Что понимается под понятием конфиденциальность персональных данных
Федеральный закон от 27.07.2006 г. № 152-ФЗ
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О персональных данных
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
(В редакции федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ, от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ, от 29.11.2010 № 313-ФЗ, от 23.12.2010 № 359-ФЗ, от 04.06.2011 № 123-ФЗ, от 25.07.2011 № 261-ФЗ, от 05.04.2013 № 43-ФЗ, от 23.07.2013 № 205-ФЗ, от 21.12.2013 № 363-ФЗ, от 04.06.2014 № 142-ФЗ, от 21.07.2014 № 216-ФЗ, от 21.07.2014 № 242-ФЗ, от 03.07.2016 № 231-ФЗ, от 22.02.2017 № 16-ФЗ, от 01.07.2017 № 148-ФЗ, от 29.07.2017 № 223-ФЗ, от 31.12.2017 № 498-ФЗ, от 27.12.2019 № 480-ФЗ, от 24.04.2020 № 123-ФЗ, от 08.12.2020 № 429-ФЗ, от 30.12.2020 № 515-ФЗ, от 30.12.2020 № 519-ФЗ, от 11.06.2021 № 170-ФЗ, от 02.07.2021 № 331-ФЗ)
Глава 1. Общие положения
Статья 1. Сфера действия настоящего Федерального закона
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. Принципы и условия обработки персональных данных
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; (В редакции Федерального закона от 29.07.2017 № 223-ФЗ)
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; (В редакции Федерального закона от 05.04.2013 № 43-ФЗ)
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; (В редакции федеральных законов от 21.12.2013 № 363-ФЗ; от 03.07.2016 № 231-ФЗ)
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; (В редакции Федерального закона от 03.07.2016 № 231-ФЗ)
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
Статья 7. Конфиденциальность персональных данных
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)
Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)
2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного предс
152-ФЗ: как совладать с персональными данными
В детстве нас учили не говорить незнакомым людям, как нас зовут и где мы живем. А сейчас мы не задумываясь регистрируемся на непонятных сайтах и пишем данные паспорта в странных бланках. Чтобы вашими персональными данными не завладели те самые незнакомые люди, нужно внимательно отнестись к оператору, которому вы их передаете.
Что такое персональные данные
В законе есть три ключевых понятия: персональные данные, оператор и обработка персональных данных.
Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор — тот, кто организует и обрабатывает персональные данные.
Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, обновление, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
Важно еще понять, что относится к самим персональным данным. В законе нет прямой формулировки, но к ним относят:
Другими словами, персданные — это та информация, по которой можно идентифицировать человека. Если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.
Что должен сделать оператор персональных данных
Все просто — нужно зарегистрироваться в Роскомнадзоре. Для этого необходимо подать уведомление об обработке персональных данных.
Оператор заполняет электронную форму на Портале персональных данных Роскомнадзора. После того, как уведомление отправлено в систему, нужно распечатать его бумажную копию. Она заверяется подписью и печатью организации, после чего отправляется в территориальный орган Роскомнадзора по месту регистрации компании-оператора.
К операторам относятся физлица, ИП, юрлица, муниципальные органы, государственные органы. Эти категории влияют на размер штрафов.
Когда уведомление Роскомнадзора не требуется
Список ситуаций, когда не нужно отправлять уведомление, прописан в ст. 22 152-ФЗ. Оператор не должен регистрироваться, если персональные данные:
Логично, что персональные данные должны быть надежно защищены. Для этого создаются регламенты и настраивается система безопасности. Но не все данные нужно охранять одинаково.
Когда не нужна конфиденциальность персональных данных
В той же статье закона прописаны правила, когда обеспечение конфиденциальности персональных данных не требуется:
Для всех остальных случаев нужно составить политику конфиденциальности.
Что отразить в политике конфиденциальности
Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:
Всю эту информацию можно изложить в свободной форме. Требование одно — субъект должен понимать, куда отправляются его персональные данные, как их используют и охраняют.
Как составить согласие на обработку персональных данных
В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:
Далее идет информационная часть согласия. В ней прописывается:
Если вам нужен бланк, то скачайте его и измените под ваши нужды.
Когда не нужно согласие
Есть случаи, когда согласие субъекта персональных данных не требуется. Такое возможно, когда обработка персональных данных:
Что будет, если нарушать
Штраф. С 1 июля 2017 года действуют поправки в ст. 13.11 КоАП.
Помимо штрафов, оператор будет внесен в «Реестр нарушителей прав субъектов персональных данных». А еще придется подготовиться к проверке.
Отнеситесь к персональным данным с ответственностью, чтобы не стать жертвой мошенников.
Перечень сведений конфиденциального характера
Перечень конфиденциальной информации на предприятии — это список закрытых от посторонних сведений. В их число, как правило, входят коммерческая информация, персональные и профессиональные данные (последние два вида определены федеральными законами).
Какие сведения входят
Как правило, реестры конфиденциальных данных предприятия состоят из нескольких видов закрытых материалов. Разделы о коммерческой тайне и персональных данных присутствуют в перечнях всех организаций, они составляются по нормам законов №98-ФЗ и №152-ФЗ. Сведения профессионального характера вносятся в номенклатуру в соответствии с профилем деятельности конкретной фирмы. Доступ к ней ограничен специальными законами: о банковском деле, об адвокатуре и пр.
Как утвердить перечень
Реестр в большинстве случаев состоит из двух разделов — коммерческой тайны и информации, доступ к которой ограничен законодательно.
1. Официально утвержденного перечня конфиденциальных сведений в области коммерческой тайны не существует. Каждая организация сама устанавливает, к каким материалам следует ограничить доступ третьих лиц. Чаще всего закрывают данные о:
2. Информация, доступ к которой ограничивается законом. Сюда относятся персональные данные, материалы профессионального характера, налоговая, банковская, адвокатская, нотариальная, врачебная, аудиторская и прочие виды тайн.
Чтобы понять, какое назначение имеет перечень конфиденциальных сведений предприятия, необходимо руководствоваться практическими соображениями и требованиями закона:
На предприятии надо составить и оформить перечень конфиденциальных сведений фирмы и ограничить их распространение. Для этого разрабатываются локальные нормативные акты и проводятся организационные мероприятия, определенные ст. 10 закона №98-ФЗ:
Мероприятия, устанавливающие режим конфиденциальной информации, регламентируются положением, инструкцией или регламентами. Документационное оформление зависит от установленных в организации правил документооборота. Для введения в действие документа издается приказ об утверждении перечня сведений конфиденциального характера. С его содержанием надо ознакомить всех причастных к тайне сотрудников.
Кто имеет доступ
Работников, получивших доступ, знакомят с реестром и мерами, обеспечивающими режим конфиденциальности, под роспись. Лиц, допущенных к информации, относящейся к перечню конфиденциальности, определяет руководитель. Обычно это список должностей, который оформляется приложением к приказу или отдельным пунктом в инструкции или положении. Сотруднику обеспечиваются условия для сохранения тайны: специальная мебель, запирающиеся шкафы и пр. Допуск к сведениям ограниченного доступа, если он не предусмотрен трудовым договором, предоставляется с согласия служащего.
Ответственность за нарушение
Работники или контрагенты, разгласившие перечень информации, относящейся к конфиденциальной информации, несут ответственность: