Права и обязанности оператора при обработке персональных данных

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе предусмотренную в законода­тельстве информацию. Оператор обязан сообщить субъекту персональ­ных данных или его представителю информацию о наличии персональ­ных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими пер­сональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

Если предоставление персональных данных является обязатель­ным в соответствии с федеральным законом, оператор обязан разъ­яснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

В случае, когда персональные данные получены не от субъекта пер­сональных данных до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую ин­формацию:

1) наименование либо фамилию, имя, отчество и адрес оператора или его представителя;

2)цель обработки персональных данных и ее правовое основание;

3)предполагаемые пользователи персональных данных;

4)установленные в законодательстве права субъекта персональных данных;

5)источник получения персональных данных.

Оператор освобождается от обязанности предоставить субъекту персональных данных указанные сведения, если:

1) субъект персональных данных уведомлен об осуществлении об­работки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании феде­рального закона или в связи с исполнением договора, стороной кото­рого либо выгодоприобретателем или поручителем по которому явля­ется субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом пер­сональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для ста­тистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литера­турной или иной творческой деятельности, если при этом не наруша­ются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений нару­шает права и законные интересы третьих лиц.

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодатель­ством. Оператор самостоятельно определяет состав и перечень таких мер, если иное не предусмотрено законодательством. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, от­ветственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, доку­ментов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки пер­сональных данных, а также локальных актов, устанавливающих про­цедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответ­ствия обработки персональных данных закону «О персональных дан­ных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам опе­ратора;

5) оценка вреда, который может быть причинен субъектам персо­нальных данных в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных;

6)ознакомление работников оператора, непосредственно осущест­вляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, опреде­ляющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Оператор обязан опубликовать или иным образом обеспечить не­ограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализу­емых требованиях к защите персональных данных. Если сбор персо­нальных данных осуществляется с использованием информационно-телекоммуникационной сети, оператор обязан опубликовать в этой сети указанный документ и обеспечить возможность доступа к нему с использованием средств соответствующей информационно-телеком­муникационной сети.

При обработке персональных данных оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от не­правомерного или случайного доступа к ним, уничтожения, измене­ния, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в от­ношении персональных данных.

Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а также информационных технологий и технических средств, позво­ляющих осуществлять обработку таких персональных данных с ис­пользованием средств автоматизации установлены в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, принятом поста­новлением Правительства РФ от 17 ноября 2007 г. № 781.

Приказом Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. № 58 утверждено Положение о методах и способах защиты информации в информационных системах персо­нальных данных

Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физиче­скими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обраба­тываемых ими персональных данных и угроз безопасности жизнен­но важным интересам личности, общества и государства. Порядок проведения классификации информационных систем персональных данных установлен приказом Федеральной службы по техническому и экспортному контролю, ФСБ России и Министерства информаци­онных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2)применением организационных и технических мер по обеспече­нию безопасности персональных данных при их обработке в информа­ционных системах персональных данных, необходимых для выполне­ния требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4)оценкой эффективности принимаемых мер по обеспечению без­опасности персональных данных до ввода в эксплуатацию информа­ционной системы персональных данных;

5)учетом машинных носителей персональных данных;

6)обнаружением фактов несанкционированного доступа к персо­нальным данным и принятием мер;

7) восстановлением персональных данных, модифицированных
или уничтоженных вследствие несанкционированного доступа к ним;

8)установлением правил доступа к персональным данным, обраба­тываемым в информационной системе персональных данных, а так­же обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9)контролем за принимаемыми мерами по обеспечению безопас­ности персональных данных и уровня защищенности информацион­ных систем персональных данных.

Требования к материальным носителям биометрических персо­нальных данных и технологиям хранения таких данных вне информа­ционных систем персональных данных утверждены постановлением Правительства РФ от 6 июля 2008 г. № 512.

В случае отказа в предоставлении информации о наличии персональ­ных данных о соответствующем субъекте персональных данных или са­мих персональных данных оператор обязан дать в письменной форме мотивированный ответ со ссылкой на положения закона, являющееся основанием для отказа. Срок представления отказа не должен превы­шать тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персо­нальных данных или его представителя.

Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональ­ными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных, подтверждающих, что персональ­ные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не пре­вышающий семи рабочих дней со дня представления субъектом персо­нальных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, опе­ратор обязан уничтожить такие персональные данные. Оператор обя­зан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необхо­димую информацию в течение тридцати дней с даты получения такого запроса.

В случае выявления неправомерной обработки персональных дан­ных при обращении субъекта персональных данных, или его предста­вителя либо по запросу субъекта персональных данных, или его пред­ставителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокиро­вание (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого об­ращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обраще­нии субъекта персональных данных или его представителя либо по их запросу, или по запросу уполномоченного органа по защите прав субъ­ектов персональных данных оператор обязан осуществить блокирова­ние персональных данных, относящихся к этому субъекту персональ­ных данных, или обеспечить их блокирование с момента такого обра­щения, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных опе­ратор на основании сведений, представленных субъектом персональ­ных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспе­чить их уточнение в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабо­чих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение не­правомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомер­ной обработки персональных данных, обязан уничтожить такие пер­сональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. Блокирование или уничтожение неправомерно обрабатываемых персональных данных должно быть проведено оператором в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобрета­телем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персо­нальных данных либо если оператор не вправе осуществлять обра­ботку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством о пер­сональных данных.

В случае отзыва субъектом персональных данных согласия на обра­ботку его персональных данных оператор обязан прекратить их обра­ботку или обеспечить прекращение такой и в случае, если сохранение персональных данных более не требуется для целей обработки персо­нальных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты по­ступления указанного отзыва, если иное не предусмотрено догово­ром, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если опе­ратор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотрен­ных в законодательстве.

В случае отсутствия возможности уничтожения персональных дан­ных в установленный в законе срок оператор осуществляет блокирова­ние таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен в законодательстве.

Оператор до начала обработки персональных данных обязан уведо­мить уполномоченный орган по защите прав субъектов персональных дан­ных о своем намерении осуществлять обработку персональных данных. Оператор вправе осуществлять без уведомления уполномоченного ор­гана обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, сто­роной которого является субъект персональных данных, если персо­нальные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и исполь­зуются оператором исключительно для исполнения указанного дого­вора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объедине­ния или религиозной организации и обрабатываемых соответствую­щими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достиже­ния законных целей, предусмотренных их учредительными докумен­тами, при условии, что персональные данные не будут распростра­няться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персо­нальных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных дан­ных, имеющие в соответствии с федеральными законами статус госу­дарственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8)обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспе­чения устойчивого и безопасного функционирования транспортно­го комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Уведомление направляется в виде документа на бумажном носите­ле или в форме электронного документа и подписывается уполномо­ченным лицом. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабаты­ваются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, направленных на обеспечение выполнения опе­ратором обязанностей, предусмотренных законодательством РФ, и безопасности персональных данных при их обработке, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

8) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персо­нальных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

9) дата начала обработки персональных данных;

10)срок или условие прекращения обработки персональных данных;

11)сведения о наличии или об отсутствии трансграничной пере­дачи персональных данных в процессе их обработки;

12)сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, уста­новленными Правительством РФ.

В случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных оператор обя­зан уведомить об этом уполномоченный орган по защите прав субъ­ектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Оператор, являющийся юридическим лицом, назначает лицо, от­ветственное за организацию обработки персональных данных, и предоставляет ему сведения, указанные в уведомлении об обработке пер­сональных данных.

Лицо, ответственное за организацию обработки персональных дан­ных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законода­тельства РФ о персональных данных, локальных актов по вопросам обра­ботки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъ­ектов персональных данных или их представителей и (или) осущест­влять контроль за приемом и обработкой таких обращений и запросов.

Оператор вправе поручить обработку персональных данных дру­гому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципаль­ного контракта, либо путем принятия государственным или муни­ципальным органом соответствующего акта. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством РФ о персональных данных. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели об­работки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопас­ность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

Лицо, осуществляющее обработку персональных данных по пору­чению оператора, не обязано получать согласие субъекта персональ­ных данных на обработку его персональных данных.

Лицо, осуществляющее обработку персональных данных по по­ручению оператора, несет ответственность перед оператором. Ответ­ственность перед субъектом персональных данных за действия указан­ного лица несет оператор.