Оглавление:

Discovered

Деньги, банки, страхование, экономика и бизнес

Персональные данные

Что такое персональные данные?

Персональные данные — это информация, с помощью которой можно идентифицировать человека: ФИО, место и год рождения, адрес прописки, паспортные данные и т.д.

История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В Украине данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2010 году был принят Закон «О защите персональных данных», который четко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.

Согласно Закону персональными данными является абсолютно любая информация, которая относится к определенному или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.

Пример персональных данных

Законодательством не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными , с целью возможности применения положений Закона к различным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.

Виды персональных данных

Выделяют четыре вида персональных данных, которые разделяются по степени информативности:

Первый вид — специальные категории персональных данных, которые включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта.

Второй вид содержит информацию, по которой можно идентифицировать человека и получить о нем дополнительные сведения, например, ФИО, адрес и сведения о заработках.

Персональные данные третьего вида — это информация, позволяющая только определить субъекта, то есть, например, фамилия, имя и дата рождения.

К четвертому виду относятся общедоступные или обезличенные персональные данные. Общедоступными являются персональные, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной власти, либо персональные данные, доступ к которым предоставлен с разрешения самого субъекта. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.

База персональных данных

Следует обратить внимание на то, что согласно ст. 5 Закона, объектом защиты являются только персональные данные при их обработке в базах персональных данных .

При этом под «базой персональных данных» в Законе понимается именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных, а под «обработкой персональных данных» понимается определенное действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной ) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице.

Обработка персональных данных

Базы персональных данных подлежат обязательной государственной регистрации, осуществляемой специальным государственным органом по вопросам защиты персональных данных в Государственном реестре баз персональных данных. Регистрация баз персональных данных осуществляется по заявочному принципу путем уведомления уполномоченного государственного органа. Несмотря на это, уполномоченный орган имеет право на отказ в регистрации в случае несоответствия заявления о регистрации требованиям Закона.

Согласно Закону обработка персональных данных может осуществляться для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законодательством Украины, в порядке, установленном законодательством. Если цель обработки меняется, то от субъекта персональных данных должно быть получено согласие на обработку персональных данных с новой целью. При этом не разрешается обработка персональных данных о физическом лице без его согласия, кроме случаев, установленных законом, и исключительно в интересах национальной безопасности, экономического благополучия и прав человека.

Закон также устанавливает, что состав и содержание персональных данных должны соответствовать и не быть избыточными относительно цели их обработки. При этом объем персональных данных, которые включаются в базу персональных данных, должен соответствовать условиям согласия субъекта персональных данных. Субъект персональных данных имеет право, предоставляя такое согласие, ограничить право на обработку своих персональных данных.

Кроме того, следует отметить предоставленное Законом право субъекта персональных данных знать о местонахождении базы персональных данных, в которой содержатся его персональные данные, а также о местонахождении владельца и распорядителя такой базы данных, право на информацию о третьих лицах, которым передаются его персональные данные, а также на бесплатный доступ к своим персональным данным, которые содержатся в соответствующей базе персональных данных. Также Закон устанавливает определенные случаи, в которых субъект персональных данных должен письменно информироваться о его правах или действиях, выполненных с его персональными данными.

Владельцем базы персональных данных может быть физическое лицо-предприниматель или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку персональных данных. Такое лицо должно утвердить цель обработки персональных данных, установить состав обрабатываемых данных и процедуры их обработки, если иное не установлено законом.

Владелец базы персональных данных имеет право передать персональные данные для обработки распорядителю базы персональных данных на основании письменного соглашения.

Согласно Закону, банк обязан получать письменное разрешение на их обработку. Такое разрешение обычно запрашивается еще на стадии анкетирования клиента. В случае согласия персональные данные могут быть переданы третьим лицам и использованы для продвижения продуктов и услуг банка.

Если человек отказывает в обработке своих данных, то по закону кредитная организация может использовать информацию о клиенте только в целях исполнения заключенного с ним договора. Однако многие банки в случае несогласия клиента на обработку данных могут вообще отказаться предоставлять ему услуги.

Личные данные человека закон

Об операторах персональных данных написано довольно много статей.
Операторы очень расстроены, что им приходится тратить средства на защиту персональной информации, что им всем тяжело живется и вообще все очень плохо.
С другой стороны есть сами владельцы персональных данных, и я предлагаю рассмотреть тему именно с этой стороны. Что же дает владельцу персональных данных ФЗ № 152 и каким способом он может защитить свои законные интересы?
В данном случае разговор пойдет о коммерческих организациях, вопрос относительно государственных органов – тема отдельной статьи.

Сбор и обработка персональных данных юридическими лицами – практика распространенная. Кто-то включает персональные данные в договора, кто-то собирает персональные данные для программ лояльности, кто-то собирает для проведения обзвона с целью предложить свои самые современные пылесосы. У каждого свои цели. И это прекрасно, пока не доставляет неудобств людям.
Если у организации недостаточно денег на средства защиты, экспертов, желания – это трудности конкретной организации. Нет денег на средства защиты, ну так пишите на бумаге, но с разрешения владельца. Если интернет-магазин не может обеспечить безопасность информации о заказах, значит не надо хранить эти заказы.
Данная статья позволяет разобраться владельцу персональных данных, каким способом он может заставить оператора персональных данных прекратить нарушать его права.

Основной посыл в законе о персональных данных: информация, содержащая любые персональные данные*, не принадлежит никому кроме самого владельца, и если какая-либо компания хочет их получить, она должна обосновать это желание и получить разрешение от владельца, либо иметь на обработку законные основания. Кроме того, такая компания должна обеспечить безопасность этой информации.

*статья 2. Пункт 1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Разрешение может быть дано как в виде отдельного документа, содержащего подпись владельца, так и в рамках какого-либо договора: на оказание услуг, трудового договора или других форм. Существуют и исключения, когда письменного разрешения не требуется, они указанны в статье 6 федерального закона. Если организация не попадает под пункты, где не требуется разрешения, и письменного разрешения также не имеет, то оператор обязан уничтожить персональные данные в срок, не превышающий 7 дней, (статья 20 пункт 3) и уведомить об этом владельца персональных данных.

Ваши персональные данные могут обрабатывать только для четко определенных целей, никто может их обрабатывать просто так**. Если вам при получении карты постоянного покупателя предлагают указать ваши паспортные данные, наличие недвижимости и счетов в банке, то это избыточная информация, которая не требуется для оказания услуги, и сбор такой информации является незаконным. При этом вам не могут отказать в выдаче карты, если вы не укажете, сколько стоит ваша квартира в этой анкете.

**Статья 1 пункт 3 обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Если какая-либо организация обрабатывает ваши персональные данные, вы имеете право запросить у оператора персональных данных информацию***, касающуюся обработки персональных данных, что указанно в статье 7.

***статья 14 пункт 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Ответ по данному запросу оператор обязан переставить в 30-дневный срок.
Если вам, например, позвонили коллекторы и требуют от вас какие-либо выплаты, не надо с ними ругаться, стоит аккуратно записать из какой организации и кто звонит. После этого следует отправить заказным письмом запрос в эту организацию. В письме необходимо запросить основание обработки, цели обработки и состав, указанный в пункте 7 статьи 14 ФЗ.
Если в течение 30 дней вам не пришел ответ, смело пишите заявление в Роскомнадзор, заодно проверив, числится ли коллектор в реестре операторов персональных данных.

Вот пример последствий для оператора персональных данных по обращению владельца:

Случай из жизни: меня в очередной раз расстроил мой интернет-провайдер своим качеством обслуживания, и я решил посмотреть насколько законно он обрабатывает мои персональные данные. Написав и распечатав письмо с запросом информации из статьи 14, я сходил к ним и отдал под роспись секретарю вместе с претензией на качество обслуживания. На следующий день руководитель технической поддержки (до этого мне так и не удалось с ним поговорить, не переключали) с радостью сообщил, что они все починили, дал мне свои контакты с просьбой звонить если что то будет не так ему лично. Интернет с тех пор работает отлично.

Еще один пример нарушения со стороны оператора персональных данных: после покупки машины в автосалоне по почте пришло письмо от производителя из Германии, в котором говорилось, что я приобрел машину такой-то марки с просьбой оценить качество обслуживания их дилера. При заключении договора в тексте договора не было нигде описано, что я разрешаю обрабатывать свои данные, тем более передавать их кому-либо.
Оператор не уничтожил мои персональные данные после достижения целей обработки (договор исполнен), осуществил трансграничную передачу этих данных и продолжает обрабатывать их в своих информационных системах, без какого-либо основания (приходят СМС с информацией об акциях).

Если статья будет интересна читателям, на последнем примере нарушения выложу формы обращения и пошаговую инструкцию по организации запросов к операторам персональных данных, запросов в Роскомнадзор, расскажу, куда можно обратиться помимо Роскомнадзора, и на какие статьи законодательства ссылаться.

Персональные данные: закон суров.

Федеральный закон «О персональных данных» от 27 июля 2006 года №152-ФЗ в полном объеме вступил в силу с 1 июля 2011 года.

Если вы делаете бизнес в России, вы должны постоянно отслеживать изменения законодательства. То, что еще вчера было нормальным и допустимым, сегодня может быть уже за гранью закона. Типичный пример новых жестких требований к бизнесу — нормы законодательства о персональных данных.

Важность этого закона безусловна: он касается каждого предпринимателя. Если в вашей организации есть хотя бы один работник или один клиент — физическое лицо, то законодательство о персональных данных налагает на вас серьезные обязательства.

Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [1].

Главное требование закона — соблюдение конфиденциальности при обработке любых персональных данных, позволяющих идентифицировать лицо, которому принадлежат эти данные. Как правило, для идентификации достаточно дополнения сведений о фамилии, имени и отчестве любой иной персональной информацией (дата рождения, адрес, номер телефона и др.). Например, такие сочетания данных как Ф.И.О. и дата рождения или Ф.И.О. и номер телефона являются персональными данными, позволяющими идентифицировать лицо. А вот сочетание даты рождения и номера телефона персональными данными являться не могут, поскольку их принадлежность к определенному лицу не установлена, и идентифицировать по этим данным конкретное лицо невозможно.

Если в вашей организации накапливаются, хранятся или каким-то образом используются в работе персональные данные, хотите вы этого или нет, с точки зрения закона вы признаетесь оператором персональных данных.

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных [2].

1. Согласие физического лица на обработку персональных данных

Закон о персональных данных ввел новое и очень жесткое правило о том, что обработка персональных данных (фактически, любые операции с ними: получение, хранение, создание баз данных и т.п.) допускается только с согласия субъекта персональных данных (человека, данные которого обрабатываются).

Исключений из этого правила предусмотрено всего семь. Из них только одно применимо к обычной предпринимательской деятельности: обработка персональных данных возможна без получения согласия субъекта персональных данных, если такая обработка осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (например, договор с потребителем).

Законодатель, казалось бы, преследовал благую цель — повысить уровень защиты данных о частной жизни человека, привести правила делового оборота в соответствие с европейскими стандартами (федеральный закон принят во исполнение Конвенции Совета Европы «О защите личности в связи с автоматической обработкой персональных данных»).

Но к сожалению, введение такого жесткого правила одномоментно, без учета специфики различных сфер бизнеса, сильно усложнило жизнь предпринимателей. Например, это ощутимо ударило по рекрутинговому бизнесу: кадровые агентства теперь формально не имеют права пользоваться открытыми базами данных в сети Интернет, поскольку потенциальный работник не давал им согласия на обработку персональных данных.

Закон дополнительно ограничил возможность обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи. Ведение базы номеров телефонов и электронных адресов клиентов с целью проведения рекламных рассылок теперь допускается только при условии предварительного согласия клиентов. Причем предполагается, что такое согласие потребителей отсутствует, если оператор не докажет, что оно было получено. Законом также предусмотрено, что клиент в любой момент по своему усмотрению может отозвать ранее данное согласие на обработку персональных данных. И оператор обязан по требованию клиента немедленно прекратить обработку его персональных данных [3].

По общему правилу, согласие физического лица на обработку персональных данных не должно быть письменным. (Но есть несколько исключений которые мы рассмотрим ниже). Однако на случай проверки госоргана или судебного спора с субъектом персональных данных предприниматель должен быть готов доказать наличие этого согласия. Поэтому во избежание претензий со стороны проверяющих органов или физических лиц, информация о которых обрабатывалась, рекомендуется получать такое согласие именно в письменной форме. Для этих целей можно использовать специальные формы документов, подписываемые субъектами персональных данных, а также включать соответствующие условия в трудовые договоры с работниками и в договоры с клиентами.

Обязательное письменное согласие от физического лица требуется для обработки так называемых специальных персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Обязательное письменное согласие также требуется для опубликования информации о физическом лице (Ф.И.О., год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные). Это требование создает дополнительные ограничения для включения персональных данных в общедоступные источники (справочники, адресные книги, деловые базы данных и т.п.). Но даже при наличии письменного согласия сведения о субъекте персональных данных могут быть удалены из общедоступных источников по решению суда или иных уполномоченных государственных органов, а также по требованию самого субъекта персональных данных.

Еще одно принципиальное правило состоит в том, что оператор обязан использовать персональные данные только в соответствии с теми целями, для которых он их получил, использование информации в иных целях незаконно.

2. Безопасность обработки персональных данных

Любой оператор персональных данных теперь должен принимать «необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» (п.1 ст.19 Федерального закона «О персональных данных»). Это требование является еще более сложным с организационной и финансовой точки зрения, чем рассмотренное выше.

Правительством РФ было принято Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных [4]. Во исполнение этого документа было разработано также Положение о методах и способах защиты информации в информационных системах персональных данных [5], которое устанавливает организационно-технические меры по защите информации в информационных системах.

При этом выбор и реализация конкретных методов и способов защиты информации в информационной системе определенной организации осуществляются на основе выявленных оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы [6].

Указанные нормативные акты предусматривают следующие организационные и технические мероприятия по защите персональных данных:

  • Уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор [7]) о намерении осуществлять обработку персональных данных. На основании такого уведомления лицо включается в реестр операторов персональных данных, находящемся в общем доступе на сайте Роскомнадзора.
  • Разработка документов, регламентирующих обработку персональных данных в организации: положение по обработке персональных данных, регламенты, положения по защите персональных данных. Эти документы должны быть направлены на создание условий, обеспечивающих реализацию технических мер защиты конфиденциальной информации.
  • Контроль действий персонала в защищенных информационных системах.
  • Определение порядка финансирования деятельности системы обеспечения информационной безопасности.
  • Создание системы защиты персональных данных, в том числе, выполнение требований по инженерно-технической защите помещений.
  • Повышение квалификации сотрудников в области защиты персональных данных.
  • Использование технических, программных, криптографических и аппаратных средств для защиты информации от несанкционированного доступа, копирования, модификации или уничтожения.

Даже на первый взгляд описанная система выглядит громоздкой и чрезмерно усложненной. А отдельные ее положения являются откровенно не нужными ни государству, ни даже самим физическим лицам (субъектам персональных данных). Например, с учетом того, что обработку персональных данных осуществляет фактически любая организация, неясен смысл «письменного уведомления уполномоченного органа о своем намерении осуществлять обработку персональных данных», а также «включение в реестр операторов персональных данных». При этом ответственность за неуведомление уполномоченного органа законодательством не установлена.

Еще более абсурдна предусмотренная пп.4, 5 ст.21 Федерального закона «О персональных данных» обязанность оператора «уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных».

Вряд ли такая громоздкая и излишне бюрократизированная система охраны персональных данных в полном объеме будет работать даже на больших государственных предприятиях. А между тем в дополнение к многочисленным административным барьерам и налоговому бремени на бизнес возложили еще и обязанность по внедрению этой системы. Для ее реализации явно нужны специальные ресурсы и дополнительные финансовые вложения. Показательно, что рынок «консультантов в области защиты персональных данных» уже полон предложениями «обеспечить защиту персональных данных в соответствии со всеми требованиями закона». Естественно — за соответствующее вознаграждение.

3. Ответственность за нарушение требований законодательства о персональных данных

Установив требования к защите персональных данных, государство предусмотрело и ответственность за их несоблюдение. Правда, несмотря на оговорку в законе о возможности привлечения к «гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством РФ ответственности» (ст.24 Федерального закона «О персональных данных»), фактически законодательно установлена только административная ответственность.

За нарушение «установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» статья 13.11 Кодекса РФ об административных правонарушениях предусматривает наказание в форме предупреждения или административного штрафа в размере от 500 до 1 000 рублей (для должностных лиц организации), от 5 000 до 10 000 рублей (для юридических лиц).

Столь небольшой размер ответственности, с одной стороны, и организационная сложность системы охраны персональных данных, с другой, позволяют прогнозировать, что ситуация будет развиваться в соответствии со старой отечественной традицией: «Суровость российских законов смягчается необязательностью их исполнения».

Но нельзя забывать о другом негативном для бизнеса аспекте: к длинному списку «уполномоченных государственных органов», которые вправе проверять бизнес, теперь нужно добавить еще один — Роскомнадзор. Именно это ведомство уполномочено осуществлять контроль за соблюдением законодательства о персональных данных. Поэтому проверок Роскомнадзора не избежать, которые, кстати, должны проводиться с соблюдением требований и ограничений, установленных Федеральным законом «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26 декабря 2008 г. №294-ФЗ.

Административная ответственность за нарушение требований законодательства о персональных данных (ст.13.11 КоАП РФ)

Правонарушение: нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Наказание: предупреждение или административный штраф от 500 до 1000 рублей (для должностных лиц организаций), от 5 000 до 10 000 рублей (для юридический лиц).

Статья опубликована в журнале «ИНТЕЛЛЕКТ-ПРЕСС» (№18/2011)

[1] Статья 3 Федерального закона «О персональных данных» от 27 июля 2006 года №152-ФЗ.

[3] Необходимо отметить, что СМС-рассылки и рекламные объявления с использованием иных средств связи («спам») без согласия абонента были запрещены законом и раньше (ст.18 Федерального закона «О рекламе» от 13 марта 2006 года №38-ФЗ).

[4] Утв. Постановлением Правительства РФ от 17 ноября 2007 г. №781.

[5] Утв. Приказом Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. №58.

[6] Класс информационной системы определяется в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом Федеральной службы по техническому и экспортному контролю России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №55/86/20.

[7] Полное наименование — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Всем, у кого есть сайт! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей

В феврале внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные .

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч . Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица — 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

С 1 июля выписывать протоколы будет Роскомнадзор — дело пойдет быстрее.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • имя,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников — это уже нарушение.

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП , которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды», правила продажи, как у «Читай-города», официальное уведомление, как у «М-видео», политика конфиденциальности, как у «Рестора», «Адидаса» или «Озона». Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк.

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Если не знаете, нужно ли вам отправлять уведомление, лучше отправьте.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

В законе про персональные данные много непонятного. Мы разобрались и ответили на сложные вопросы.

Mеню верхнього рядка

Головне меню

О
защите персональных данных

Статья
1. Сфера
действия Закона

Настоящий
Закон регулирует отношения, связанные
с защитой персональных данных при их
обработке.

Действие
настоящего Закона не распространяется
на деятельность по созданию баз
персональных данных и обработки
персональных данных в этих базах:

физическим
лицом — исключительно для непрофессиональных
личных или бытовых нужд;

журналистом
— в связи с исполнением им служебных или
профессиональных обязанностей;

профессиональным
творческим работником — для осуществления
творческой деятельности.

Статья
2. Определение
терминов

В
этом Законе нижеприведенные термины
употребляются в следующем значении:

база
персональных данных — именованная
совокупность упорядоченных персональных
данных в электронной форме и / или в
форме картотек персональных данных;

владелец
базы персональных данных — физическое
или юридическое лицо, которому законом
или с согласия субъекта персональных
данных предоставлено право на обработку
этих данных, которая утверждает цель
обработки персональных данных в этой
базе данных, устанавливает состав этих
данных и процедуры их обработки, если
иное не определено
законом;

Государственный
реестр баз персональных данных — единая
государственная информационная система
сбора, накопления и обработки сведений
о зарегистрированных базах персональных
данных;

согласие
субъекта персональных данных — любое
документированное, в частности письменное,
добровольное волеизъявление физического
лица о предоставлении разрешения на
обработку его персональных данных в
соответствии со сформулированной цели
их обработки;

обезличивание
персональных данных — изъятие сведений,
позволяющих идентифицировать личность;

обработка
персональных данных — любое действие
или совокупность действий, совершенных
полностью или частично в информационной
(автоматизированной) системе и / или в
картотеках персональных данных, связанных
со сбором, регистрацией, накоплением,
хранением, адаптирование, изменением,
обновлением, использованием и
распространением (реализацией, передачей), обезличением,
уничтожением сведения о физическом
лице;

персональные
данные — сведения или совокупность
сведений о физическом лице, которое
идентифицировано или может быть конкретно
идентифицировано;

распорядитель базы персональных данных — физическое
или юридическое лицо, которому владельцем
базы персональных данных или законом
предоставлено право обрабатывать эти
данные;

субъект
персональных данных — физическое лицо,
в отношении которого в соответствии с
законом осуществляется обработка ее
персональных данных;

третье
лицо — любое лицо, за исключением субъекта
персональных данных, владельца или
владельца базы персональных данных и
уполномоченного государственного
органа по защите персональных данных,
которой владельцем или распорядителем базы
персональных данных осуществляется
передача персональных данных в
соответствии с законом.

Статья
3. Законодательство
о защите персональных данных

Законодательство
о защите персональных данных составляют
Конституция Украины, этот Закон, другие
законы и подзаконные нормативно-правовые
акты, международные договоры Украины,
согласие на обязательность которых
дано Верховной Радой Украины.

Статья
4. Субъекты
отношений, связанных с персональными
данными

Субъектами
отношений, связанных с персональными
данными, являются:

субъект
персональных данных;

владелец
базы персональных данных;

распорядитель базы персональных данных;

уполномоченный
государственный орган по вопросам
защиты персональных данных;

другие
органы государственной власти и органы
местного самоуправления, в полномочия
которых входит осуществление защиты
персональных данных.

2. Владельцем
или распорядителем базы персональных данных
могут быть предприятия, учреждения и
организации всех форм собственности,
органы государственной власти или
органы местного самоуправления,
физические лица — предприниматели,
которые обрабатывают персональные
данные в соответствии с законом.

3. Распорядитель
базы персональных данных, владельцем
которой является орган государственной
власти или орган местного самоуправления,
кроме этих органов, может быть только
предприятие государственной или
коммунальной формы собственности,
принадлежащей к сфере управления этого
органа.

Статья
5. Объекты
защиты

1. Объектами
защиты являются персональные данные,
которые обрабатываются в базах
персональных данных.

2. Персональные
данные, кроме обезличенных персональных
данных, по режиму доступа являются
информацией с ограниченным доступом.

3. Законом
может быть запрещено отнесение
персональных данных определенных
категорий граждан или их исчерпывающего
перечня к информации с ограниченным
доступом.

4. Персональные
данные физического лица, которое
претендует занять или занимает выборную
должность (в представительных органах)
или должность государственного служащего
первой категории, не относятся к
информации с ограниченным доступом, за
исключением информации, определенной как таковая в соответствии с законом.

Статья
6. Общие
требования к обработке персональных
данных

1. Цель
обработки персональных данных должна
быть сформулирована в законах, других
нормативно-правовых актах, положениях,
учредительных или иных документах,
регулирующих деятельность владельца
базы персональных данных, и соответствовать
законодательству о защите персональных
данных.

В
случае изменения определенной цели
обработки персональных данных субъектом
персональных данных должно быть дано
согласие на обработку его данных в
соответствии с измененной целью.

2. Персональные
данные должны быть точными, достоверными,
в случае необходимости — обновляться.

3. Состав
и содержание персональных данных должны
быть соответствующими и нечрезмерными
относительно определенной цели их
обработки.

Объем
персональных данных, которые могут быть
включены в базу персональных данных,
определяется условиями согласия субъекта
персональных данных или в соответствии
с законом.

4. Первичными
источниками сведений о физическом лице
являются: выданные на ее имя документы;
подписанные ею документы, сведения,
которые лицо предоставляет о себе.

5. Обработка
персональных данных осуществляется
для конкретных и законных целей,
определенных по согласию субъекта
персональных данных или в случаях,
предусмотренных законами Украины, в
порядке, установленном законодательством.

6. Не
допускается обработка данных о физическом
лице без его согласия, кроме случаев,
определенных законом, и только в интересах
национальной безопасности, экономического
благосостояния и прав человека.

7. Если
обработка персональных данных необходима
для защиты жизненно важных интересов
субъекта персональных данных, обрабатывать
персональные данные без его согласия можно до времени, когда получение
согласия станет возможным.

8. Персональные
данные обрабатываются в форме, допускающей
идентификацию физического лица, которого
они касаются, в срок, не больший, чем это
необходимо в соответствии с их законным
предназначением.

9. Использование
персональных данных в исторических,
статистических или научных целях может
осуществляться только в обезличенном
виде.

10. Типовой
порядок обработки персональных данных
в базах персональных данных утверждается
уполномоченным государственным органом
по вопросам защиты персональных данных.

Порядок
обработки персональных данных, которые
относятся к банковской тайне, утверждается
Национальным банком Украины.

Статья
7. Особые
требования к обработке персональных
данных

1. Запрещается
обработка персональных данных о расовом
или этническом происхождении, политических,
религиозных или мировоззренческие
убеждения, членство в политических
партиях и профессиональных союзах, а
также данных, касающихся здоровья или
интимной жизни.

2. Положения
части первой настоящей статьи не
применяется, если обработка персональных
данных:

1)
осуществляется при условии предоставления
субъектом персональных данных однозначного
согласия на обработку таких данных;

2)
необходима для осуществления прав и
исполнения обязанностей в сфере трудовых
правоотношений в соответствии с законом;

3)
необходима для защиты интересов субъекта
персональных данных или другого лица
в случае недееспособности или ограничении
гражданской дееспособности субъекта
персональных данных;

4)
осуществляется религиозной организацией,
общественной организацией мировоззренческой
направленности, политической партией
или профессиональным союзом, созданным
в соответствии с законом, при условии,
что обработка касается исключительно
персональных данных членов этих
объединений или лиц, поддерживают
постоянные контакты с ними в связи с
характером их деятельности, и персональные
данные не передаются третьему лицу без
согласия субъектов персональных данных;

5)
необходима для обоснования, удовлетворения
или защиты правового требования;

6)
необходима в целях здравоохранения,
для обеспечения опеки или лечения при
условии, что такие данные обрабатываются
медицинским работником или другим лицом
учреждения здравоохранения, на которого
возложены обязанности по обеспечению
защиты персональных данных;

7)
касается обвинений в совершении
преступлений, приговоров суда,
осуществление государственным органом
полномочий, определенных законом, по
выполнению задач оперативно-разыскной
или контрразведывательной деятельности,
борьбы с терроризмом;

8)
касается данных, которые были обнародованы
субъектом персональных данных.

Статья
8. Права
субъекта персональных данных

1. Личные
неимущественные права на персональные
данные, которые имеет каждое физическое
лицо, являются неотъемлемыми и нерушимыми.

2. Субъект
персональных данных имеет право:

1)
знать о местонахождении базы персональных
данных, содержащей его персональные
данные, ее назначение и наименование,
местонахождение и / или место жительства
(пребывания) владельца или распорядителя
этой базы или дать соответствующее
поручение о получении этой информации
уполномоченным им лицам, кроме случаев,
установленных законом;

2)
получать информацию об условиях
предоставления доступа к персональным
данным, включая информацию о третьих
лицах, которым передаются его персональные
данные, содержащиеся в соответствующей
базе персональных данных;

3)
на доступ к своим персональным данным,
содержащимся в соответствующей базе
персональных данных;

4)
получать не позднее чем за тридцать
календарных дней со дня поступления
запроса, кроме случаев, предусмотренных
законом, ответ о том, сохраняются его
персональные данные в соответствующей
базе персональных данных, а также
получать содержание его персональных
данных, пребывающих на хранении;

5)
предъявлять мотивированное требование
с возражением против обработки своих
персональных данных органами
государственной власти, органами
местного самоуправления при осуществлении
их полномочий, предусмотренных законом;

6)
предъявлять мотивированное требование
относительно изменения или уничтожения
своих персональных данных любым
владельцем и распорядителем этой базы, если
эти данные обрабатываются незаконно
или являются недостоверными;

7) на защиту своих персональных данных от
незаконной обработки и случайной потери,
уничтожение, повреждение в связи с
умышленным сокрытием, непредоставлением
или несвоевременным их предоставлением,
а также на защиту от предоставления
сведений, являются недостоверными или
порочащих честь, достоинство и деловую
репутацию физического лица;

8)
обращаться по вопросам защиты своих
прав относительно персональных данных
в органы государственной власти, органы
местного самоуправления, в полномочия
которых входит осуществление защиты
персональных данных;

9)
применять средства правовой защиты в
случае нарушения законодательства о
защите персональных данных.

3. Распоряжение
персональными данными физического
лица, ограниченного в гражданской
дееспособности или признанного
недееспособным, осуществляет его
законный представитель.

Статья
9. Регистрация
баз персональных данных

1. База
персональных данных подлежит
государственной регистрации путем
внесения соответствующей записи
уполномоченным государственным органом
по вопросам защиты персональных данных
в Государственный реестр баз персональных
данных.

Положение
о Государственном реестре баз персональных
данных и порядок его ведения утверждаются
Кабинетом Министров Украины.

2. Регистрация
баз персональных данных осуществляется
по заявочному принципу путем сообщения.

3. Заявление
о регистрации базы персональных данных
подается владельцем базы персональных
данных в уполномоченный государственный
орган по вопросам защиты персональных
данных.

Заявление
должно содержать:

обращение
о внесении базы персональных данных в
Государственный реестр баз персональных
данных;

информацию
о владельце базы персональных данных;

информацию
о наименовании и местонахождении базы
персональных данных;

информацию
о цели обработки персональных данных
в базе персональных данных, сформулированную
в соответствии с требованиями статей
6 и 7 настоящего Закона;

информацию
о других распорядителях базы персональных
данных;

подтверждение
обязательства по выполнению требований
защиты персональных данных, установленных
законодательством о защите персональных
данных.

4. Уполномоченный
государственный орган по вопросам
защиты персональных данных в порядке,
утвержденном Кабинетом Министров
Украины:

сообщает
заявителю не позднее следующего рабочего
дня со дня поступления заявления о его
получении;

принимает
решение о регистрации базы персональных
данных в течение десяти рабочих дней
со дня поступления заявления.

Владельцу
базы персональных данных выдается
документ установленного образца о
регистрации базы персональных данных
в Государственном реестре баз персональных
данных.

5. Уполномоченный
государственный орган по вопросам
защиты персональных данных отказывает
в регистрации базы персональных данных,
если заявление о регистрации не
соответствует требованиям части третьей
этой статьи.

6. Владелец
базы персональных данных обязан
уведомлять уполномоченный государственный
орган по вопросам защиты персональных
данных о каждом изменении сведений,
необходимых для регистрации соответствующей
базы, не позднее чем в течение десяти
рабочих дней со дня наступления такого
изменения.

7. Уполномоченный
государственный орган по вопросам
защиты персональных данных в течение
десяти рабочих дней со дня поступления
уведомления об изменении сведений,
необходимых для регистрации соответствующей
базы, должен принять решение относительно
указанного изменения и сообщить об этом
владельцу базы персональных данных.

Статья
10. Использование
персональных данных

1. Использование
персональных данных предполагает любые
действия владельца базы для обработки
этих данных, действия по их защите, а
также действия по предоставлению
частичного или полного права обработки
персональных данных иным субъектам отношений,
связанных с персональными данными,
совершаемые с согласия суб ъ екта
персональных данных или в соответствии
с законом.

2. Использование
персональных данных владельцем базы
осуществляется в случае создания им
условий для защиты этих данных. Владельцу
базы запрещается разглашать сведения
относительно субъектов персональных
данных, доступ к персональным данным
которых предоставляется другим субъектам
отношений, связанных с такими данными.

3. Использование
персональных данных работниками субъектов
отношений, связанных с персональными
данными, должно осуществляться только
в соответствии с их профессиональными,
или служебными, или трудовыми обязанностями. Эти
работники обязаны не допускать разглашения любым способом персональных данных,
которые им были доверены или стали
известными в связи с исполнением
профессиональных, или служебных, или
трудовых обязанностей. Такое
обязательство остаетс в силе и после
прекращения ими деятельности, связанной
с персональными данными, кроме случаев,
установленных законом.

4. Сведения
о личной жизни физического лица не могут
использоваться как фактор, подтверждающий
или опровергающий его деловые качества.

Статья
11. Основания
возникновения права на использование
персональных данных

1. Основаниями
возникновения права на использование
персональных данных являются:

1)
согласие субъекта персональных данных
на обработку его персональных
данных. Субъект
персональных данных имеет право при
согласии внести оговорку относительно
ограничения права на обработку своих
персональных данных;

2)
разрешение на обработку персональных
данных, предоставленный владельцу базы
персональных данных в соответствии с
законом исключительно для осуществления
его полномочий.

2. Владелец
базы персональных данных может поручить
обработку персональных данных распорядителю
базы персональных данных в соответствии
с договором в письменной форме.

3. Распорядитель
базы персональных данных может
обрабатывать персональные данные только
в целях и в объеме, определенных в
договоре.

Статья
12. Сбор
персональных данных

1. Сбор
персональных данных является составляющей
процесса их обработки, предусматривающий
действия по подбору или упорядочению
сведения о физическом лице и внесение
их в базу персональных данных.

2. Субъект
персональных данных в течение десяти
рабочих дней со дня включения его
персональных данных в базу персональных
данных должен быть уведомлен о его правах,
определенных настоящим Законом, цель
сбора данных и лиц, которым передаются
его персональные данные, исключительно
в письменной форме.

3. Сообщение
не осуществляется, если персональные
данные собираются из общедоступных
источников.

4. Собранные
сведения о субъекте персональных данных,
а также информация об их источниках
предоставляются этому субъекту
персональных данных по его требованию,
кроме случаев, установленных законом.

Статья
13. Накопление
и хранение персональных данных

1.
Накопления персональных данных
предусматривает действия по объединению
и систематизации сведений о физическом
лице или группе физических лиц или
внесению этих данных в базу персональных
данных.

2. Хранение
персональных данных предусматривает
действия по обеспечению их целостности
и соответствующего режима доступа к
ним.

Статья
14. Распространение
персональных данных

1. Распространение
персональных данных предусматривает
действия по передаче сведений о физическом
лице из баз персональных данных с
согласия субъекта персональных данных.

2. Распространение
персональных данных без согласия
субъекта персональных данных или
уполномоченного им лица допускается в
случаях, определенных законом, и только
в интересах национальной безопасности,
экономического благосостояния и прав
человека.

3. Выполнение
требований установленного режима защиты
персональных данных обеспечивает
сторона, распространяющая эти данные.

4. Сторона,
которой передаются персональные данные,
должна предварительно принять меры по
обеспечению требований настоящего
Закона.

Статья
15. Уничтожение
персональных данных

1. Персональные
данные в базах персональных данных
уничтожаются в порядке, установленном
в соответствии с требованиями закона.

2. Персональные
данные в базах персональных данных
подлежат уничтожению в случае:

1)
истечения срока хранения данных,
определенного согласием субъекта
персональных данных на обработку этих
данных или законом;

2)
прекращения правоотношений между
субъектом персональных данных и
владельцем или распорядителем базы, если
иное не предусмотрено законом;

3)
вступления в законную силу решения суда
об изъятии данных о физическом лице из
базы персональных данных.

3. Персональные
данные, собранные с нарушением требований
настоящего Закона, подлежат уничтожению
в базах персональных данных в установленном
законодательством порядке.

4. Персональные
данные, собранные при выполнении задач
оперативно-разыскной или контрразведывательной
деятельности, борьбы с терроризмом,
уничтожаются в базах персональных
данных в соответствии с требованиями
закона.

Статья
16. Порядок
доступа к персональным данным

1. Порядок
доступа к персональным данным третьих
лиц определяется условиями согласия
субъекта персональных данных,
предоставленной владельцу базы
персональных данных на обработку этих
данных, или в соответствии с требованиями
закона.

2. Доступ
к персональным данным третьему лицу не
предоставляется, если указанное лицо
отказывается принять на себя обязательства
по обеспечению выполнения требований
настоящего Закона или не может их
обеспечить.

3. Субъект
отношений, связанных с персональными
данными, подает запрос относительно
доступа (далее — запрос) к персональным
данным владельцу базы персональных
данных.

4. В
запросе указываются:

1)
фамилия, имя и отчество, место жительства
(место нахождения) и реквизиты документа,
удостоверяющего физическое лицо,
подающее запрос (для физического лица
— заявителя);

2)
наименование, местонахождение юридического
лица, подающего запрос, должность,
фамилия, имя и отчество лица, удостоверяющего
запрос; подтверждение того, что содержание
запроса соответствует полномочиям
юридического лица (для юридического
лица — заявителя);

3)
фамилия, имя и отчество, а также другие
сведения, позволяющие идентифицировать
физическое лицо, в отношении которого
делается запрос;

4)
сведения о базе персональных данных, в
отношении которого подается запрос,
сведения о владельце или распорядителе этой
базы;

5)
перечень персональных данных,
запрашиваемых;

5. Срок
изучения запроса на предмет его
удовлетворения не может превышать
десяти рабочих дней со дня его поступления.

В
течение этого срока владелец базы
персональных данных доводит до сведения
лица, подающего запрос, что запрос будет
удовлетворен или что соответствующие
персональные данные не подлежат
предоставлению, с указанием основания,
определенного в соответствующем
нормативно-правовом акте.

Запрос
подлежит удовлетворению в течение тридцати
календарных дней со дня его поступления,
если иное не предусмотрено законом.

6. Субъект
персональных данных имеет право на
получение любых сведений о себе у любого
субъекта отношений, связанных с
персональными данными, без указания
цели запроса, кроме случаев, установленных
законом.

Статья
17. Отсрочка
или отказ в доступе к персональным
данным

1. Отсрочка
доступа субъекта персональных данных
в своих персональных данных не допускается.

2. Отсрочка
доступа к персональным данным третьим
лицам допускается в случае, если
необходимые данные не могут быть
предоставлены в течение тридцати
календарных дней со дня поступления
запроса. При
этом общий срок решения вопросов,
затронутых в запросе, не может превышать
сорока пяти календарных дней.

Сообщение
об отсрочке доводится до сведения
третьего лица, подавшего запрос, в
письменной форме с разъяснением порядка
обжалования такого решения.

В
сообщении об отсрочке отмечаются:

1)
фамилия, имя и отчество должностного
лица;

2)
дата отправки сообщения;

3)
причина отсрочки;

4)
срок, в течение которого запрос будет удовлетворен.

3. Отказ
в доступе к персональным данным
допускается, если доступ к ним запрещен
по закону.

В
сообщении об отказе указываются:

1)
фамилия, имя, отчество должностного
лица, которое отказывает в доступе;

2)
дата отправки сообщения;

3)
причина отказа.

Статья
18. Обжалование
решения об отсрочке или отказе в доступе
к персональным данным

1. Решение
об отсрочке или отказе в доступе к
персональным данным может быть обжаловано
в уполномоченный государственный орган
по вопросам защиты персональных данных,
в другие органы государственной власти
и органы местного самоуправления, в
полномочия которых входит осуществление
защиты персональных данных, или в суд.

2. Если
запрос сделан субъектом персональных
данных относительно данных о себе,
обязанность доказывания в суде законности
отказа в доступе возлагается на владельца
базы персональных данных, в который
подан запрос.

Статья
19. Оплата
доступа к персональным данным

1. Доступ
субъекта персональных данных к данным
о себе осуществляется бесплатно.

2. Доступ
других субъектов отношений, связанных
с персональными данными, к персональным
данным определенного физического лица
или группы физических лиц может быть
платным в случае соблюдения условий,
определенных настоящим Законом. Оплате
подлежит работа, связанная с обработкой
персональных данных, а также работа по
консультированию и организации доступа
к соответствующим данным.

3. Размер
платы за услуги по предоставлению
доступа к персональным данным органами
государственной власти определяется
Кабинетом Министров Украины.

4. Государственные
органы и органы местного самоуправления
имеют право на беспрепятственный и
бесплатный доступ к персональным данным
в соответствии с их полномочиями.

Статья
20. Изменения
и дополнения к персональным данным

1. Владельцы
или распорядители баз персональных
данных обязаны вносить изменения в
персональные данные на основании
мотивированного письменного требования
субъекта персональных данных.

2. Разрешается
внесение изменений в персональные
данные по обращению других субъектов
отношений, связанных с персональными
данными, если на это есть согласие
субъекта персональных данных или
соответствующее изменение осуществляется
по решению суда, вступившим в законную
силу.

3. Изменение
персональных данных, не соответствующих
действительности, производится
безотлагательно с момента установления
несоответствия.

Статья
21. Сообщение
о действиях с персональными данными

1. О
передаче персональных данных третьему
лицу владелец базы персональных данных
в течение десяти рабочих дней уведомляет
субъекта персональных данных, если
этого требуют условия его согласия или
иное не предусмотрено законом.

2. Сообщения,
указанные в части первой настоящей
статьи, не осуществляются в случае:

1)
передачи персональных данных по запросам
при выполнении задач оперативно-разыскной
или контрразведывательной деятельности,
борьбы с терроризмом;

2)
выполнение органами государственной
власти и органами местного самоуправления
своих полномочий, предусмотренных
законом;

3)
осуществление обработки персональных
данных в исторических, статистических
или научных целях.

3. Об
изменении или уничтожении персональных
данных или ограничение доступа к ним
владелец базы персональных данных в
течение десяти рабочих дней уведомляет
субъекта персональных данных, а также
субъектов отношений, связанных с
персональными данными, которым эти
данные были переданы.

Статья
22. Контроль
за соблюдением законодательства о
защите персональных данных

1. Контроль
за соблюдением законодательства о
защите персональных данных в пределах
полномочий, предусмотренных законом,
осуществляют следующие органы:

1)
уполномоченный государственный орган
по вопросам защиты персональных данных;

2)
другие органы государственной власти
и органы местного самоуправления.

2. Парламентский
контроль за соблюдением прав человека
на защиту персональных данных осуществляет
Уполномоченный Верховной Рады Украины
по правам человека в соответствии с
законом.

Статья
23. Уполномоченный
государственный орган по вопросам
защиты персональных данных

1. Уполномоченный
государственный орган по вопросам
защиты персональных данных — центральный
орган исполнительной власти, к полномочиям
которого относится защита персональных
данных, который образуется в соответствии
с законодательством.

2. Уполномоченный
государственный орган по вопросам
защиты персональных данных:

1)
обеспечивает реализацию государственной
политики в сфере защиты персональных
данных;

2)
регистрирует базы персональных данных;

3)
ведет Государственный реестр баз
персональных данных;

4)
осуществляет в пределах своих полномочий
контроль за соблюдением требований
законодательства о защите персональных
данных с обеспечением в соответствии
с законом доступа к информации, связанной
с обработкой персональных данных в базе
персональных данных, и в помещения, где
осуществляется их обработка;

5)
издает обязательные для исполнения
законные требования (предписания) об
устранении нарушений законодательства
о защите персональных данных;

6)
рассматривает предложения, запросы,
обращения, требования и жалобы физических
и юридических лиц;

7)
организует и обеспечивает взаимодействие
с иностранными субъектами отношений,
связанных с персональными данными;

8)
участвует в работе международных
организаций по вопросам защиты
персональных данных.

Статья
24. Обеспечение
защиты персональных данных в базах
персональных данных

1. Государство
гарантирует защиту персональных данных.

2. Субъекты
отношений, связанных с персональными
данными, обязаны обеспечить защиту этих
данных от незаконной обработки, а также
от незаконного доступа к ним.

3. Обеспечение
защиты персональных данных в базе
персональных данных возлагается на
владельца этой базы.

4. Владелец
базы персональных данных в электронной
форме обеспечивает ее защиту в соответствии
с законом.

5. В
органах государственной власти и органах
местного самоуправления, организациях,
учреждениях и на предприятиях всех форм
собственности определяется структурное
подразделение или ответственное лицо,
которое организует работу, связанную
с защитой персональных данных при их
обработке в соответствии с законом.

6. Физические
лица — предприниматели, в том числе
врачи, имеющие соответствующую лицензию,
адвокаты, нотариусы лично обеспечивают
защиту баз персональных данных, которыми
они обладают, согласно требованиям
закона.

Статья
25. Ограничение
действия отдельных статей этого Закона

1. Ограничение
прав, предусмотренных статьями 8, 11 и 17
настоящего Закона, осуществляется
только в интересах:

1)
национальной безопасности, экономического
благосостояния и прав человека;

2)
защиты прав и свобод физических лиц,
персональные данные которых обрабатываются,
или прав других субъектов отношений,
связанных с персональными данными, а
также в целях борьбы с преступностью;

3)
обеспечение субъектов отношений,
связанных с персональными данными,
сведенной обезличенной информацией о
персональных данных в соответствии с
законодательством.

2. Субъекты
отношений, связанных с персональными
данными, осуществляют свои полномочия
в пределах, установленных Конституцией
и законами Украины.

Статья
26. Финансирование
работ по защите персональных данных

Финансирование
работ и мероприятий по обеспечению
защиты персональных данных осуществляется
за счет средств Государственного бюджета
Украины и местных бюджетов, средств
субъектов отношений, связанных с
персональными данными.

Статья
27. Применение
положений настоящего Закона

1. Положение
о защите персональных данных, изложенных
в настоящем Законе, могут дополняться
или уточняться другими законами, при
условии, что они устанавливают требования
по защите персональных данных, не
противоречащих требованиям настоящего
Закона.

2. Профессиональные
объединения могут разрабатывать
корпоративные кодексы поведения в целях
обеспечения эффективной защиты прав
субъектов персональных данных, содействие
соблюдению законодательства, учитывая
специфику обработки персональных данных
в различных сферах.

Статья
28. Ответственность
за нарушение законодательства о защите
персональных данных

Нарушение
законодательства о защите персональных
данных влечет ответственность,
установленную законом.

Статья
29. Международное
сотрудничество

1. Сотрудничество
с иностранными субъектами отношений,
связанных с персональными данными,
регулируется Конституцией Украины,
настоящим Законом, иными нормативными
правовыми актами и международными
договорами Украины.

2. Если
международным договором Украины,
согласие на обязательность которого
дано Верховной Радой Украины, установлены
иные правила, чем те, которые предусмотрены
законодательством Украины, то применяются
правила международного договора Украины.

3. Передача
персональных данных иностранным
субъектам отношений, связанных с
персональными данными, осуществляется
лишь при условии обеспечения защиты
персональных данных, при наличии
соответствующего разрешения и в случаях,
установленных законом или международным
договором Украины, в порядке, установленном
законодательством. Персональные
данные не могут распространяться на
другие цели, нежели та, с которой они
были собраны.

Статья
30. Заключительные
положения

1. Настоящий
Закон вступает в силу с 1 января 2011 года.

2. Кабинету
Министров Украины в течение шести
месяцев со дня вступления в силу
настоящего Закона:

обеспечить
принятие нормативно-правовых актов,
предусмотренных этим Законом;

обеспечить
приведение своих нормативно-правовых
актов в соответствие с настоящим
Законом.

Популярное:

  • Адвокат соловьева людмила александровна Соловьева Людмила Александровна КА" СОЮЗНАЯ КОЛЛЕГИЯ АДВОКАТОВ" Принимает звонки сегодня с 9:00 до 20:00 . Основные специализации: - гражданские дела: 124 - арбитражные дела: 118 - уголовные дела: 228 - сопровождение сделок: 62 Статьи и советы юриста: - статьи: 1 - […]
  • Незаконное завладение автомобилем статья ук рф Завладение автомобилем или иным транспортным средством без цели хищения. Угон. Квалификация статьи и состав преступления Современные технологии позволяют завладеть чужим транспортным средством в считанные секунды. В зависимости от того какие цели преследует угонщик, его действия могут […]
  • Исковое заявление за неуплату алиментов Исковое заявление о взыскании неустойки по алиментам Законом предусмотрена ответственность за неуплату алиментов, поэтому исковое заявление о взыскании неустойки по алиментам подается в суд достаточно часто. Правовой основой таких исков является ст. 115 Семейного кодекса РФ. […]
  • Рожать ли второго ребенка после 35 Рожать ли второго ребенка после 35 Вторая Беременность после 35 Вторая Беременность после 35 Сообщение Элиос » Вс фев 14, 2010 14:30 Сообщение Sirena » Вс фев 14, 2010 15:04 Сообщение Оля » Вс фев 14, 2010 19:15 Сообщение Сена » Вс фев 14, 2010 21:32 Сообщение Элиос » Вс фев 14, […]
  • Сертификат материнский капитал в 2014 году Материнский капитал в 2014 году: размер и последние изменения В 2014 году всероссийская программа поддержки семей «Материнский капитал» продолжит свое действие. В соответствии с этой программе выделяются деньги семьям, у которых родился или усыновлен второй и последующий ребенок. Важно […]
  • Герасимов сергей иванович юрист Герасимов Сергей Иванович Биографическая справка С 1971 по 1973 год - старший следователь Усольской городской прокуратуры Иркут­ской области, г. Усолье. С 1973 по 1975 год - старший следователь, прокурор-криминалист прокуратуры Иркутской области, г. Иркутск. С 1975 по 1976 год - […]