Пн Вт Ср Чт Пт Сб Вс
28 29 30 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 1

Новшества в Федеральном законе "О персональных данных"

#M12291 902291063Федеральным законом от 25.07.2011 N 261-ФЗ#S внесены изменения в #M12291 901990046Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"#S. В статье автор рассмотрел эти изменения и проанализировал на практическом примере.

 

#M12291 901990046Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных"#S регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами и муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в т.ч. в информационно-телекоммуникационных сетях, или без использования таких средств.

 

Под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 

 

Основные изменения

 

Закон устанавливает правила обработки персональных данных, к которым относится любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

Этот закон, вызвавший в свое время оживленную и неоднозначную реакцию в России, в очередной раз подвергся изменениям: #M12291 902291063Федеральным законом от 25.07.2011 N 261-ФЗ#S "О внесении изменений в Федеральный закон "О персональных данных" создана его восьмая за пять лет редакция.

 

***

 

Под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 

***

 

#M12293 0 902291063 0 0 0 0 0 0 0 206504532Закон N 261-ФЗ#S вступил в силу с 27 июля 2011 года и распространяется на правоотношения, возникшие с 1 июля 2011 года (ст. 3).

 

В числе новшеств - расширение круга лиц, имеющих право принимать нормативные правовые акты, нормативные акты по отдельным вопросам, касающимся обработки персональных данных. К ним отнесены Банк России и органы местного самоуправления (в пределах их полномочий). Ранее на основании и во исполнение федеральных законов такие акты могли издавать только государственные органы.

 

Как оговорено в новой редакции #M12293 1 901990046 0 0 0 0 0 0 0 248840837п. 2 ст. 4 Закона N 152-ФЗ#S, указанные документы не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат обязательному официальному опубликованию.

 

В новой редакции #M12293 2 901990046 0 0 0 0 0 0 0 249234059ст. 5 Закона N 152-ФЗ#S четче сформулированы принципы их обработки:

 

- она должна осуществляться на законной и справедливой основе;

 

- должна ограничиваться достижением конкретных, заранее определенных и законных целей, а сами обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

 

- должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

 

В силу #M12293 3 901990046 0 0 0 0 0 0 0 294912699п. 2 новой ст. 18.1 Закона N 152-ФЗ#S оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать указанный документ в сети, а также обеспечить возможность доступа к нему с использованием средств сети.

 

В #M12293 4 901990046 0 0 0 0 0 0 0 206504532Закон N 152-ФЗ#S введена ст. 22.1 "Лица, ответственные за организацию обработки персональных данных в организациях", которая регламентирует обязанности и подотчетность этих лиц оператору.

 

Статья 6 вменяет операторам (т.е. лицам, организующим и/или осуществляющим обработку персональных данных) заручаться согласием субъекта персональных данных на обработку его персональных данных. Обратим внимание, что это требование распространяется в т.ч. на работодателей, которые выступают как операторы при обработке персональных данных в соответствии с трудовым законодательством (гл. 14 ТК РФ).

 

До вступления в силу комментируемого закона ст. 6 предусматривала целый ряд случаев, когда такое согласие не требовалось: начиная от обработки персональных данных на основании федерального закона и до обработки персональных данных для доставки почтовых отправлений.

 

В настоящее время согласие физического лица требуется в любом случае (#M12293 5 901990046 0 0 0 0 0 0 0 249430670п. 1 ст. 6 Закона N 152-ФЗ#S в ред. #M12293 6 902291063 0 0 0 0 0 0 0 206504532Закона N 261-ФЗ#S). Эта новая мера призвана защитить права физических лиц, но им нужно быть внимательными: давая согласие без внимательного прочтения правил, субъект персональных данных рискует тем, что информация о нем может быть передана лицам, которым он не рассчитывал доверять соответствующие сведения.

 

Пример

 

ОАО "Вымпелком" предлагает своим привилегированным клиентам (членам клуба Hi-Light Club) участие в программе PR1ME. Используя виртуальную карту и мобильные купоны PR1ME, клиент может получать различные скидки на товары и услуги. Регистрация в программе производится путем отправки SMS, причем на сайте есть предупреждение: отправка подтверждает согласие с условиями программы.

 

Правила программы, доступные для скачивания на сайте, предусматривают, что участник, регистрируясь в программе, подтверждает свое безоговорочное согласие с условиями обработки его персональных данных, указанных при регистрации, а также полученных сервисным оператором от оператора связи в результате участия участника в программе. При этом участник дает свое согласие на осуществление любых действий в отношении его персональных данных, которые необходимы или желаемых в рамках реализации программы, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), обработку персональных данных, распространение персональных данных (в том числе передачу третьим лицам включая, но не ограничиваясь ОАО "Вымпел-Коммуникации", ОАО "Альфа-Банк", ЗАО "Национальная Сервисная Компания", ООО "Кинопортал"), использование персональных данных, блокирование персональных данных, уничтожение персональных данных, обезличивание персональных данных, систематизацию персональных данных, конфиденциальность персональных данных, а также осуществление любых иных действий с персональными данными участника с учетом федерального законодательства. Участник дает согласие на передачу любых персональных данных, предоставленных оператору при подписании абонентского договора, сервисному оператору в целях оказания услуг сервисного оператора, а также иным третьим лицам при условии сохранения их конфиденциальности. Сервисный оператор гарантирует участнику принятие всех необходимых мер по обеспечению конфиденциальности персональных данных участника в соответствии с требованиями действующего законодательства РФ.

 

Срок действия согласия на обработку персональных данных - 15 лет, а отозвать его можно только путем направления заявления в письменной форме по адресу местонахождения сервисного оператора. Что, как мы покажем ниже, не приведет к немедленному прекращению обработки уже полученных данных.

 

 

Согласие на обработку данных

 

Ответственность за получение согласия на обработку персональных данных несет оператор, в т.ч. когда он поручает обработку персональных данных другому лицу. Такое перепоручение не всегда требует отдельного согласия субъекта персональных данных, а уполномоченное лицо не обязано самостоятельно получать согласие физического лица на обработку его персональных данных, но оно несет ответственность перед оператором за правомерность своих действий (п. 3-5 этой же статьи).

 

Способ выражения согласия субъекта персональных данных на обработку его персональных данных определен #M12293 0 901990046 0 0 0 0 0 0 0 249102983ст. 9 Закона N 152-ФЗ#S, которая также изложена в новой редакции. В ней, в частности, уточнено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных должны быть проверены оператором.

 

Физическое лицо может в любой момент отозвать свое согласие, однако в этом случае оператор вправе продолжить обработку персональных данных без согласия субъекта в случаях, указанных в #M12293 1 901990046 0 0 0 0 0 0 0 249102983п. 2 ст. 9 Закона N 152-ФЗ#S, если она необходима для:

 

- достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

 

- осуществления правосудия, исполнения судебного акта;

 

- предоставления государственной или муниципальной услуги;

 

- исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

 

- защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

 

- осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

 

- осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

 

- статистических или иных исследовательских целей при условии обязательного обезличивания персональных данных;

 

- иных случаев в соответствии с #M12293 2 901990046 0 0 0 0 0 0 0 249430670пп. 2-11 ч. 1 ст. 6#S, #M12293 3 901990046 0 0 0 0 0 0 0 249692816ч. 2 ст. 10#S и #M12293 4 901990046 0 0 0 0 0 0 0 249496204ч. 2 ст. 11 Закона N 152-ФЗ#S.

 

***

 

Ответственность за получение согласия на обработку персональных данных несет оператор, в т.ч. когда он поручает обработку персональных данных другому лицу.

 

***

 

#M12293 0 901990046 0 0 0 0 0 0 0 249823888Статья 14 Закона N 152-ФЗ#S закрепляет право субъекта персональных данных на доступ к его персональным данным. В частности, в силу новой редакции ч. 7 этой статьи физическое лицо, чьи персональные данные обрабатываются, может претендовать на получение информации о правовых основаниях и целях обработки персональных данных; о наименовании и местонахождении оператора или лица, уполномоченного им на обработку персональных данных, а также о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона и т.д.

 

В статье конкретизированы механизмы направления запроса и получения ответа, сроки и возможные каналы документооборота, права и обязанности сторон.

 

С этими нормами созвучны и правила #M12293 1 901990046 0 0 0 0 0 0 0 249954960ст. 18 "Обязанности оператора при сборе персональных данных"#S. #M12293 2 901990046 0 0 0 0 0 0 0 249954960Пунктом 4 ст. 18#S (в новой редакции) установлены случаи, когда оператор освобождается от обязанности предоставить субъекту персональных данных запрашиваемые сведения:

 

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

 

- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

 

- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

 

- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

 

- предоставление сведений нарушает права и законные интересы третьих лиц.

 

В дополнение к #M12293 3 901990046 0 0 0 0 0 0 0 250217108ст. 19 "Меры по обеспечению безопасности персональных данных при их обработке"#S в Закон введена #M12293 4 901990046 0 0 0 0 0 0 0 294912699ст. 18.1#S, определяющая меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных #M12293 5 901990046 0 0 0 0 0 0 0 206504532Законом N 152-ФЗ#S. В частности, оператору предписано разработать локальные акты, на основании которых организуется и производится обработка и защита персональных данных, причем вся соответствующая документация должна быть предоставлена по запросу уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора). Правительство РФ уполномочено устанавливать перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных #M12293 6 901990046 0 0 0 0 0 0 0 206504532Законом N 152-ФЗ#S и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

 

Изменения и уточнения внесены также в #M12293 7 901990046 0 0 0 0 0 0 0 250020496ст. 20#S и #M12293 8 901990046 0 0 0 0 0 0 0 25034818121#S, определяющие соответственно обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных и обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.

 

Комментируемым Законом уточнен также порядок трансграничной передачи персональных данных (#M12293 9 901990046 0 0 0 0 0 0 0 249692815ст. 12#S).

 

Заключительные положения #M12293 10 901990046 0 0 0 0 0 0 0 206504532Закона N 152-ФЗ#S (#M12293 11 901990046 0 0 0 0 0 0 0 294716092ст. 25#S) дополнены п. 2.1, предписывающим операторам, осуществлявшим обработку персональных данных до 1 июля 2011 года, представить не позднее 1 января 2013 года в Роскомнадзор следующие сведения:

 

- правовое основание обработки персональных данных;

 

- фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

 

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

 

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

 

Работодателей-операторов, обрабатывающих персональные данные в соответствии с трудовым законодательством, это требование не касается (#M12293 12 901990046 0 0 0 0 0 0 0 294388409п. 1 ч. 2 ст. 22 Закона N 152-ФЗ#S в ред. #M12293 13 902291063 0 0 0 0 0 0 0 206504532Закона N 261-ФЗ#S).