1. Основные понятия
- персональные данные — зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации
- субъект персональных данных (субъект) — физическое лицо, к которому относятся персональные данные
- база персональных данных — база данных в виде информационной системы, содержащая в своем составе персональные данные
- обработка персональных данных — реализация одного или совокупности действий по сбору, систематизации, хранению, изменению, дополнению, использованию, предоставлению, распространению, передаче, обезличиванию и уничтожению персональных данных
- оператор базы персональных данных (оператор) — государственный орган, физическое и (или) юридическое лицо, осуществляющее обработку персональных данных
2. База персональных данных
- База персональных данных формируется путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом
- Порядок и принципы сбора, систематизации персональных данных определяются собственником и (или) оператором самостоятельно. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта в той мере, в какой требуют цели, ранее заявленные при сборе персональных данных
- Срок хранения персональных данных определяется датой достижения целей их сбора и обработки
3. Обработка персональных данных
Обработка персональных данных осуществляется в следующих случаях:
- согласия субъекта на обработку этих данных
- необходимости обработки этих данных для выполнения договора, стороной которого является субъект, или принятия мер по запросу субъекта до заключения такого договора
- необходимости обработки этих данных для исполнения обязательств собственника и (или) оператора, определенных законодательством
- необходимости обработки этих данных для защиты законных интересов субъекта или другого лица
- необходимости обработки этих данных для осуществления прав и законных интересов собственника и (или) оператора или третьего лица либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных
- обработки этих данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных
- если эти данные получены из общедоступных источников
При необходимости обработки персональных данных в целях защиты прав и законных интересов субъекта их обработка допускается без согласия последнего до момента, когда получение согласия станет возможным.
Цели обработки персональных данных определяются нормативно-правовыми актами, положениями, учредительными или иными документами, регламентирующими деятельность собственника и (или) оператора, и должны соответствовать Закону.
Цели обработки персональных данных должны соответствовать целям, ранее заявленным при их сборе, а также правам и обязанностям собственника и (или) оператора.
В случае изменения цели обработки персональных данных собственник и (или) оператор должны получить согласие субъекта на обработку его данных в соответствии с измененной целью.
Персональные данные должны быть точными и достоверными, а в случае необходимости — изменяться и дополняться.
Объем персональных данных, который может быть включен в базу персональных данных, определяется субъектом в соответствии с Законом.
Объем и характер обрабатываемых персональных данных должны соответствовать целям и способам их обработки.
Персональные данные обрабатываются в форме, допускающей идентификацию субъекта или в обезличенном виде.
Срок обработки персональных данных не должен превышать срок, в течение которого действует согласие субъекта на обработку его персональных данных.
4. Согласие на обработку персональных данных и его отзыв
Субъект дает согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт его получения.
Для обработки специальных персональных данных требуется согласие субъекта в письменной форме, в том числе в виде электронного документа.
В случае недееспособности или ограничения дееспособности субъекта письменное согласие, в том числе в виде электронного документа, на обработку его персональных данных дает его законный представитель.
За несовершеннолетних субъектов согласие на обработку их персональных данных в письменной форме, в том числе в виде электронного документа, дают родители (опекуны, попечители), а в случае их отсутствия — органы опеки и попечительства.
В случае смерти субъекта согласие на обработку его персональных данных в письменной форме, в том числе в виде электронного документа, дают его наследники, если такое согласие ранее не было дано субъектом при его жизни.
Обработка персональных данных субъекта, объявленного судом умершим, признанного судом безвестно отсутствующим, осуществляется с согласия наследников, данного в письменной форме, в том числе в виде электронного документа.
Субъект отзывает согласие на обработку персональных данных в той форме, в какой данное согласие было дано, либо в письменной форме, в том числе в виде электронного документа.
5. Права субъекта персональных данных
Субъект имеет право на получение информации, касающейся обработки его персональных данных, содержащей:
- подтверждение факта обработки персональных данных; основания и цели обработки персональных данных
- применяемые способы обработки персональных данных
- наименование собственника и (или) оператора и место их (его) нахождения (почтовый адрес), сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора, заключенного с собственником и (или) оператором, или на основании закона
- состав обрабатываемых персональных данных, относящихся к соответствующему субъекту, источник их получения, если иной порядок предоставления таких данных не предусмотрен Законом
- сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом прав
- информацию об осуществленной или предполагаемой трансграничной передаче персональных данных
Право субъекта на получение информации, касающейся обработки его персональных данных, может быть ограничено в случаях, когда предоставление такой информации нарушает права и законные интересы других лиц.
Порядок предоставления информации, касающейся обработки персональных данных субъекта, третьему лицу определяется условиями согласия субъекта на обработку персональных данных.
Собственник и (или) оператор освобождаются от обязанности предоставления информации субъекту, касающейся обработки его персональных данных, в случаях, если:
- субъект ранее был уведомлен об осуществлении обработки его персональных данных
- персональные данные сделаны субъектом общедоступными или получены из общедоступного источника
- предоставление такой информации приведет к нарушению прав и законных интересов физических и юридических лиц
Уведомление об отказе в предоставлении информации, касающейся обработки персональных данных, направляется подавшему запрос субъекту в письменной форме в течение десяти дней.
Решение об отказе в предоставлении информации, касающейся обработки персональных данных, может быть обжаловано субъектом в уполномоченный государственный орган или суд.
Субъект персональных данных имеет право:
- знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных и их состав
- получать по запросу информацию об обработке персональных данных от собственника и (или) оператора
- получать информацию об условиях предоставления доступа к своим персональным данным от собственника и (или) оператора
- обращаться по вопросам защиты прав и законных интересов в отношении своих персональных данных в уполномоченный государственный орган или суд
- дать согласие на обработку своих персональных данных и отозвать такое согласие, кроме случаев, предусмотренных Законом
- дать согласие собственнику и (или) оператору, а также третьему лицу на распространение своих персональных данных в общедоступных источниках персональных данных
- требовать от собственника и (или) оператора временного приостановления обработки своих персональных данных, в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для целей обработки
6. Обязанности оператора
Собственник и (или) оператор имеют право осуществлять обработку персональных данных.
Собственник и (или) оператор обязаны:
- соблюдать законодательство о персональных данных
- предоставлять по обращению субъекта информацию касательно обработки его персональных данных
- утверждать состав персональных данных, необходимый и достаточный для выполнения ими задач
- принимать меры по уничтожению персональных данных в случае достижения цели их обработки, а также в иных случаях, установленных Законом
- представлять доказательство получения согласия субъекта на обработку его персональных данных в случаях, предусмотренных законодательством
- изменить и (или) дополнить персональные данные при условии документального подтверждения достоверности новых данных или уничтожить их при невозможности внесения таких изменений и (или) дополнений
- временно приостанавливать обработку или уничтожать персональные данные в случае наличия информации о нарушении условий их обработки
- обеспечить возможность подачи субъектом документов в электронном виде на временное приостановление обработки и (или) уничтожение его персональных данных
- уведомить в письменной форме субъекта, а также других участников обработки персональных данных в случаях изменения, уничтожения персональных данных и ограничения доступа к ним
- уведомить в письменной форме субъекта в случае передачи персональных данных третьему лицу
- зарегистрировать находящиеся в собственности и (или) обрабатываемые базы персональных данных
- принимать необходимые правовые, организационные и технические меры по защите персональных данных
Собственник и (или) оператор вправе поручить обработку персональных данных третьему лицу в случаях:
- наличия согласия субъекта в письменной форме, в том числе в виде электронного документа
- если решение принимается во исполнение договора между собственником и субъектом или выполнения условий ранее заключенного договора
- предусмотренных законодательством
Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
Собственник и (или) оператор определяет структурное подразделение или должностное лицо, ответственное за работу, связанную с обработкой и защитой персональных данных, и обеспечивает его работу в соответствии с Типовым порядком обработки персональных данных.
7. Защита персональных данных
Собственник и (или) оператор, а также третье лицо принимают правовые, организационные и технические меры по защите персональных данных, обеспечивающие:
- реализацию права субъекта на защиту от вмешательства в его частную жизнь
- целостность и сохранность персональных данных
- соблюдение конфиденциальности персональных данных
- предотвращение незаконной обработки персональных данных
