1. В статье 11 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» упоминается такой термин как биометрические данные. Каким образом осуществляется их обработка?

Статья 11 Федерального закона «О персональных данных» дает биометрическим данным следующее определение – это сведения, которые характеризуют физиологические особенности человека (рост, вес, цвет волос, группа крови, сведения об отпечатках пальцев и иные данные, позволяющие идентифицировать личность и т.д.). Биометрические данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных (на основании ч.1 ст. 11 Федерального Закона), за исключением случаев, предусмотренных ч.2 ст.11 Федерального закона, которая предусматривает обработку биометрических данных без согласия субъекта.

2. Какие отношения, связанные с персональными данными не подпадают под действие Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»?

В соответствии с п.2 ст. 1 Федерального закона – это отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных (например, в генеалогических целях);

2) организации хранения, комплектования, учета и использования, содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

3. Кто должен запрашивать о согласии работников предприятия на обработку персональных данных при их передаче для обработки другому оператору?

В соответствии с п.3 ст. 9 Федерального закона «О персональных данных», обязанность предоставления доказательств получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

В данном случае, получить согласие работника на передачу его персональных данных для обработки другому оператору, должна администрация предприятия, на котором работает субъект персональных данных, то есть сам работник.

4. Какая ответственность предусмотрена за нарушение оператором требований Федерального закона «О персональных данных»?

Ст. 24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.

Административная ответственность за нарушение настоящего Федерального закона наступает за:

- неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ).

- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных (ст. 13.11 КоАП РФ);

- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП);

- непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7. КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.

5. Является ли веб-сайт информационной системой обработки персональных данных?

Веб-сайт, являясь информационной системой, может осуществлять обработку различной информации, в том числе персональных данных субъекта. Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» одним из отличительных признаков информационной системы персональных данных (ИСПДн) является содержащаяся в базах данных совокупность персональных данных. Если веб-сайт фактически осуществляет обработку персональных данных, то он является ИСПДн или элементом ИСПДн.

6. Как документально оформить факт уничтожения персональных данных субъекта?

Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией  либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.

7. Что такое место нахождения базы данных информации? Что требуется указать в сведениях об Операторе, чтобы соблюдались требования Федерального закона от 21.07.2014 № 242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». 

Согласно п. 10.1 ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» уведомление о намерении осуществлять обработку персональных данных (далее – Уведомление) должно содержать сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации. Сведения о месте нахождения базы данных включают в себя: наименование страны, города, улицы и номер дома.

Оператором при заполнении Уведомления или информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных (далее – Информационное письмо) указываются как место нахождения автоматизированных систем персональных данных, так и систематизированных массивов материальных носителей, содержащих персональные данные. Данные формы предусматривают указание наличия собственных технических средств хранения базы данных (ЦОД) или указание организации, с которой заключен договор (оферта) по размещению сайта/хранению базы данных.

Согласно комментариям к Федеральному закону от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», размещённым по адресу http://pd.rkn.gov.ru/library/p195/, база данных – это упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Так, например, базой данных можно считать таблицу в формате Excel, Word, в которой содержатся персональные данные граждан.

Время публикации: 15.02.2011 08:07
Последнее изменение: 25.08.2017 07:05