13.14 Кодекса Российской Федерации об административных правонарушениях, устанавливающей ответственность за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.
          Кроме того, статья 19.7 Кодекса Российской Федерации об административных правонарушениях устанавливает ответственность за непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление таких сведений в неполном объеме или искаженном виде.

           Дела об административных правонарушениях предусмотренных статьями 13.11, 13.14 КоАП РФ, возбуждаются прокурором и рассматриваются судом.
          Дела об административных правонарушениях предусмотренных статьей 19.7 КоАП РФ, возбуждаются уполномоченным органом и  рассматриваются судом.

Уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации предусмотрена статьей 137 Уголовного кодекс Российской Федерации.

Уведомление оператора об обработке персональных данных

В соответствии с частью 1 статьи 22 Федерального закона от 27.07.2006         № 152-ФЗ "О персональных данных" операторы обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
          Заполненное уведомление должно быть направлено в территориальное управление Роскомнадзора по местонахождению юридического лица.
Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью.
          В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
         В случае представления оператором уведомления, содержащего неполные или недостоверные сведения, Управление вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

         В соответствии с п. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в случае изменения сведений, содержащихся в представленном ранее Уведомлении об обработке персональных данных, Оператор обязан уведомить территориальное управление Службы об изменениях в течение десяти          рабочих дней          с даты возникновения таких изменений.
            Уведомление об изменении сведений представляется Оператором  в территориальное управление Службы на бланке оператора в виде информационного письма с указанием причин внесения изменений.
Вместе с информационным письмом Оператор представляет в территориальное управление Службы, в качестве приложения, Уведомление с измененными сведениями в письменной форме, подписанное уполномоченным лицом, с указанием сведений в соответствии с частью 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

           Сведения о Реестре операторов, а также данные о внесенных уведомлениях об обработке персональных данных, осуществляющих обработку персональных данных, можно посмотреть на интернет-сайте Роскомнадзора - www.rkn.gov.ru, раздел "направления деятельности Роскомнадзора", подраздел "Защита прав субъектов персональных данных".

           На  портале персональных данных www.pd.rkn.gov.ru размещены электронные формы Уведомления об обработке персональных данных и Информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных, которые можно заполнить и распечатать для последующей отправки по почте в Управление Роскомнадзора по Республике Дагестан. 

Время публикации: 03.10.2009
Последнее изменение: 25.12.2015 08:59