Тема 9. Закон о персональных данных. Обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Право оператора обрабатывать персональные данные

· Право на обработку персональных данных у оператора возникает в следующих случаях:

o обработка персональных данных осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных

o обработка персональных данных необходима для исполнения договора, стороной, выгодоприобретателем или поручителем, по которому является субъект персональных данных

o обработка персональных данных необходима для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем,

o обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных,

o осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

· Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.

· Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

· В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

· Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Выводы:

· Для обработки персональных данных поставщиком услуг согласия не требуется.

· Без согласия субъекта (потребителя) законно передать данные расчетному центру невозможно.

· Сбор согласий имеет смысл только для того, чтобы предусмотреть в них возможность передачи персональных данных третьим лицам (расчетному центру). Однако следует понимать, что собрать 100% согласий на передачу данных расчетному центру нереально.

· Ответственность за передачу персональных данных расчетному центру будет нести поставщик услуг, т.к. именно он является оператором, который поручает обработку персональных данных. Расчетный центр оператором не является.

· Единственная лазейка законно передать данные расчетному центру – сослаться на общедоступность данных о собственниках, содержащихся в государственном реестре прав на недвижимое имущество. Но это не распространяется на нанимателей и членов семей собственников.

Уведомление об обработке персональных данных

· До начала обработки персональных данных необходимо уведомить Роскомнадзор о намерении обрабатывать персональные данные (ст.22 закона № 152-ФЗ от 27.07.2006 «О персональных данных»)

· Исключения, когда уведомлять Роскомнадзор необязательно:

o персональные данные получены оператором в связи с заключением с субъектом договора (например, договора управления, ресурсоснабжения или оказания коммунальных услуг) и они без согласия субъекта не распространяются, не предоставляются иным лицам и используются оператором исключительно для исполнения указанного договора и заключения новых договоров с субъектом персональных данных

o персональные данные сделаны субъектом персональных данных общедоступными

o персональные данные содержат только фамилии, имена и отчества

o персональные данные обрабатываются без использования средств автоматизации

Выводы:

· В случае, если поставщик самостоятельно осуществляет расчеты с потребителями, то уведомлять Роскомнадзор необязательно

· В случае заключения поставщиком услуг договора с расчетным центром на оказание услуг по ведению расчетов с потребителями вышеуказанные исключения не соблюдаются, поэтому в этом случае следует направить уведомление в Роскомнадзор.

Контролирующие органы

· Роскомнадзор – осуществляет контроль за соблюдением организационных мер и не имеет полномочий по контролю за применением любых технических средств

· Федеральная служба по техническому и экспортному контролю (ФСТЭК) – осуществляет контроль за применением технических некриптографических средств для защиты персональных данных

· Федеральная служба безопасности (ФСБ) – осуществляет контроль за применением криптографических средств для защиты персональных данных

Мероприятия по контролю

· В 99% случаев проверки производит Роскомнадзор

· Для прохождения проверки Роскомнадзора необходимо подготовиться документально:

o Разместить на сайте политику обработки персональных данных

o Иметь (подготовить) пакет локальных документов, предусмотренных различными Постановлениями Правительства РФ, приказами ФСБ и ФСТЭК. Соблюдать то, что написано в этих локальных документах

o Предоставить лицензии (лицензионные договоры) и сертификаты на средства защиты информации, прошедшие сертификацию в ФСТЭК или ФСБ. Обычно это антивирус, межсетевой экран и криптопровайдер (КриптоПро).