роскомнадзор
Роскомнадзор является уполномоченным федеральным органом исполнительной власти, осуществляющим во внесудебном порядке ограничение доступа к информации в сети Интернет в порядке и на основании статей 15.1 и 15.3 Федерального закона от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации».
К основаниям для ограничения доступа, определённым этими нормами, относится распространение:
- материалов с порнографическими изображениями несовершеннолетних (на основании решения Роскомнадзора);
- информации о способах изготовления, использования и культивирования наркотических средств, психотропных веществ и их прекурсоров (на основании решения МВД России);
- информации о способах совершения самоубийств, призывов к совершению самоубийства (на основании решения Роспотребнадзора);
- информации с призывами к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка (на основании требования генерального прокурора Российской Федерации или его заместителей).
Ограничение доступа к сайтам в соответствии со статьей 15.1 Федерального закона №149-ФЗ осуществляется также на основании решения суда о признании информации, содержащейся на интернет-ресурсе, запрещенной к распространению на территории Российской Федерации.
Суицидальный контент, детская порнография, наркотики
Роскомнадзор проверяет жалобы на сайты (веб-страницы) и, если признаёт их обоснованным, вносит адрес ресурса-нарушителя в чёрный список, после чего доступ блокируется автоматически: операторы обязаны постоянно сверяться с реестром запрещённых сайтов и отклонять запросы абонентов на доступ к ним.
Контроль за исполнением операторами связи требований о блокировках сайтов-нарушителей
3,7 тысячи операторов авторизованы в информационной системе Роскомнадзора.
В 2016 году операторов, не обеспечивавших ограничение доступа к запрещённым ресурсам, было более тысячи. В 2017 году их осталось около 60 – 1,6% от общего количества действующих операторов связи.
Источник – «Роскомнадзор”.
Жалобу в Роскомнадзор на содержимое сайта можно подать .
По данным ведомства, в 2017 году 62 тысячи сайтов или страниц сайтов с противоправной информацией были заблокированы таким образом.
Со 112 тысяч сайтов или страниц сайтов противоправная информация добровольно удалена владельцами после уведомлений Роскомнадзора.
Более 48 тысяч интернет-страниц с суицидальным контентом, детской порнографией, запрещённой информацией о наркотиках удалено или заблокировано соцсетью «ВКонтакте» самостоятельно. Помимо этого российские соцсети самостоятельно ограничили доступ к ещё более чем 57 тысячам веб-страниц.
Также Роскомнадзор отмечает необходимость внесудебной блокировки других видов информации, распространяемой в Интернете. Рабочая группа специалистов, сформированная Роскомнадзором, готовит предложения по оперативной блокировке «колумбайн-сообществ» (культивирующих среди подростков школьное насилие. – ред.) и сайтов, пропагандирующих жестокое обращение с животными.
Экстремистская информация и пропаганда терроризма
Сайты с призывами к экстремизму в России стали блокировать без решения суда с 1 февраля 2014 года.
Генпрокуратура, получив и проверив информацию об экстремистском веб-ресурсе, после принятия решения информирует Роскомнадзор, сайт попадает в реестр запрещённых и блокируется обычным порядком.
Также в 2017 году Роскомнадзором по требованию Генпрокуратуры выявлено более 86 тысяч «веб-зеркал» экстремистских ресурсов.
Какой контент считается экстремистским
Под определение «экстремистский» подпадают интернет-ресурсы, призывающие к экстремизму, к массовым беспорядкам, к несанкционированным митингам, а также информационные ресурсы зарубежных организаций, признанных в России нежелательными.
Борьба с пиратами
С 1 мая 2015 «антипиратские» нормы федерального закона «Об информации, информационных технологиях и о защите информации» и IV части Гражданского кодекса распространились на книги, музыку и программное обеспечение, а не только на фильмы, как это было ранее. Решения об ограничении доступа к пиратским интернет-ресурсам принимает Мосгорсуд.
Доступ к сайту могут заблокировать навсегда, если он систематически нарушает право интеллектуальной собственности.
Из числа охраняемых объектов авторских прав пока исключены «фотографические произведения и произведения, полученные способами, аналогичными фотографии».
Сообщить в Роскомнадзор о пиратском ресурсе можно .
В 2017 году более 3,5 тысячи сайтов удалили пиратские копии художественных произведений. Более 300 пиратских ресурсов блокированы.
Источник – «Роскомнадзор”.
По оценке РКН, в 2017 году отечественные фильмы в кинотеатрах посмотрели 54,7 миллиона зрителей. Это на 55,4% больше, чем в 2016 году. Ведомство считает, что рост числа зрителей связан с подавлением распространения в Интернете пиратских копий фильмов.
Источник – «Роскомнадзор”.
С 1 октября 2017 года вступил в силу внесудебный порядок ограничения доступа к веб-зеркалам пиратских сайтов, заблокированных навсегда. Решения о признании сайта копией пиратского интернет-ресурса принимаются в Минкомсвязи России, после чего операторы связи обязаны ограничить доступ к данным сайтам на территории Российской Федерации, а поисковые сервисы — убрать сведения об этих сайтах из поисковой выдачи.
Благодаря этим законодательным нормам в борьбе с пиратством в Интернете навсегда заблокированы более 700 крупнейших пиратских сайтов и более 600 их «зеркал», сообщает Роскомнадзор.
На что еще можно пожаловаться в Роскомнадзор
Также в Роскомнадзор можно обратиться с жалобами на материалы порнографического характера (кроме детской порнографии); размещение на сайте сведений, порочащих честь, достоинство или деловую репутацию заявителя; вредную для детей информацию.
Владельцы ресурсов имеют возможность уточнить основания блокировки сайта и подать заявку о разблокировке интернет-ресурса (zapret-info@rkn.gov.ru).
Защита прав субъектов персональных данных
Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных (ПД) и ведет реестр операторов ПД, а также реестр нарушителей прав субъектов ПД.
Факт нарушения законодательства в области ПД должен быть установлен вступившим в законную силу решением суда. Поэтому субъектам персональных данных предлагается следующая схема защиты нарушенных прав в Интернете:
- Обратиться к владельцу сайта, на котором размещена информация, нарушающая права субъектов персональных данных, с запросом об удалении незаконно размещённой информации.
- Если владелец сайта не удалил эту информацию, следует обратиться в суд.
- Если суд удовлетворил иск, вступления решения суда в силу – обратиться в Роскомнадзор, заполнив специальную форму.
По данным Роскомнадзора, в связи с нарушением законодательства о ПД в 2017 году заблокировано 176 интернет-ресурсов:
- несколько десятков адресно-телефонных справочников, которые предоставляли доступ к личным данным 2/3 более 100 миллионов человек;
- сайт, разместивший более 11 тысяч обращений (с персональными данными) граждан в государственные органы Российской Федерации.
Также выявляются поддельные сайты «кандидатов на выборные должности», незаконно собирающие персональные данные граждан.
Регулирование VPN-сервисов, анонимайзеров и операторов поисковых систем
С 1 ноября 2017 года в России вступили в силу поправки в федеральный закон «Об информации, информационных технологиях и о защите информации», которые определяют обязанности для владельцев VPN-сервисов и анонимайзеров, а также операторов поисковых систем по ограничению доступа к информации, распространение которой в России запрещено.
Владельцы таких сервисов обязаны подключиться к федеральной государственной информационной системе (ФГИС) запрещённых сайтов и блокировать ресурсы, доступ к которым ограничен на территории Российской Федерации.
VPN-сервисы и анонимайзеры, не подключившиеся к ФГИС, блокируются операторами связи по указанию Роскомнадзора.
Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»
(11 kb)
- Персональные данные, принципы и условия их обработки
- Конфиденциальность при обработке персональных данных
- Права субъекта персональных данных
- Обязанности оператора
26 января 2007 года вступает в силу Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон), устанавливающий критерии законности действий, связанных с обработкой персональных данных, а также пределы ограничения прав субъектов персональных данных в связи с обеспечением общественных интересов, безопасности государства и общества. Следует отметить, что действие Закона не распространяется на отношения, возникающие: при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов; при обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, в связи с их деятельностью в качестве индивидуального предпринимателя; а также при обработке персональных данных, отнесенных к сведениям, составляющим государственную тайну (часть 2 статьи 1 Закона).
Персональные данные, принципы и условия их обработки
Персональные данные представляют собой любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилию, имя и отчество, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и другую информацию.
Как заявлено в самом Законе, его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Обработка персональных данных заключается в совершении операций с персональными данными, в том числе их сбор, систематизацию, накопление, хранение, использование, распространение, уничтожение и прочее.
Обработка осуществляется оператором, то есть государственным или муниципальным органом, юридическим или физическим лицом. Помимо организации и непосредственно обработки персональных данных, операторы определяют цели и содержание обработки.
При обработке персональных данных операторы должны руководствоваться рядом принципов. В частности, цели и способы обработки должны быть законными и соответствовать целям, заранее заявленным при сборе персональных данных. Объем и характер обрабатываемых данных должен соответствовать целям их обработки. Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при их сборе, а также объединение созданных для несовместимых между собой целей баз данных информационных систем персональных данных. Законом установлено, что обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных. Однако в отдельных случаях согласия субъекта на обработку не требуется. К ним относятся:
1) обработка персональных данных на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных для статистических или иных научных целей при условии их обязательного обезличивания;
4) обработка персональных данных для защиты жизни, здоровья или иных жизненно важных интересов самого субъекта, если получение его согласия невозможно;
5) обработка персональных данных для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Конфиденциальность при обработке персональных данных
Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. Конфиденциальность не требуется при обезличивании персональных данных либо их общедоступности. К общедоступным относятся источники персональных данных, созданные в целях информационного обеспечения (например, справочники, адресные книги). В них, с письменного согласия субъекта персональных данных, могут включаться его фамилия, имя и отчество, год и место рождения, адрес, абонентский номер и иные, предоставленные им персональные данные. Указанные сведения могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных, а также дает согласие на их обработку своей волей и в своем интересе. В случае недееспособности субъекта согласие на обработку его данных дает в письменной форме его законный представитель. В случае смерти согласие на обработку персональных данных субъекта дают в письменной форме его наследники, если такое согласие не было дано самим субъектом при его жизни. Обязательное предоставление субъектом своих персональных данных предусматривается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Закон запрещает обработку специальных категорий персональных данных, относящихся к расовой, национальной принадлежности, политическим взглядам, религиозным или философским убеждениям, состоянию здоровья, интимной жизни. Однако обработка таких категорий персональных данных в ряде случаев допускается. Например, персональные данные являются общедоступными; субъект в письменной форме дал согласие на их обработку; в медико-профилактических целях, в целях установления медицинского диагноза при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну; в связи с осуществлением правосудия; в соответствии с уголовно-исполнительным законодательством либо оперативно-розыскной деятельностью и прочее (часть 2 статьи 10 Закона). Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством РФ, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия субъекта персональных данных в письменной форме. Однако в связи с осуществлением правосудия, уголовно-исполнительным законодательством РФ, в случаях, предусмотренных законодательством РФ о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, согласия субъекта на обработку биометрических персональных данных не требуется.
Закон устанавливает возможность осуществления трансграничной передачи персональных данных, то есть их передачу оператором через Государственную границу РФ органу власти либо физическому или юридическому лицу иностранного государства. При этом до начала трансграничной передачи оператор должен убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных субъекта, обеспечивается адекватная защита его прав. В противном случае трансграничная передача может осуществляться, в частности, при наличии согласия субъекта персональных данных в письменной форме; в целях защиты основ конституционного строя РФ, обеспечения обороны страны и безопасности государства; в соответствии с международными договорами РФ об оказании правовой помощи по гражданским, семейным и уголовным делам (часть 3 статьи 12 Закона).
Права субъекта персональных данных
Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки данных оператором, а также цель такой обработки;
2) способы обработки, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки их обработки и хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Право субъекта на доступ к своим персональным данным может быть ограничено, если:
— обработка персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
— обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими ему обвинение по уголовному делу, либо применившими к нему меру пресечения до предъявления обвинения (в ряде предусмотренных уголовно-процессуальным законодательством РФ случаев допускается ознакомление подозреваемого или обвиняемого с такими персональными данными);
— предоставление персональных данных нарушает конституционные права и свободы других лиц. Законом устанавливается запрет на обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации без получения предварительного согласия субъекта. Данная обработка будет считаться осуществляемой без предварительного согласия до тех пор, пока оператор не докажет обратное.
Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушениями или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие оператора. Субъект имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Обязанности оператора
В случае обращения субъекта персональных данных или его законного представителя к оператору о наличии персональных данных, относящихся к соответствующему субъекту, оператор обязан сообщить необходимую информацию и предоставить возможность ознакомления с ней непосредственно при обращении либо в течение десяти рабочих дней с даты получения соответствующего запроса.
Оператор обязан безвозмездно предоставлять субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, а также вносить в них необходимые изменения.
Законом установлено, что оператор обязан уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
В случае выявления неправомерных действий с персональными данными в обязанности оператора входит устранение допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления. Если нарушения устранить невозможно, то оператор в указанный срок обязан уничтожить персональные данные. Обо всех предпринятых им действиях оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, — также указанный орган.
Если цель обработки персональных данных была достигнута, оператор обязан незамедлительно прекратить их обработку и уничтожить в срок, не превышающий трех рабочих дней с даты достижения цели обработки. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить их обработку и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
О своем намерении осуществить обработку персональных данных оператор обязан уведомлять уполномоченный орган по защите прав субъектов персональных данных (согласно Закону, таким органом является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи). Уведомление должно быть направлено в письменной или электронной форме и подписано уполномоченным лицом либо электронной цифровой подписью.
Однако Законом устанавливаются случаи, при которых допускается обработка персональных данных без уведомления уполномоченного органа. К ним, в частности, относится обработка данных, относящихся к субъектам, которых связывают с оператором трудовые отношения; являющихся общедоступными; включающих в себя только фамилии, имена и отчества субъектов персональных данных; необходимых в целях однократного пропуска на территорию, на которой находится оператор или в иных аналогичных целях и прочее (часть 2 статьи 22 Закона). В заключение следует отметить, что информационные системы персональных данных, созданные до дня вступления в силу Закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.
Осуществлявшие и осуществляющие обработку персональных данных операторы не позднее 1 января 2008 года обязаны направить в уполномоченный орган по защите прав субъектов установленное Законом уведомление об обработке.
Документы, являющиеся героями текущего обзора — Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» можно скачать, кликнув на выделенную часть текста (). Обращаем внимание, что закон начинает действовать 26 января 2007 года.
Инструкция по разархивации находится .
Обсудить в форуме.
(По материалам аналитических обзоров, подготовленного компанией КонсультантПлюс )
Обработка персональных данных физических лиц
В последнее время тема использования и защиты персональных данных физических лиц приобрела особую актуальность. Как известно, не так давно Украина ратифицировала Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к этой Конвенции относительно органов надзора и трансграничных потоков данных.
Выполняя принятые обязательства, с целью адаптации украинского законодательства к международным нормам, 1 июня 2010 года Верховная Рада Украины приняла Закон Украины «О защите персональных данных» № 2297-VI (далее – Закон № 2297-VI). Данный Закон вступил в силу с 1 января 2011 года и практически с этого момента стали формироваться государственные органы, которые уполномочены осуществлять регистрационные процедуры и контроль в данной сфере. В настоящий момент такие полномочия получила Государственная служба Украины по вопросам защиты персональных данных (далее – Служба). К функциям Службы относятся регистрация баз персональных данных, ведение Государственного реестра баз персональных данных, а также контроль в данной сфере. С начала июля 2011 года Служба начала активную деятельность.
Базы персональных данных физических лиц в медицинских и оздоровительных учреждениях, аптеках и салонах красоты, гостиниц, а также других субъектов хозяйствования
В соответствии с действующим законодательством персональными данными является любая информация о физическом лице, которая позволяет его идентифицировать, в частности об: имени, дате и месте рождения, месте работы и проживания, образовании и т.д. Персональными данными также могут быть сведения о: национальности, образовании, семейном положении, религиозности, состоянии здоровья и др. Кроме того, согласно решению Конституционного Суда Украины от 30 октября 1997 № 5-зп к персональным данным также относятся данные об имущественном состоянии и медицинская информация (информация о состоянии здоровья, в т.ч. из истории болезни).
В соответствии с Законом № 2297-VI объектами защиты являются лишь те персональные данные, которые обрабатываются и вносятся в базу персональных данных.
Статьей 2 указанного Закона определено, что база персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Поэтому базы пациентов и медицинские карточки последних в медицинских и оздоровительных учреждениях и у частнопрактикующих врачей, базы и карточки клиентов салонов красоты, аптек и иные подобные клиентские базы других субъектов хозяйствования являются базами персональных данных. Причем, следует отметить, что как минимум одна база персональных данных физических лиц есть у каждого работодателя. Это база наемных работников, которая формируется при оформлении их кадровых дел.
Говоря о базах персональных данных, возникает вопрос о том, из какого минимального количества лиц может состоять База персональных данных. Отвечая на этот вопрос необходимо учитывать два важных момента. Во-первых, база персональных данных – это совокупность сведений о физических лицах. То есть, формально это могут быть сведения даже о двух физических лицах. Во-вторых, персональные данные даже одного физического лица уже должны охраняться. Поэтому специалисты Службы советуют регистрировать Базы персональных данных, начиная с появления первого лица в этой базе. В ближайшее время планируется внести изменения в Закон № 2297-VI, в соответствии с которыми юридические лица и физические лица–предприниматели должны будут регистрировать Базы персональных данных еще до создания такой базы и внесения первых данных.
Баз персональных данных на одном предприятии или в организации может быть несколько. Нередко одни и те же данные дублируются в электронном и бумажном виде (например, картотека). Однако, если цель обработки сведений, которые обрабатываются в электронном виде и в виде картотек, одна и та же, то это и будет одна база данных. Просто способ обработки данных в данном случае смешанный.
Владельцами базы персональных данных являются физические или юридические лица, которым законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не установлено Законом.
В соответствии с Законом № 2297-VI все субъекты, которые обрабатывают, вносят в базы или используют персональные данные физических лиц, должны регистрировать такие базы персональных данных в установленном законом порядке.
Процедура регистрации базы персональных данных
Существующая сегодня процедура регистрации баз персональных данных не предполагает передачу в специально уполномоченный государственный орган (Службу) персональных данных физических лиц, которые были переданы последними тем или иным предприятиям, организациям или физическим лицам. Фактически в Службу передаются лишь общие данные о такой базе (картотеке) в частности информация о: цели сбора информации, предполагаемом количестве лиц, которые предоставили (или могут предоставить в будущем) такую информацию, каким образом персональная информация будет храниться, может ли она передаваться третьим лицам и др. Такие сведения указываются в заявлении установленного образца. Форма такого заявления предполагает довольно подробную информацию не только о самой базе, но и о лицах, ответственных за сбор, обработку, хранение и выдачу таких данных.
Зарегистрировать базу персональных данных можно как лично, так и через представителя (документы необходимо подавать непосредственно в Службу, которая находиться в г. Киеве). На первый взгляд, процедура не сложная, однако уже сегодня около 20% заявителей уже получили отказ в регистрации баз персональных данных. Отправка заявлений на регистрацию БПД возможна и по почте, в т.ч. заказным письмом.
Государственный контроль над соблюдением норм законодательства о защите персональных данных
В соответствии с Законом № 2297-VI специально уполномоченным государственным органом по вопросам защиты персональных данных физических лиц является именно Государственная служба Украины по вопросам защиты персональных данных. Указом Президента Украины от 6 апреля 2011 года № 390/2011 было утверждено Положение о Государственной службе Украины по вопросам защиты персональных данных (далее — Положение). В соответствии с Положением деятельность Службы направляется и координируется Кабинетом Министров Украины через министра юстиции Украины. Как уже упоминалось, в число полномочий Службы входит и контроль над соблюдением требований соответствующего законодательства по защите персональных данных.
В составе Службы уже действует Отдел контроля над соблюдением законодательства о защите персональных данных (далее – Отдел контроля). Это подразделение уполномочено проводить плановые и внеплановые проверки предприятий, организаций, физических лиц-предпринимателей и по их результатами давать предписания об устранении нарушений, а также налагать штрафные санкции на нарушителей.
С 1 июля 2012 года полномочия у Отдела контроля существенно расширены, а к нарушителям будут применяться санкции как административного, так и уголовного характера.
Юридическая ответственность за нарушения законодательства в сфере защиты персональных данных
Какое же наказание ожидает нарушителей законодательства о защите персональных данных физических лиц? Ответ на этот вопрос указан в Законе Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI. Данный закон установил довольно серьезные санкции административной и уголовной ответственности, которые указаны в новых статьях Кодекса Украины об административных правонарушениях (188-39 и 188-40 КоАП) и в измененной ст. 182 Уголовного кодекса Украины (далее – УК Украины).
13 января 2012 года Верховной Радой Украины был принят новый Закон, которым вступление в силу норм об ответсвенности за нарушение законодательства о защите персональных данных было перенесено на 1 июля 2012. С этой даты в Украине уже применяются санкции за правонарушения и преступления, связанные с персональными данными физических лиц.
В соответствии со ст. 188-39 КоАП несообщение или несвоевременное сообщение субъекту персональных данных об его правах в связи с включением его персональных данных в базу персональных данных, или цели сбора этих данных и лиц, которым эти данные передаются, – влекут за собой наложение штрафа на должностные лица, граждан-субъектов предпринимательской деятельности – от трехсот до четырехсот (от 5100 грн. до 6800 грн.) необлагаемых минимумов доходов граждан (НМДГ). То есть, физическое лицо должно ОБЯЗАТЕЛЬНО подписать письменное согласие на включение обработку его данных в базу. Причем в медучреждении или салоне это касается не только пациентов (клиентов), но и нанятых сотрудников предприятия, организации или физического лица-предпринимателя, если они трудоустроены после 1 января 2011 года.
Уклонение от государственной регистрации базы персональных данных – влечет за собой наложение штрафа на должностные лица, граждан-субъектов предпринимательской деятельности – от пятисот до тысячи НМДГ (от 8500 до 17000 грн.).
Несоблюдение установленного законодательством порядка защиты персональных данных в базе персональных данных, которое привело к незаконному доступу к ним, влечет за собой наложение штрафа от трехсот до тысячи НМДГ (от 5100 до 17000 грн.).
Статья 182 УК Украины предусматривает уголовную ответственность, в т.ч. санкции в виде ограничения или лишения свободы за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о личности.
Учитывая столь серьезные санкции субъектам хозяйствования всех форм собственности рекомендуется обязательно зарегистрировать базы персональных данных. Причем следует помнить, что на предприятии может быть несколько таких баз.
Как правильно организовать работу с персональными данными физических лиц на предприятии или в организации
Если на предприятии или в организации собираются и обрабатываются персональные данные физических лиц, то они обязаны соблюдать требования, указанные в Законе № 2297-VI. Для этого необходимо не только зарегистрировать базу персональных данных. Еще до регистрации базы необходимо установить цель обработки входящих в нее данных, назначить ответственное лицо, на которое возложить обязанности относительно обеспечения защиты персональных данных, обеспечить получение в письменной форме согласия от физических лиц на обработку их персональных данных. Пока нормативно четко не установлены требования к таким процедурам, каждый субъект самостоятельно определяет, что именно нужно сделать для того, чтобы привести свои базы персональных данных в соответствие с действующим законодательством.
Статья 24 Закона № 2297-VI определяет, что государство гарантирует защиту персональных данных. Все субъекты правоотношений, связанных с персональными данными, обязаны обеспечить защиту таких данных от незаконной обработки, и также от незаконного доступа к ним. Причем обеспечение защиты таких данных в базе персональных данных полагается на владельца этой базы.
Специалисты Службы для обеспечения защиты на предприятии (в организации) персональных данных рекомендуют оформить ряд документов, в частности таких как: Положение о базах персональных данных, Приказ о создании Базы персональных данных, Приказ о назначении ответственного лица, Должностную инструкцию ответственного лица, Положение о конфиденциальной информации, Соглашение о неразглашении конфиденциальной информации и др.
Если Вам необходима помощь по оформлению и подаче заявления о регистрации Баз персональных данных, разработке пакета необходимых документов по их защите или Вы хотите получить квалифицированную консультацию, – обращайтесь к специалистам ЮК «Центра медицинского и фармацевтического права».
Тел.: +380 50 691 85 76; + 380 (44) 585 06 31 — Центральный офис в Киеве
Если вы не смогли дозвониться, заполните, пожалуйста, форму обратной связи:
ОБРАТИТЕ ВНИМАНИЕ!
ЮК «Центр медицинского и фармацевтического права» НЕ ЯВЛЯЕТСЯ подразделением или представителем Государственной службы Украины по вопросам защиты персональных данных или связанным каким-либо способом с нею лицом! Мы предлагаем платные юридические услуги по правильному оформлению и подаче заявления на регистрацию БПД и консультации. Поэтому мы не берем на себя обязательства по ускорению получения бланка Свидетельства о регистрации БПД!
К СВЕДЕНИЮ!
В 5 номере журнала «Медицинская практика: организационные и правовые аспекты» было напечатано эксклюзивное интервью с Председателем Государственной службы Украины по вопросам защиты персональных данных Алексеем Мервинским, в котором рассказано об основных положениях Закона № 2297-VI и особенностях деятельности органа, который он возглавляет.
В настоящее время Государственная служба в связи с огромным количеством поданных заявок значительно задерживает сроки оформления Свидетельств. Пока еще не выданы Свидетельства по заявкам, поданным в декабре 2011 г.
Пункт 1 части 1 статьи 6 Закона о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 Закона о персональных данных.
К таким случаям, в частности, относится:
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Другие вопросы по теме
- Кто может являться оператором персональных данных?
- В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
- Каким образом можно отозвать согласие на обработку персональных данных?
- Какие действия могут быть предприняты субъектом персональных данных при нарушениях требований законодательства Российской Федерации в области персональных данных?