Защита прав субъектов персональных данных

Вопросы и ответы:

          1. Вопрос: В соответствии со ст. 22 Федерального Закона «О персональных данных» Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи. Оператор осуществляет обработку лишь тех персональных данных, которые он вправе обрабатывать без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку. Однако оператор по ошибке направил уведомление в уполномоченный орган. Каким образом оператор может отозвать свое уведомление и попросить исключить его из реестра операторов? Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных" не предусматривает случаи исключения оператора из реестра в случае ошибочного направления уведомления.

          Ответ: Существующий сегодня Административный регламент предусматривает исчерпывающий перечень оснований для исключения Оператора из Реестра, и действительно, такое основание как ошибочное направление уведомления им не предусмотрено. Административный регламент в этой части требует изменений, однако решение о внесении таких изменений будет приниматься Роскомнадзором.
          Тем не менее, возникает вопрос, почему Оператор хочет исключиться из реестра. В среде операторского сообщества существует мнение, что организации, находящиеся в реестре, подлежат обязательно проверке уполномоченным органом, хотя на деле мы большее внимание уделяем тем организациям, кого нет в реестре, и учитываем этот факт при составлении плана проверок. Факт нахождения в реестре говорит о добропорядочности оператора и о прозрачности его деятельности. Многие жалобы начинаются со слов, что некого оператора нет в реестре, и далее звучит просьба его проверить. Поэтому, прежде чем исключаться из реестра, советую хорошенько подумать, а если ещё не внесены в реестр и имеются какие-то сомнения о необходимости подачи соответствующего уведомления, рекомендую сомнения оставить и уведомление подать, от этого больше плюсов, чем минусов.


          2. Вопрос:
В соответствии со ст. 1. Федерального Закона «О персональных данных» сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Относится ли почерк и подпись человека к биометрическим данным? Если да, нужно ли брать согласие субъекта биометрических данных на их обработку, если обработка (хранение) этих данных осуществляется оператором в связи с исполнением субъектом персональных данных своей трудовой функции (например, подписывает договоры, приказы по кадрам)?

          Ответ: Почерк и подпись человека не относится к биометрическим персональным данным. Подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы, не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.


          3. Вопрос: В соответствии со ст. 9 Федерального Закона «О персональных данных» согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
          1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
          2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
          3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
          4) цель обработки персональных данных;
          5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
          6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
          7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
          8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
          9) подпись субъекта персональных данных.
          В соответствии со ст. 5 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.  Должен ли субъект персональных данных в согласии указывать все данные, перечисленные в данной статье, если, например, оператор не планирует обрабатывать эти данные субъекта? Иными словами, должно ли согласие на обработку данных содержать больше персональных данных, чем обрабатывает оператор? (Например, оператору для обработки не нужны данные о месте жительства субъекта).

          Ответ: В определенных федеральным законом случаях, обработка персональных данных может осуществляться только с согласия в письменной форме. В частности, согласие в письменной форме необходимо, когда требуется обработка специальных категорий персональных данных, биометрических персональных данных, трансграничная передача персональных данных, а также в случаях принятия решения, порождающего юридические последствия в отношении субъекта персональных данных, на основании исключительно автоматизированной обработки его персональных данных. Обязательные требования к письменной форме согласия предусмотрены ч. 4 ст. 9 ФЗ «О персональных данных» и должны неукоснительно соблюдаться операторами. Отвечая на Ваш вопрос, сообщаю, что сбор и хранение всей содержащейся в согласии информации — это обязанность, установленная для операторов федеральным законом и в данном случае говорить об избыточности персональных данных по отношению к заявленным целям их обработки некорректно.


          4. Вопрос: Согласие субъекта на обработку персональных данных должно содержать подпись субъекта персональных данных. Как быть в тех случаях, когда персональные данные предоставляются оператором через телекоммуникационные сети Интернет и личной встречи между оператором и субъектом не происходит? Достаточно ли в этом случае выражения согласия  субъекта персональных данных на обработку его данных путем проставления отметки в согласии в электронном виде? (Например, при предоставлении по электронной почте анкет соискателей на вакансии работодателей, предоставление данных организатору конкурса, проводимого в Интернет).

          Ответ: При наличии требования федерального закона об обязательном получении в конкретных случаях письменного согласия, документ должен быть подписан либо на бумажном носителе, либо в электронной форме (посредством электронной подписи как аналога собственноручной).
          ФЗ «О персональных данных» регламентирует, что согласие на обработку персональных данных может быть дано гражданином или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае, если наличие письменного согласия в силу закона не обязательно, гражданин может выразить свое согласие на обработку персональных данных любым способом, в частности проставлением отметки в электронном виде. При этом необходимо помнить, что обязанность предоставить доказательство получения согласия субъекта персональных данных возлагается на оператора.


          5. Вопрос: Какие нарушения законодательства о персональных данных чаще всего выявляются при проведении проверок Управлением Роскомнадзора по ЦФО? Какие нарушения в области персональных данных выявляет Управление Роскомнадзора по ЦФО сегодня чаще всего в ходе своих проверок? Какова статистика?

          Ответ: Самыми частыми нарушениями, выявляемыми при проведении контрольно-надзорных мероприятий, являются нарушения, связанные с непредставлением или представлением с недостоверными или неполными сведениями, уведомления об обработке персональных данных (ч. 1, 3, 7 ст. 22). В большинстве случаев операторы просто не знают о необходимости подачи уведомления, а также своевременного внесения изменений в него. Существуют также и другие нарушения, выявляемые в ходе проведения проверок, а именно: нарушения требований конфиденциальности при обработке категорий персональных данных, не являющихся общедоступными (ч. 1 ст. 7), несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства (ч. 4 ст. 9), отсутствие в поручении лицу, которому оператор поручает обработку персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности (ч. 3 ст. 6). Реже встречаются нарушения в части отсутствия у оператора согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг (ч. 1 ст. 15).


          6. Вопрос: Российские  школы активно внедряют электронные формы дневников и журналов. В  связи с этим от родителей требуется предоставление для регистрации (а, следовательно, для обработки и распространения) большого числа сведений о ребенке и родителях. Каким образом они будут использованы и защищены - не знают ни родители, ни работники школ. Насколько правомерны эти действия, и могут ли родители отказаться от участия в названных мероприятиях? Вопрос очень актуален, поскольку, с одной стороны, постоянно говорится о вреде распространения детьми информации о себе в социальных сетях, а с другой — обязывают родителей участвовать в распространении такой информации.

          Ответ: В настоящее время обязательное ведение дневников и журналов в электронном виде законодательно не закреплено. В указанном случае обработка персональных данных должна осуществляться с согласия родителей, как законных представителей несовершеннолетних детей. Гражданин, как субъект персональных данных, принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Необходимо учитывать, что в случае, если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
          Предоставив свои персональные данные оператору, гражданин вправе, в соответствии со ст. 14 ФЗ «О персональных данных», потребовать у него информацию относительно дальнейшей обработки его персональных данных (сроки обработки персональных данных, в том числе сроки их хранения, порядок уничтожения, сведения о лицах, которые имеют доступ к персональным данным и т.д.). Кроме того, требованиями законодательства в области персональных данных предусмотрена обязанность оператора, осуществляющего сбор персональных данных с использованием информационно-телекоммуникационных сетей,  опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющей его политику в отношении обработки персональных данных, а также сведения о реализуемых требованиях к защите персональных данных.
          Подробную информацию об операторах можно в любое время посмотреть в Реестре операторов персональных данных по адресу pd.rsoc.ru.


          7. Вопрос: Некоторое время назад я подавал заявку на получение ипотечного кредита в один из известных банков. Заполнил все соответствующие анкеты, предоставил все необходимые документы. Получил одобрение на получение кредита. Но, по истечение времени, возможностью получения кредита так и не воспользовался. Но буквально через некоторое время на мой домашний адрес стали приходить различные коммерческие предложения от иных банков (в которые я никогда не обращался) с их условиями кредитования. В данных письмах были сведения и о моем дне рождения, и ФИО, и домашний адрес, и телефон. Откуда, спрашивается, банки получили данную информацию? И по какому праву они считают возможным слать мне такие предложения, используя мои персональные данные без моего согласия? Как в данном случае мне следует поступить, чтобы защитить свои персональные данные от дальнейшего распространения, а так же как наказать банк за разглашение? И могу ли я обратиться в суд, например, за возмещением какой-либо денежной компенсации (морального ущерба), в связи с тем, что здесь явное нарушение законодательства?

          Ответ: Прежде всего, необходимо отметить, что надо быть крайне внимательными при подписании документов, имеющих юридическое значение. В большинстве случаев подписываемые документы содержат в себе согласие на обработку персональных данных, в том числе и на передачу персональных данных третьим лицам – партнерам организации для рассылки рекламных материалов. В указанном случае ситуация разрешается отзывом согласия на обработку персональных данных. Если же Вы уверены, что рассылка рекламных материалов с использованием Ваших персональных данных осуществляется без согласия, Вы вправе обратиться в Управление с обращением с подробным описанием ситуации и приложением подтверждающих документов. Кроме того, Вы вправе обжаловать действия Оператора и требовать возмещения убытков и (или) компенсации морального вреда в судебном порядке. Отмечу, что в настоящее время случаи возмещения морального вреда в связи с нарушением прав субъектов персональных данных нам не известны.


          8. Вопрос: Какие требования предъявляются к организациям, предоставляющим услуги в сфере проведения мероприятий по защите персональных данных в организациях?

          Ответ:  Данный вопрос находится в компетенции Федеральной службы по техническому и экспортному контролю, а также Федеральной службы безопасности России. Можно порекомендовать обратиться к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённых приказом ФСТЭК России от 18 февраля 2013 г. N 21, согласно которому для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года. Кроме того, если организации требуется криптографическая защита, то в этом случае необходима лицензия ФСБ России.


          9. Вопрос: После удаления своего аккаунта из соцсети, информация о персональных данных все-равно там остается. Правомерно ли оставление информации в соцсети о лице, давно удалившемся из нее?

          Ответ: Принимая решение о регистрации в социальной сети, пользователю необходимо внимательно ознакомиться с пользовательским соглашением или иным документом, регламентирующим отношения между пользователем и администратором интернет-ресурса. Как правило, в указанном соглашении оговариваются вопросы, связанные с обработкой персональных данных, в том числе вопрос о возможности обработки персональных данных пользователя после его удаления из социальной сети. Статья 9 ФЗ «О персональных данных» предусматривает право субъекта отозвать свое согласие на обработку персональных данных, за исключением случаев, предусмотренных федеральным законом.

 
          10. Вопрос: Посещая социальную сеть от меня требуют мои персональные данные. На каком основании они это делают? Можно ли полагать, что социальная сеть является информационной системой обработки персональных данных? Законно ли это?

          Ответ: Администрация социальной сети оказывает услуги по предоставлению пользования интернет-сервисом на основании размещенных на сайте правил (соглашение), которые являются публичной офертой в соответствии со ст. 437 Гражданского кодекса Российской Федерации. Правила пользования сайтом являются юридически обязательным соглашением между пользователем и администрацией сайта. Пользователь обязан полностью ознакомиться с правилами до момента регистрации на сайте социальной сети и в случае несогласия с ними прекратить использование интернет-сервиса. Таким образом, если правилами сайта установлена обязанность пользователя предоставить персональные данные и Вы с этими правилами согласились, то данное требование не противоречит действующему законодательству. Что касается вопроса об информационной системе персональных данных необходимо отметить, что социальная сеть, как совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку технических средств, безусловно будет являться таковой. 


          11. Вопрос: Может ли работодатель передавать персональные данные своих бывших сотрудников новым работодателям по их официальному запросу, в котором они просят подтвердить факт того, что работник действительно работал в организации, и подтвердить причину его увольнения?

          Ответ: Передача персональных данных бывших сотрудников на основании запроса возможна только в случаях, когда мотивированный запрос включает в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия организации, направившей запрос, а также перечень запрашиваемой информации. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие бывшего работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет соблюдено.


          12. Вопрос: В соответствии с п. 4 ст. 32 Закона РФ от 10.07.1992 № 3266-I "Об образовании" образовательное учреждение обязано размещать информацию о персональных данных своих работников на официальном сайте, в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" персональные данные работников - это конфиденциальная информация. Своё согласие на размещение персональных данных в Интернете работники дают неохотно, под давлением администрации. Обязано ли образовательное учреждение размещать информацию о персональных данных своих работников на официальном сайте?

          Ответ: Действительно, ФЗ «О персональных данных» регламентирует режим конфиденциальности персональных данных и ответственность за его нарушение, однако необходимо учитывать, что законом также регламентируются случаи, когда обработка персональных данных допускается, в частности, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Таким образом, в случае, если обязанность образовательного учреждения размещать информацию, содержащую персональные данные, установлена Федеральным законом, указанное размещение не противоречит требованиям законодательства в области персональных данных.


          13. Вопрос: Каков теперь механизм реализации правомочия адвоката на получение ответа по адвокатскому запросу? В настоящее время право адвоката на получение информации в целях защиты своего клиента (и в целом относящихся к персональным данным клиента) путем направления адвокатского запроса систематически нарушается под “прикрытием” защиты персональных данных в соответствии с ФЗ-152.

          Ответ: В соответствии с п. 1 ч. 3 ст. 6 Федерального закона от 31.05.2002
N 63-ФЗ "Об адвокатской деятельности и адвокатуре в Российской Федерации", адвокат вправе собирать сведения, необходимые для оказания юридической помощи, в том числе запрашивать справки, характеристики и иные документы от органов государственной власти, органов местного самоуправления, а также общественных объединений и иных организаций. ФЗ «О персональных данных» допускает обработку персональных данных, когда обработка персональных данных необходима для достижения целей, предусмотренных законом. Важно не забывать, что за неправомерный отказ в предоставлении информации по запросу адвоката предусмотрена ответственность по ст. 5.39 КоАП РФ.


          14. Вопрос: Нужно ли упаковывать в конверт квитанции на оплату оказанных услуг абоненту, где указывается адрес, ФИО, номер лицевого счета, суммы платежа, количество прописанных человек? Как часто поступают жалобы в отношении организаций жилищно-коммунального хозяйства на действия, связанные с рассылкой платежных документов в открытом виде, с передачей персональных данных собственников жилых помещений в иные организации?

          Ответ: Направление единых платежных документов за предоставленные коммунальные услуги в неконвертируемом виде противоречит требованиям действующего законодательства в области персональных данных, т.к. не обеспечивается достаточная конфиденциальность персональных данных. В 2011 году Управлением были направлены письма-требования в адрес ГУИС города Москвы о необходимости обеспечения доставки в закрытой (защищенной) форме, данные требования были исполнены. Результатом проделанной работы явилось снижение количества поступивших обращений граждан по фактам рассылки единых платежных документов в открытом виде, так в 2011 году – 25 обращений, в 2012 – 12 обращений, за 1 квартал 2013 – 3 обращения.


          15. Вопрос: Является ли обработкой персональных данных поступление телефонных звонков с целью проведения телефонных опросов граждан?

          Ответ: Согласно, ст. 3 Закона, персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных и.т.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого либо конкретного субъекта персональных данных.


          16. Вопрос: Является ли обработкой персональных данных поступления СМС сообщений и телефонных звонков с предложениями рекламного или информационного характера?

          Ответ: Согласно, ст. 3 Закона, персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
          Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Вопросы, связанные с поступлением сообщений (звонков) рекламного характера (предоставления услуг), входят в компетенцию органа, осуществляющего государственный контроль по вопросам распространения рекламы в сетях электросвязи, Федеральной антимонопольной службы (ФАС). Для прекращения дальнейшего использования номера телефона в рекламных целях (в частности, распространения рекламы в сетях электросвязи), целесообразно обратиться в ФАС. Рассмотрение обращений граждан, поступивших в ФАС, осуществляется в соответствии с требованиями Административного регламента ФАС по исполнению государственной функции по рассмотрению дел, возбужденных по признакам нарушения законодательства Российской Федерации о рекламе, утвержденного приказом ФАС России от 28.12.2007 № 453.


          17. Вопрос: Что делать, если мне поступают телефонные звонки с требованиями (просьбами) позвать другого субъекта персональных с целью решения, каких - либо вопросов, в том числе финансовых?

          Ответ: Согласно, ст. 3 Закона, персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. В целях дальнейшего решения данного вопроса, Управление рекомендует гражданам предоставлять в адрес организации от которой поступают такие звонки, сведения документального характера (копию договора), подтверждающие факт регистрации номера телефона по которому организация осуществляет звонки, на абонента (субъекта персональных данных) отличного от того который интересует организацию.


          18. Вопрос: Куда обращаться, если мне поступают телефонные звонки с требованиями (просьбами) о погашении (оплате) долгов других физических лиц?

          Ответ: Согласно, ст. 3 Закона, персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.
          В данных же действиях Управление усматривает противоправные действия в отношении физических лиц, носящие мошеннический характер с использованием сетей связи. В соответствии с Положением вопросы связанные с пресечением противоправных действий, носящих мошеннический характер, совершаемых с использованием сетей связи к компетенции Управления не относятся. Выявление и пресечение вышеуказанных действий, находятся в сфере деятельности правоохранительных органов. В целях дальнейшего решения данных вопросов, Управление рекомендует гражданам обращаться в правоохранительные органы.


          19. Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?

          Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.


          20. Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?

          Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией  либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.


          21. Вопрос: Существуют ли стандарты или рекомендации по исполнению Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» операторами?

          Ответ: Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют. Ознакомиться с ними можно в разделе «Стандарты, рекомендации и концепции» Портала «Персональные данные»:
          - стандарты и рекомендации в области стандартизации Банка России -http://www.cbr.ru/credit/Gubzi_docs/;
          - концепция защиты персональных данных в информационных системах персональных данных оператора связи - http://minkomsvjaz.ru/3495/8317/8319/8322/;
          - методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости - http://www.minzdravsoc.ru/docs/mzsr/informatics/5,http://www.minzdravsoc.ru/docs/mzsr/informatics/4.

          22. Вопрос: Является ли обработкой персональных данных поступление телефонных звонков с целью проведения телефонных опросов граждан? 

          Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О защите персональных данных», персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных и т.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого-либо конкретного субъекта персональных данных.


          23. Вопрос: Является ли обработкой персональных данных поступления СМС сообщений и телефонных звонков с предложениями рекламного или информационного характера?

          Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О защите персональных данных», персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
          Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Вопросы, связанные с поступлением сообщений (звонков) рекламного характера (предоставления услуг), входят в компетенцию органа, осуществляющего государственный контроль по вопросам распространения рекламы в сетях электросвязи, Федеральной антимонопольной службы (ФАС). Для прекращения дальнейшего использования номера телефона в рекламных целях (в частности, распространения рекламы в сетях электросвязи) целесообразно обратиться в ФАС. Рассмотрение обращений граждан, поступивших в ФАС, осуществляется в соответствии с требованиями Административного регламента ФАС по исполнению государственной функции по рассмотрению дел, возбужденных по признакам нарушения законодательства Российской Федерации о рекламе, утвержденного приказом ФАС России от 28.12.2007 № 453.


          24. Вопрос: Что делать, если мне поступают телефонные звонки с требованиями (просьбами) позвать другого субъекта персональных данных с целью решения каких - либо вопросов, в том числе финансовых?

          Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О защите персональных данных», персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. В целях дальнейшего решения данного вопроса Управление рекомендует гражданам предоставлять в адрес организации, от которой поступают такие звонки, сведения документального характера (копию договора), подтверждающие факт регистрации номера телефона по которому организация осуществляет звонки, на абонента (субъекта персональных данных) отличного от того который интересует организацию.


          25. Вопрос: Куда обращаться, если мне поступают телефонные звонки с требованиями (просьбами) о погашении (оплате) долгов других физических лиц? 

          Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О защите персональных данных», персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) - это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.
          В данных же действиях Управление усматривает противоправные действия в отношении физических лиц, носящие мошеннический характер с использованием сетей связи. В соответствии с Положением вопросы, связанные с пресечением противоправных действий, носящих мошеннический характер, совершаемых с использованием сетей связи, к компетенции Управления не относятся. Выявление и пресечение вышеуказанных действий находится в сфере деятельности правоохранительных органов. В целях дальнейшего решения данных вопросов Управление рекомендует гражданам обращаться в правоохранительные органы.


          26. Вопрос: Согласие субъекта на обработку персональных данных должно содержать подпись субъекта персональных данных. Как быть в тех случаях, когда персональные данные предоставляются оператором через телекоммуникационные сети Интернет и личной встречи между оператором и субъектом не происходит. Достаточно ли в этом случае выражения согласия  субъекта персональных данных на обработку его данных путем проставления отметки в согласии в электронном виде. Например, при предоставлении по электронной почте анкет соискателей на вакансии работодателей, предоставление данных организатору конкурса, проводимого в Интернет).

          Ответ: При наличии требования федерального закона об обязательном получении в конкретных случаях письменного согласия, документ должен быть подписан либо на бумажном носителе, либо в электронной форме (посредством электронной подписи как аналога собственноручной).
          ФЗ «О персональных данных» регламентирует, что согласие на обработку персональных данных может быть дано гражданином или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае, если наличие письменного согласия в силу закона не обязательно, гражданин может выразить свое согласие на обработку персональных данных любым способом, в частности проставлением отметки в электронном виде. При этом необходимо помнить, что обязанность предоставить доказательство получения согласия субъекта персональных данных возлагается на оператора.


          27. Вопрос: После удаления своего аккаунта из соцсети, информация о персональных данных все равно там остается. Правомерно ли оставление информации в соцсети о лице, давно удалившемся из нее? 

          Ответ: Принимая решение о регистрации в социальной сети, пользователю необходимо внимательно ознакомиться с пользовательским соглашением или иным документом, регламентирующим отношения между пользователем и администратором интернет-ресурса. Как правило, в указанном соглашении оговариваются вопросы, связанные с обработкой персональных данных, в том числе вопрос о возможности обработки персональных данных пользователя после его удаления из социальной сети. Статья 9 ФЗ «О персональных данных» предусматривает право субъекта отозвать свое согласие на обработку персональных данных, за исключением случаев, предусмотренных федеральным законом. 

         28. Вопрос: Управляющая организация осуществила передачу права на взыскание задолженности по жилищно-коммунальным услугам коллекторскому агентству без согласия собственников. Является ли нарушением  законодательства о персональных данных данное обстоятельство?

         Ответ: В соответствии с пунктами 2, 5, 7 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон) обработка персональных данных допускается в случаях:

         - обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

         - обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;

         - обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

         В соответствии с частью 1, 2 статьи 382 Гражданского Кодекса Российской Федерации:

         Право (требование), принадлежащее кредитору на основании обязательства, может быть передано им другому лицу по сделке (уступка требования) или перейти к другому лицу на основании закона.

         Для перехода к другому лицу прав кредитора не требуется согласие должника, если иное не предусмотрено законом или договором.

         В соответствии с частью 2 статьи 385 Гражданского Кодекса Российской Федерации: кредитор, уступивший требование другому лицу, обязан передать ему документы, удостоверяющие право требования, и сообщить сведения, имеющие значение для осуществления требования.

          29. Вопрос: Служба взыскания задолженности банка донимает меня ежедневными звонками по кредитной задолженности незнакомого мне человека.  Соглашений на обработку и использование персональных данных  члены нашей семьи не подписывали. Что можно предпринять в данной ситуации?

          Ответ: Оператор связи на основе договора об оказании услуг связи выделяет конкретный абонентский номер конкретному абоненту, при этом абонентом может быть как физическое, так и юридическое лицо. Абонентский номер может последовательно быть выделен нескольким физическим лицам.

         Сведения о диапазоне абонентских номеров, выделенных конкретному оператору связи в конкретном регионе размещены в Реестре нумерации Российской системы и плана нумерации. Реестр является общедоступным, размещен на сайте Федерального агентства связи.

         Реестр содержит диапазон ресурса нумерации, наименование оператора связи, которому выделен указанный диапазон, а также регион (территория) для использования указанного диапазона.

         В Вашем обращении отсутствуют сведения о том, что при осуществлении звонков на абонентский номер проинформировано о выделении данного абонентского номера именно Вам.

         В данном случае отсутствуют основания полагать, что при осуществлении звонков Службой взыскания задолженности банка имела место обработка Ваших персональных данных.

         В соответствии с ч.1 ст. 14 Закона  субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

         В связи с вышеизложенным, рекомендуем Вам письменно проинформировать Службу взыскания задолженности банка об обработке Ваших персональных данных (телефонных номеров)  и в соответствии с ч.1 ст. 14 Закона требовать прекращения их обработки.

 

          28. Вопрос: В информационно-телекоммуникационной сети «Интернет» имеет место факт размещения на сайтах информации, содержащей персональные данные о лицах, привлеченных к уголовной ответственности  (решения судов). Является ли данный факт  нарушением законодательства о персональных данных?

          Ответ: В соответствии со ст. 3 Закона персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

         Вместе с тем, раскрытие предполагаемой информации может осуществляться либо в силу федерального закона, либо с согласия этих лиц.

         В соответствии со ст. 7 Закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

         Судебные решения, в том числе по делам об административных правонарушениях, размещаются в открытом доступе в сети Интернет в соответствии со ст. 14 Федерального закона от 22.12.2008 № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» (далее - Закона от 22.12.2008 №  262-ФЗ).

         Согласно ст. 15 Закона от 22.12.2008 №  262-ФЗ при размещении в сети Интернет текстов судебных актов, вынесенных судами общей юрисдикции, в открытом доступе исключаются персональные данные, кроме фамилий и инициалов истца, ответчика, третьего лица, гражданского истца, гражданского ответчика, осужденного, оправданного, лица, в отношении которого ведется производство по делу об административном правонарушении, секретаря судебного заседания, рассматривавших (рассматривавшего) дело судей (судьи), а также прокурора, адвоката и представителя, если они участвовали в судебном разбирательстве. Вместо исключенных персональных данных используются инициалы, псевдонимы или другие обозначения, не позволяющие идентифицировать участников судебного процесса.

         Следовательно, объем размещенной в открытых источниках информации о лицах, привлеченных к административной ответственности не должен превышать объем, установленный  ст. 15 Закона от 22.12.2008 №  262-ФЗ.

Время публикации: 28.08.2014 08:25
Последнее изменение: 28.08.2014 20:46