Разъяснения роскомнадзора об обработке персональных данных

Полезная информация на тему: "Разъяснения роскомнадзора об обработке персональных данных", собранная из сети и предоставленная в удобном для чтения виде. По всем вопросам - обращайтесь к дежурному юристу.

Разъяснения роскомнадзора об обработке персональных данных

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В адрес ООО из Управления Роскомнадзора поступило письмо о предоставлении сведений, в котором указано, что при реализации полномочий Управлением Роскомнадзора были выявлены признаки деятельности, предполагающие обработку ООО персональных данных, в связи с чем ООО является оператором, осуществляющим обработку персональных данных. Сославшись на ч. 1 ст. 22 Федерального закона от 27.08.2006 N 152-ФЗ «О персональных данных», Управление Роскомнадзора заявило об обязанности ООО уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. Между тем ООО осуществляет обработку персональных данных только в рамках трудового законодательства, а также для открытия расчетного счета в банк были переданы персональные данные директора и главного бухгалтера, оформлены зарплатные карты.
Обязано ли ООО направить уведомление в Управление Роскомнадзора до начала обработки персональных данных?

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Широков Сергей

Ответ прошел контроль качества

28 сентября 2017 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) По данному вопросу рекомендуем Вам также ознакомиться со следующим материалом, размещенным в сети «Интернет»: Шмелев П.В. Оператор персональных данных — кто он? // http://www.secur.ru/article.php? >

© ООО «НПП «ГАРАНТ-СЕРВИС», 2019. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected]

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Отдел рекламы: +7 (495) 647-62-38 (доб. 3161), [email protected] Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Роскомнадзор ответил на часто поступающие вопросы владельцев сайтов по обработке персональных данных пользователей

    Автор: Awara Опубликовано: 15.11.2017 Комментарии: 0 Просмотры: 900

Роскомнадзор ответил на часто поступающие вопросы владельцев сайтов по обработке персональных данных пользователей

Роскомнадзор опубликовал разъяснения по вопросу обработки персональных данных интернет-магазинами

Федеральным законом “О персональных данных” установлено, что персональные данные граждан РФ должны обрабатываться только с их согласия , если иное не установлено другими нормами законодательства. Соответственно, интернет-магазины должны получить согласие пользователей при любых возможных правоотношениях с ними, предусматривающих использование их персональных данных, за исключением случаев, когда такие правоотношения оформлены в виде акцепта публичной оферты либо в виде иных форм договорных отношений, — говорится в публикации Роскомнадзора.

Затрагивает ли это обычные сайты?

Несмотря на то, что в разъяснении Роскомнадзора от 8 ноября 2017 года рассматривается случай только с интернет-магазинами, требования закона могут затронуть большинство интернет-ресурсов, в том числе блоги, корпоративные сайты и так далее. Если те данные, которые вы получили через сайт (например, в результате заполнения формы обратной связи, регистрации на сайте, подписки на информационную рассылку и т.п.), являются персональными (о том, что является персональными данными, мы поговорим чуть ниже), между вами и субъектом персональных данных не заключено никакого договора, а ваши действия направлены на обработку, хранение и использование такие данных, то законом вы признаётесь оператором персональных данных (в ряде случаях придётся оповестить Роскомнадзор, но об этом тоже чуть позже).

Напомните, что такое персональные данные?

В законе даётся определение: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

На наш взгляд не самое полное и чёткое определение.

Не утешает и ответ Минкомсвязи: “… Более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Закон также не содержит полномочий по уточнению этого термина подзаконными актами.”

В 2015 году в интервью lenta.ru Александр Жаров (глава Роскомнадзора) сообщил про персональные данные следующее: Это набор информации, позволяющий безошибочно идентифицировать вас как личность. Либо, если ваша личность уже определена, безошибочно отнести требуемые данные именно к вам. Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных.”

Тем не менее утверждённого списка того, что необходимо — или в каком сочетании — считать персональными данными, нет. Юристы бесконечно спорят по данному вопросу, основываясь на тех или иных прецедентах или логических заключениях. Таким образом, на основе этих рассуждений в список данных, которые можно считать персональными, можно включить:

  • ФИО
  • Дата и место рождения
  • Адрес
  • Паспортные данные
  • Семейное, социальное и имущественное положение
  • Образование и профессия
  • Доходы
  • Данные о поведении пользователя на сайте
  • Файлы cookies
  • Сведения о геопозиции
  • IP-адрес
  • Фотография
  • ссылка на профиль в социальной сети и т.п.
Читайте так же:  Право и организация социального обеспечения специальность

Что ещё нужно сделать операторам персональных данных?

Компании, отвечающие критериям оператора персональных данных, должны разместить на своем сайте документ, определяющий политику в отношении обработки персональных данных (о нём мы ещё поговорим чуть ниже).

Следует помнить про правила локализации обработки персональных данных. Если кратко, персональная информация должна храниться в базе данных на территории Российской Федерации.

Полезные ссылки:

Не стоит считать, что DNS запись типа “А” обязательно указывает на конечный сервер, где находится сайт. Эта запись может указывать на расположенный в России шлюз, с которого, например, идёт VPN-туннель в Германию. Чтобы быть уверенным в месте расположения сервера на 100%, лучше отправить запрос хостинг-провайдеру.

Сергей Николаев, руководитель IT поддержки Awara

Кстати, убедитесь, что ваша компания находится в реестре операторов персональных данных. Проверить можно по ссылке. Если вас там нет, то уведомление можно отправить через сайт Роскомнадзора, а затем распечатать копию, поставить подпись и печать организации и отправить обычной почтой в территориальный орган Роскомнадзора.

Владельцам сайтов нет необходимости уведомлять контролирующий орган в случае:

  • обработки данных в соответствии с трудовым законодательством;
  • если с субъектом персональным данных заключён договор, персональные данные не распространяются и не передаются третьим лицам;
  • если субъект персональных данных сделал их общедоступными;
  • если иное лицо (оператор, ответственный за обработку персональных данных) поручило вам обработку персональных данных с согласия такого субъекта персональных данных, на основании заключаемого с этим лицом договора (ст.6 п.3 ФЗ “О персональных данных”)
  • когда субъект персональных данных передаёт оператору только ФИО (без какой-либо дополнительной информации)

Какие существуют требования по составлению политики в отношении обработки персональных данных?

Роскомнадзором при участии Молодежной палаты Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных были подготовлены рекомендации по составлению подобного документа. В политику предлагается включить следующие пункты:

С полной версией документа и подробным описанием рекомендаций вы можете ознакомиться по ссылке.

Как через сайт получать согласие на обработку персональных данных?

Технически получение согласия на обработку персональных данных можно реализовать, позволив пользователю ставить “галочку” в веб-форме при отправке информации о пользователе.

В случае обработки биометрических и специальных категорий персональных данных или хранения данных на территории страны, не обеспечивающей адекватную защиту персональных данных (список доступен на отдельной странице сайта Роскомнадзора ), всё сложней: согласие придётся получить в письменной форме.

Как организации не получить штраф в 290 000 рублей

290 000 рублей? Да, если нарушить пункты 1-6 Статьи 13.11. КоАП РФ, то максимальная сумма штрафа для юридического лица может составить 290 000 рублей (и это без учёта штрафов для должностных лиц). Закон предусматривает ответственность за:

Подведём итог. Чтобы не вызвать претензии со стороны надзорного органа и не получить штраф мы рекомендуем:

  1. Определить, попадает ли ваша организация в категорию операторов персональных данных;
  2. Если ваша организация попадает под определение оператора персональных данных, то вам необходимо разработать Политику обработки персональных данных на основе рекомендаций Роскомнадзора и разместить её на сайте компании в открытом доступе;
  3. Добавить компанию в реестр операторов, осуществляющих обработку персональных данных, если её там ещё нет;
  4. В постоянном режиме получать согласие на обработку персональных данных от пользователей сайта и обязательно в таком согласие указывать ссылку на Политику в целях изучения пользователями;
  5. Убедиться, что собранные персональные данные российских граждан хранятся на территории России;
  6. Убедиться, что у компании есть локальные акты по обработке персональных данных
  7. Убедиться, что получены разрешения на обработку данных от субъектов персональных данных, если компания пользуется услугами подрядчиков в какой-либо сфере своей деятельности.

Разъяснения Роскомнадзора от 14.12.2012 «По вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве

Обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством РФ о государственной гражданской службе.

Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.

Кроме того, получение работодателем согласия на обработку персональных данных не требуется в случаях:

1. Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством РФ.

2. Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2, утвержденной постановлением Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).

В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

3. Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона от 27.072006 № 152-ФЗ «О персональных данных» в рамках трудового законодательства.

4. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудового кодекса РФ или иными федеральными законами.

Читайте так же:  Обстоятельства смягчающие ответственность за административное правонарушение

5. Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 Трудового кодекса РФ.

В разъяснениях уточняются вопросы относительно обработки персональных данных уволенных работников. Кроме того, разъясняется, что в случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

Напоминается, что получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе. Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим.

Разъяснения роскомнадзора об обработке персональных данных

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Обзор документа

Рекомендации Роскомнадзор (Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций) от 31 июля 2017 г. «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»»

1. Настоящие Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных (далее — Политика).

2. Основные понятия, используемые в Рекомендациях:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

— уточнение (обновление, изменение);

— передачу (распространение, предоставление, доступ);

— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. В Политику рекомендуется включить следующие структурные компоненты:

3.1 Общие положения

В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.

3.2 Цели сбора персональных данных

Видео (кликните для воспроизведения).

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3.3 Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

В качестве правового основания обработки персональных данных могут быть указаны:

— федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;

[2]

— уставные документы оператора;

— договоры, заключаемые между оператором и субъектом персональных данных;

— согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку указанный Закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.

Читайте так же:  Разница между солидарной и субсидиарной ответственностью

3.4 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям*(1) обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных данных могут быть отнесены, в том числе:

— работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;

— клиенты и контрагенты оператора (физические лица);

— представители/работники клиентов и контрагентов оператора (юридических лиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

3.5 Порядок и условия обработки персональных данных

[3]

В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных*(2)), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Рекомендуется указывать сроки*(3) хранения персональных данных.

При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».

[1]

Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.

3.6 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно*(4).

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

— оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;

— иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего*(5).

Рекомендуется включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

*(1) ст. 6 № 152-ФЗ «О персональных данных»

*(2) Ч. 3 ст. 6 № 152-ФЗ «О персональных данных»

*(3) Конкретная дата (число, месяц, год) и основание (условие), наступление которого повлечет прекращение обработки персональных данных.

*(4) ст. 21 № 152-ФЗ «О персональных данных»

*(5) ст. 20 № 152-ФЗ «О персональных данных»

Обзор документа

Представлены рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных.

Определены рекомендованные структурные компоненты документа и их содержание.

В документ также рекомендуется включить регламент(ы) реагирования на запросы/обращения субъектов персональных данных (их представителей) и уполномоченных органов, а также соответствующие формы запросов/обращений.

Разъяснения Роскомнадзора об отнесении фото и видеоизображений, а также данных отпечатков пальцев к биометрическим персональным данным

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъясняет вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки. Разъяснения подготовлены по результатам совместного обсуждения с представителями экспертного сообщества: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.

В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Соответственно, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.

Читайте так же:  Продление срока действия статуса вынужденного переселенца

Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Федерального закона «О персональных данных, предусматривающей исключения, связанные с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Исходя из определения, установленного Федеральным законом «О персональных данных» к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона «О персональных данных» необходимо отметить следующее.

В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:

1) использование изображения осуществляется в государственных, общественных или иных публичных интересах.

(Согласно п. 25 постановления Пленума Верховного Суда Российской Федерации от 15 июня 2010 г. №16 к общественным интересам следует относить не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.

К таким интересам, к примеру, относится информация, связанная с исполнением своих функций должностными лицами и общественными деятелями. Соответственно, сообщение подробностей частной жизни лица, не занимающегося какой-либо публичной деятельностью, под данное исключение не подпадает).

2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

3) гражданин позировал за плату.

Исходя из смысла указанной статьи, опубликование, в том числе редакцией СМИ, фотографического изображения в случаях, предусмотренных ст. 152.1 Гражданского кодекса Российской Федерации, а также полученного из общедоступных источников не требует соблюдения условий, связанных с получением письменного согласия субъекта персональных данных.

Существуют положения нормативных правовых актов, прямо относящих фотографическое изображение к биометрическим персональным данным.

Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.

В тоже время, необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте.

В случае, если они используются оператором для установления личности субъекта персональных данных (в том числе в случае проведения такой процедуры представителями операторов, имеющими полномочия на установление личности владельца паспорта), то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона «О персональных данных».

Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.

Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».

Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.

Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.

Читайте так же:  Разрешение на отклонение от предельных параметров строительства

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица.

Аналогичная позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако, указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.

Необходимо отметить, что при ведении видеонаблюдения в рабочих помещениях оператора с целью фиксации возможных действий противоправного характера согласно ст. 74 Трудового кодекса Российской Федерации работники должны быть уведомлены об изменении условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда (введением видеонаблюдения), под роспись.

Вместе с тем, посетители указанных публичных мест должны заранее предупреждаться их администрацией о возможной фото-, видеосъемке, соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий согласие субъектов на проведение указанных мероприятии не требуется.

Видеонаблюдение может осуществляться только для конкретных и заранее определенных целей. Эти цели должны быть обусловлены соответствующими нормативными правовыми актами, устанавливающими правовые основания видеонаблюдения (видеосъемки).

Кроме того, необходимо отдельно отметить случаи открытого наблюдения, которое ведется в целях обеспечения прав пациентов, клиентов, потребителей при осуществлении тех или иных услуг населению (например, медицинских или по производству продуктов питания), путем установления видеокамер направленных на рабочие места сотрудников с целью осуществления контроля качества предоставляемых услуг.

В целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер.

Вместе с тем, если в результате опубликования фотографий или видеозаписи, возникает реальная угроза жизни и здоровью гражданина, либо ему наносятся моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.

Наличие согласия на обработку персональных данных либо иных законных оснований (договор) также необходимо в случае использования изображения гражданина в рекламных целях.

Соблюдение указанных условий должно осуществляться средствами массовой информации на этапе предоставления заказчиком соответствующих материалов.

По существу отнесения к биометрическим персональным данным дактилоскопической информации, а также их обработки в биометрических системах идентификации, построенных на использовании в качестве идентификаторов информации об особенностях строения папиллярных узоров пальцев рук человека (дактилоскопической информации), необходимо учитывать следующее.

Обработка дактилоскопической информации в системе биометрической идентификации осуществляется путем преобразования изображения папиллярных узоров на промежуточной поверхности в цифровую форму и размещения полученных данных в базе данных в виде биометрического информационного шаблона.

Принимая во внимание, что целью обработки указанных сведений в системах биометрической идентификации является установление личности конкретного лица, а также тот факт, что данная информация, содержащаяся в шаблоне, характеризует физиологические и биологические особенности человека – субъекта персональных данных, то она относится к биометрическим персональным данным, обработка которых должна осуществляться в соответствии со ст. 11 Федерального закона «О персональных данных», а также Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».

Видео (кликните для воспроизведения).

Ввиду изложенного, во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Федерального закона «О персональных данных», для использования дактилоскопической информации в системах идентификации, контроля и управления доступом необходимо получение от субъекта или его представителя согласия в письменной форме на обработку его биометрических персональных данных по правилам, установленным ч. 4 ст. 9 Федерального закона «О персональных данных».

Источники


  1. Панов, В.П. Сотрудничество государств в борьбе с международными уголовными преступлениями: учеб пособие; М.: Юрист, 2011. — 160 c.

  2. Смирнов; Петренко Политология; М.: Велби, 2011. — 336 c.

  3. Золотов, Ю. А. История и методология аналитической химии / Ю.А. Золотов, В.И. Вершинин. — М.: Academia, 2015. — 464 c.
  4. Зашляпин, Л. А. Основы теории эффективной адвокатской деятельности. Прелиминарный аспект / Л.А. Зашляпин. — М.: Издательство Уральского Университета, 2015. — 568 c.
  5. Прессман, Л.П. Кабинет литературы / Л.П. Прессман. — М.: Просвещение; Издание 2-е, доп., 2014. — 144 c.
Разъяснения роскомнадзора об обработке персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here