Главная
152 фз статья 6: Статья 6. Условия обработки персональных данных \ КонсультантПлюс

152 фз статья 6: Статья 6. Условия обработки персональных данных \ КонсультантПлюс

Содержание

Дент Арт — требуется ли согласие на обработку персональных данных от клиента

Требуется ли согласие на обработку персональных данных от клиента, самостоятельно обратившегося с заявлением на сайт компании?

На сайте организации предусмотрен раздел «Обратная связь», в котором клиенты могут задать интересующие вопросы по работе организации (в том числе направить жалобу). При этом форма обращения клиента, заполняемая on-line, содержит поля для указания клиентом его персональных данных (фамилия, имя и отчество, номер телефона, адрес электронной почты).

Согласно ст. 9 Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных» согласие на обработку персональных данных может быть дано субъектом персональных данных в любой позволяющей подтвердить факт его получения форме.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

Правомерно ли получение согласия клиента на обработку его персональных данных посредством проставления клиентом отметки в соответствующем поле, содержащем текст согласия на обработку персональных данных, формы обращения на интернет-странице?

Требуется ли вообще получение от него согласия на обработку персональных данных, поскольку клиент организации самостоятельно обращается с заявлением?

Случаи допустимости обработки персональных данных перечислены в ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ). В частности, обработка персональных данных признается допустимой в случаях, когда она:

— осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

— необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;

— необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. п. 1, 2, 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Напомним, что под обработкой персональных данных для целей Закона N 152-ФЗ понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без

использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ). Частью 1 ст. 9 Закона N 152-ФЗ определено, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Часть 4 той же статьи предусматривает, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. В той же норме перечислены сведения, которые в обязательном порядке должно содержать согласие субъекта персональных данных на их обработку. Из системного толкования норм ч. 1 и 4 ст. 9 Закона N 152-ФЗ можно сделать вывод о том, что оператор должен получить письменное согласие субъекта персональных данных на их обработку, включающее сведения, предусмотренные ч. 4 ст. 9 этого федерального закона только в случаях, когда федеральный закон прямо указывает на необходимость получения согласия именно в такой форме. К примеру, согласие в письменной форме требуется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 Закона N 152-ФЗ), биометрических персональных данных (ч. 1 ст. 11 Закона N 152-ФЗ), на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона N 152-ФЗ). В остальных случаях согласие на обработку персональных данных может быть дано в любой форме в соответствии с правилом ч. 1 ст. 9 Закона N 152-ФЗ.

Из вопроса не следует, что речь идет об обработке персональных данных, требующей получения согласия субъекта персональных данных именно в письменной форме. Поэтому согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Если технология заполнения размещенной на сайте формы запроса обеспечивает сохранность сведений о получении согласия (позволяет подтвердить его получение), то, на наш взгляд, такое согласие получено в надлежащей форме.

Следует учитывать, что в случае спора обязанность представления доказательств получения такого согласия возлагается на оператора (ч. 3 ст. 9 Закона N 152-ФЗ).

В рассматриваемом случае, как мы поняли из вопроса, обработка персональных данных заключается в их сборе, накоплении и использовании в целях информирования клиента об организации, оказываемых ею услугах и в соответствующих случаях об исполнении заключенного с клиентом договора. При этом избранный организацией способ коммуникации (размещенная на сайте форма запроса) с учетом информации о его назначении, которая доводится до клиента, позволяет клиенту исходя из обычного уровня понимания определить способы и цели обработки его персональных данных и путем заполнения и отправки запроса в электронном виде дать осознанное согласие на такую обработку персональных данных.

Поэтому мы полагаем, что размещение дополнительной формы согласия на обработку персональных данных организации в этом случае не требуется, если обработка не выходит за рамки тех целей, которые заявлены организацией (для дачи ответа на сформулированный клиентом запрос). Если персональные данные будут обрабатываться не только в связи с предоставлением клиенту интересующей его информации, относящейся к сфере деятельности организации, но и для других целей, такая обработка потребует дополнительного согласия субъекта персональных данных, при отсутствии предусмотренных законом обстоятельств, когда оператор не обязан получать такое согласие (например, в силу п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Косвенно этот вывод можно подтвердить судебной практикой. В постановлении от 13.12.2010 N Ф07-13220/2010 ФАС Северо-Западного округа указал применительно к рассмотренной им ситуации, что, отправив свои данные по алгоритму заполнения анкеты-запроса на получение ипотечного кредита, форма которой была размещена на веб-ресурсе, физические лица — потенциальные клиенты фактически выразили свое согласие на обработку своих персональных данных для определенных в анкете целей.

Кроме того, на наш взгляд, обработка персональных данных в этой ситуации может быть соотнесена с положением п. 2 ч. 1 ст. 6 Закона N 152-ФЗ, в соответствии с которым такая обработка допускается, если она необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Так, если на отношения клиента и организации распространяется действие Закона РФ от 07.02.1992 N 2300-I «О защите прав потребителей» (далее также — Закон о защите прав потребителей), следует иметь в виду, что пункт 1 ст. 8 этого закона наделяет потребителя (гражданина, имеющего намерение заказать или приобрести либо заказывающего, приобретающего или использующего товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности — смотрите преамбулу к данному закону) правом требовать предоставления ему необходимой и достоверной информации об изготовителе (исполнителе, продавце), режиме его работы и реализуемых им товарах (работах, услугах). Закон о защите прав потребителей в ряде случаев предписывает определенные способы информирования потребителя (п. 1 ст. 9, п.п. 2, 3 ст. 10), однако по смыслу норм п. 2 ст. 8, п. 1 ст. 10 этого закона перечень форм и способов, с использованием которых потребитель может быть ознакомлен с информацией об исполнителе и оказываемых им услугах, не является исчерпывающим.

В связи с этим мы полагаем, что, если в рассматриваемом случае информация, доводимая до клиента с использованием электронной формы запроса, объективно направлена на возможность правильного выбора клиентом оказываемых организацией услуг, согласия на обработку персональных данных оператору не требуется, поскольку такое предоставление информации осуществляется во исполнение обязанности, возложенной на организацию как исполнителя услуг в соответствии с федеральным законом. При этом обработка персональных данных не должна выходить за пределы информирования потребителя в соответствии с требованиями Закона о защите прав потребителей.

Отметим также, что персональные данные должны обрабатываться в целях, заранее определенных и заявленных при сборе персональных данных, в соответствии с полномочиями оператора (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ). По достижении цели обработки или в случае утраты необходимости в ее достижении персональные данные подлежат уничтожению (ч. 2 ст. 5, ч. 4 ст. 21 Закона N 152-ФЗ).

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

Ерин Павел Информационное правовое обеспечение ГАРАНТ http://www.garant.ru

404 Cтраница не найдена

Размер:

AAA

Цвет: C C C

Изображения Вкл. Выкл.

Обычная версия сайта

+7 (495) 781-56-63

Версия для слабовидящих Версия для слабовидящих

  • Об институте
    • О нас
    • Ведущие преподаватели
    • Выпускники
    • Трудоустройство
    • Общежитие
  • Поступление
    • Прием документов
    • Зачисление
    • Программы вступительных испытаний
    • Расписание вступительных экзаменов
    • Результаты вступительных экзаменов
    • Списки поступающих
    • Приказы о зачислении
    • Нормативная документация
    • Специальные условия поступления
    • Условия поступления для иностранных граждан
    • Курс продвинутого абитуриента
    • Вопросы и ответы
  • Факультеты
    • Подготовительные курсы
    • Факультет государственной культурной политики
    • Факультет медиакоммуникаций и аудиовизуальных искусств
    • Факультет музыкального искусства
    • Хореографический факультет
    • Факультет дополнительного образования
    • Театрально-режиссерский факультет
    • Библиотечно-информационный факультет
  • Новости
  • Консультация
    • Подобрать специальность
    • Пройти тест
    • Получить консультацию
    • Получить подробную консультацию
  • Контакты
  • Московский государственный институт культуры
  • /
  • Поступление

Российские законы о защите данных: основное руководство

Российский ландшафт защиты данных 

Ландшафт защиты персональных данных является деликатной областью, которая требует пристального внимания для компаний, выходящих на российский рынок. Это особенно актуально для банков и финансового сектора, медицинских фондов, туристической индустрии и всех видов электронной коммерции.

Хотя российский рынок обладает большим потенциалом для иностранных компаний, глобальные бизнес-игроки рассматривают российские законы о локализации данных как серьезное препятствие для масштабирования своего бизнеса в регионе.

Иностранные компании, работающие в стране, сталкиваются с различными законами и законами о конфиденциальности данных, которые регулируют обработку персональных данных граждан. Несоблюдение этих актов может привести к штрафам, а также к другим административным ограничениям.

Эта страница предлагает краткое руководство по соблюдению положений российского законодательства о конфиденциальности данных и будет полезна как для иностранных компаний, работающих или планирующих деятельность в России.

Законы о локализации данных в России

Какие национальные законы регулируют сбор, использование и раскрытие персональных данных?

К основным законам, регулирующим вопросы защиты персональных данных и неприкосновенности частной жизни в России, относятся:

  • Конституция Российской Федерации (статьи 23 и 24).
  • Федеральный закон от 27.07.2066 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Закон об информации).
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон о персональных данных).

Основным законом в этой области и основной темой данной статьи является Закон о персональных данных ФЗ 152 .

Как соблюдать законодательство о персональных данных в Российской Федерации

ФЗ 152 может повлиять на ваш бизнес как в России, так и за пределами России, но вашими клиентами являются граждане России. Давайте рассмотрим некоторые часто задаваемые вопросы о законе ФЗ 152.

В каких случаях требование использования сервера в России распространяется на иностранные компании?


В соответствии с законодательством при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, обновление, извлечение персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации. Федерация .

Таким образом, даже если компания работает онлайн, без физического присутствия в России и ее деятельность ориентирована на граждан России, компания должна соблюдать требования закона.

Если ваш сайт находится на иностранном хостинге, но вы собираете и обрабатываете данные о гражданах РФ, ваш домен может быть включен в Реестр нарушителей прав субъектов данных. Реестр ведет Роскомнадзор.

В результате вам, как правило, необходимо собирать, обрабатывать и хранить базу данных персональных данных о гражданах России  на серверах, расположенных в России .


Можно ли передавать персональные данные партнеру компании по хранению и защите данных?


В соответствии с 152-м законом ФЗ компании могут доверять хранение и обработку данных ограниченного доступа третьей стороне при условии, что дата-центр облачного провайдера находится в России.

Персональные данные также могут быть переданы за границу – например, для обработки. Но сначала копию нужно записать на сервер, который физически находится на территории России.

Ваш партнер по защите данных в России, InCountry соответствует Федеральному закону № 152 . Мы придерживаемся самых высоких стандартов в отрасли. Вот почему мы постоянно совершенствуем наши решения, опережая последние тенденции, встраивая безопасность в каждый уровень предложений и адаптируясь к последним стандартам соответствия.

Вы должны обеспечить надежную инфраструктуру защиты персональных данных, а также правильное управление данными самой компанией и правильную организацию доступа к информации внутри организации.


При выборе облака выбирайте провайдеров, которые сертифицированы для хранения и защиты персональных данных граждан России в соответствии с законодательством Российской Федерации о защите персональных данных (152-ФЗ), например, InCountry. Пожалуйста, ознакомьтесь с нашими сертификатами и лицензиями здесь.

Какие основные шаги должна предпринять иностранная компания для управления рисками, связанными с данными, и соблюдения нормативных требований?

Чтобы управлять рисками, связанными с данными, и соблюдать нормативные и регулярные требования к конфиденциальности при ведении бизнеса в России, важно рассмотреть следующие шаги.

  • определение общих бизнес-процессов, потоков данных и соответствующих категорий данных
  • назначение местного сотрудника по защите данных (DPO), который будет отвечать за процессы соответствия меры безопасности в компании.
  • , предоставляющий основные соглашения со всеми третьими лицами и обработчиками данных.
  • «локализация» соответствующей базы данных или ИТ-системы на территории России является обязательным условием, если персональные данные российских граждан собираются онлайн.

Наконец, мы настоятельно рекомендуем проводить регулярные проверки защиты данных, чтобы обеспечить постоянное соответствие конфиденциальности данных национальным требованиям и нормам защиты данных. Это поможет обеспечить соблюдение требований при изменении или обновлении законов.

Каждый этап проекта защиты данных должен быть детально определен с самого начала. Это станет основой для эффективного обслуживания и развития данных в будущем.

Важно помнить, что целостность обработки персональных данных должна быть четко определена для каждой компании – в рамках ее бизнес-процессов.

Любые изменения в таких процессах – напр. в протоколах безопасности, системах доступа персонал ИТ-структуры должен отражать обновления соответствующих политик, ИТ-архитектуры и моделей риска.

Штрафы за несоблюдение российского законодательства о конфиденциальности данных

Российская Федерация ввела строгие санкции за несоблюдение требований по защите данных. Штраф за первое нарушение варьируется от 33 000 до 100 000 долларов, повторное нарушение будет стоить от 100 000 до 300 000 долларов.

С 2019 года Роскомнадзор (Федеральная служба России по надзору в сфере связи, информационных технологий и массовых коммуникаций) проводит регулярные проверки, чтобы убедиться, что компании соблюдают правила.

Правила проведения расследований следующие:  

  • Операторы персональных данных получают уведомление за 3 дня для плановых проверок и за 24 часа для внеплановых проверок.
  • Плановая проверка может длиться не более 20 дней, внеплановая – не более 10 дней.
  • Юридические лица и индивидуальные предприниматели не подлежат проверке в течение первых трех лет после юридической регистрации. Это дает вновь созданным компаниям время для настройки процессов соответствия и подготовки к расследованиям.
  • Частота проверок зависит от типов обрабатываемых данных и процедур обработки. Для большинства компаний проверки проводятся только один раз в 3 года.
  • Компании, работающие с особыми категориями данных (например, биометрические данные), и операторы, передающие данные в зарубежные страны, могут ожидать проведения расследований каждые 2 года.

Локализация персональных данных и защита данных в России — почему InCountry — ваш идеальный партнер

Узнайте, почему InCountry — ваш идеальный партнер для управления защитой данных и соблюдением требований к данным в России.

InCountry:

  • Соответствие FZ-152
  • Соответствие HIPAA
  • Сертификация PCI DSS
  • Управление вашими данными осуществляется в соответствии с самыми высокими стандартами безопасности и конфиденциальности. Мы используем стандартные отраслевые стандарты шифрования, чтобы обеспечить безопасность и конфиденциальность ваших данных на каждом этапе нашей деятельности.
  • Инфраструктура InCountry надежно управляет вашими регулируемыми данными в Российской Федерации с круглосуточной поддержкой клиентов.
  • Партнерство с InCountry — это самый быстрый способ обеспечить соответствие правилам резидентности данных и открыть новые территории, такие как Российская Федерация.

    По всем дополнительным вопросам обращайтесь по адресу [email protected]

    В Государственную Думу внесен законопроект об усилении защиты субъектов персональных данных

    Главная  •   Аналитика и брошюры  •   Оповещения  •   В Государственную Думу внесен законопроект об усилении защиты субъектов персональных данных быть улучшенным

    «Пепеляев Групп» сообщает, что 06. 04.2022 законопроект В Государственную Думу внесено постановление № [1] , предусматривающее внесение изменений в Федеральный закон № 152-ФЗ «О персональных данных» (далее — Законопроект). Законопроект призван усилить защиту прав граждан России на неприкосновенность частной жизни.

    Вопрос обеспечения безопасности персональных данных от несанкционированного доступа посторонних лиц является весьма актуальным. Персональные данные российских граждан в последнее время часто становятся доступными для широкой публики. Согласно пояснительной записке к законопроекту, стали популярными интернет-сервисы, реализующие персональные данные граждан России из различных баз данных. Часть таких сервисов находится в зарубежном сегменте сети Интернет, на который не распространяются требования российского законодательства о персональных данных. По статистике Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (известной в России под аббревиатурой «Роскомнадзор»), более 2500 операторов персональных данных передают персональные данные граждан России через границу во враждебные страны.

    .

    В пояснительной записке к законопроекту также подчеркивается, что существующих инструментов недостаточно для обеспечения защиты прав граждан Российской Федерации как субъектов персональных данных.

    Введение принципа экстерриториальности № 152-ФЗ

    Предлагается распространить положения Закона № 152-ФЗ на действия с персональными данными граждан Российской Федерации, совершаемые иностранными органами, юридическими и физическими лицами. Предусмотрена возможность вмешательства уполномоченных органов Российской Федерации в обработку персональных данных граждан Российской Федерации на территориях других государств.

    Уточнение требований для получения согласия на обработку персональных данных

    В настоящее время согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным (пункт 1 статьи 9 152-ФЗ). В законопроекте предлагается дополнить регламент требованием о том, что согласие на обработку персональных данных должно быть содержательным и однозначным.

    Введение ответственности оператора при утечке персональных данных

    Предлагается ввести обязанность операторов обеспечивать постоянное взаимодействие с государственной системой обнаружения, предотвращения и ликвидации последствий кибератак на российские информационные ресурсы, в том числе оповещение о киберинцидентах, повлекших за собой неправомерный доступ раскрытия, распространения и передачи персональных данных.

    В целях учета Роскомнадзор будет вести журнал инцидентов, связанных с неправомерной обработкой персональных данных.

    Регулирование статуса лица, осуществляющего обработку персональных данных, на основании указания оператора

    Статус лица, осуществляющего обработку персональных данных, регулируется указанием оператора. Например, вводится определение такого лица как государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных по поручению оператора на основании согласия субъекта данных, если иное не установлено Законом № 152-ФЗ.

    В законопроекте указано, что лицо, осуществляющее обработку персональных данных, не определяет цели обработки, состав обрабатываемых данных и действия, совершаемые с такими данными.

    Уточнение порядка передачи персональных данных через границу

    Актуализируется понятие трансграничной передачи персональных данных. Законопроект предусматривает, что для такой передачи решающим является факт нахождения получателя данных на территории иностранного государства, а не его организационно-правовая форма.

    Ограничения на обработку биометрических персональных данных

    Вводится запрет на обработку биометрических персональных данных несовершеннолетних (до 18 лет), за исключением случаев, предусмотренных пунктом 2 статьи 11 152-ФЗ (исполнение международных договоров о реадмиссии, исполнение законов и судебных решений, обязательной государственной дактилоскопии, а также в других случаях, предусмотренных законодательством Российской Федерации).

    Значительное сокращение срока выполнения требований Роскомнадзора

    В настоящее время операторы имеют возможность выполнить запросы Роскомнадзора или субъекта данных, связанные с неправомерной обработкой персональных данных или получением информации, касающейся обработки персональных данных, в течение 30 дней после получения таких запросов.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *