 |
IX. Основные требования, предъявляемые к обработке, передаче и хранению персональных данных
|
|
|
|
В целях обеспечения прав и свобод человека и гражданина оператором соблюдаются следующие требования:
Оператор осуществляет обработку персональных данных субъектов персональных данных в случаях, установленных законодательством Российской Федерации. Одним из таких случаев является предоставление субъектом персональных данных согласия на обработку персональных данных. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Все персональные данные субъекта персональных данных получают у него самого. Если такие данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Согласие на обработку его персональных данных должно включать в себя:
– Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате его выдачи и выдавшем его органе.
– Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).
– Наименование и адрес оператора.
– Цель обработки персональных данных.
– Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
– Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.
|
|
|
– Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных.
– Срок, в течение которого действует согласие, а также порядок его отзыва, если иное не установлено федеральным законом.
– Подпись[1] субъекта персональных данных.
Согласие должно быть конкретным, информированным и сознательным.
Согласие субъекта персональных данных может быть оформлено как в виде отдельного документа, так и закреплено в тексте договора или иного соглашения, и при этом оно должно отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Федерального закона Российской Федерации от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
Для обработки персональных данных, содержащихся в согласии субъекта персональных данных на обработку его персональных данных, дополнительного согласия не требуется.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных даёт его законный представитель.
В случае его смерти согласие на обработку его персональных данных дают в письменной форме его наследники, если такое согласие не было им при его жизни.
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Оператор вправе обрабатывать персональные данные без согласия субъекта персональных данных (или при его отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 г. № 152 — ФЗ «О персональных данных».При определении объёма и содержания обрабатываемых персональных данных субъекта персональных данных, оператор руководствуется Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации и иными федеральными законами.Оператор вправе получать и обрабатывать персональные данные субъекта персональных данных, отнесенных к специальной категории персональных данных: о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, частной жизни в случаях, установленных действующим законодательством Российской Федерации. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации, работодатель (оператор) вправе получать и обрабатывать данные о частной жизни работника с его письменного согласия. Оператор не имеет права получать и обрабатывать персональные данные о членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами. Оператором не принимаются решения на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается оператором за свой счет, в порядке, установленном действующим законодательством Российской Федерации.Оператором обеспечивается конфиденциальность персональных данных: не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.Оператором не используются персональные данные в целях причинения материального ущерба и морального вреда их субъекту, ущемления его прав и законных интересов.Оператор не требует от гражданина предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получение такой информации помимо воли гражданина, если иное не предусмотрено федеральными законами. В целях информационного обеспечения оператором создаются общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
|
|
|
|
|
|
В соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 152 — ФЗ «О персональных данных» персональные данные субъекта персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по его требованию либо по решению суда или иных уполномоченных государственных органов.
Оператор не обрабатывает сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются для установления [ТТВ1] личности субъекта персональных данных.
В случае необходимости обработки биометрических персональных данных – такая обработка должна осуществляться оператором только с письменного согласия субъекта, за исключением случаев, предусмотренных ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 г. № 152 – ФЗ «О персональных данных».
В случае принятия решения оператором о трансграничной передаче персональных данных субъектов персональных данных, такие данные могут обрабатываться оператором только в случаях и с соблюдением требований, установленных статьи 12 Федерального закона Российской Федерации от 27.07.2006 г. № 152 – ФЗ «О персональных данных».Оператор вправе поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее поручение оператора).
|
|
|
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим федеральным законом.
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона Российской Федерации от 27.07.2006 г. № 152 «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несёт оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несёт ответственность перед оператором.
Передача персональных данных третьим лицам осуществляется только с согласия субъекта персональных данных либо в случаях, установленных федеральными законами, напр., в целях предупреждения угрозы жизни и здоровью.
По мотивированному запросу (исключительно для выполнения возложенных действующим законодательством Российской Федерации функций и полномочий на оператора) персональные данные субъекта персональных данных без его согласия могут быть переданы: в судебные органы в связи с осуществлением правосудия, в органы государственной безопасности, в органы прокуратуры, в органы полиции, в следственные органы, в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
Сроки обработки персональных данных определяются в зависимости от категории субъекта персональных данных и устанавливаются в соответствии с федеральными законами и нормативно-правовыми актами Российской Федерации (напр., «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным Приказом Минкультуры России от 25.08.2010 г. № 558 и т. п.), а также с учетом условий договора, стороной которого выгодоприобретателем или поручителем по которому является субъект персональных данных, сроком исковой давности, иными требованиями действующего законодательства Российской Федерации.
|
|
|
