Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Войти

Кто является субъектом персональных данных

341
26 мая

Каждый из нас является субъектом  персональных данных. Мы все — носители информации, обработка которой часто не может осуществляться без согласия. Указанные сведения позволяют идентифицировать нас, в связи с чем они используются в разных сферах нашей жизни. Далее разъяснено, кто является субъектом, каковы его права, защита данных и ответственность. 

Над статьей работали:
редактор: Чапис Елена

Содержание

  1. Субъекты персональных данных: кто это
  2. Перечень категорий субъектов персональных данных
  3. Законный представитель субъекта персональных данных
  4. Права субъекта персональных данных
  5. Субъекты персональных данных обязаны
  6. Реестр субъектов персональных данных
  7. Орган по защите прав субъектов персональных данных
  8. Меры защиты прав субъектов персональных данных
  9. Ответственность перед субъектом персональных данных

Субъекты персональных данных: кто это

Субъект персональных данных (далее ПД) — это любое физическое лицо (ст. 3 Закона от 27.07.2006 № 152 «О персональных данных»). ПД — это любая информация, которая относится к этому субъекту. Это также указано в статье 3 данного закона.

Иначе говоря, субъект ПД — это человек, к которому относятся персональные данные. Такое определение есть в модельном законе о ПД (Принят в  Санкт-Петербурге 16.10.1999 постановлением 14 — 19 на 14-м пленарном заседании Межпарламентской ассамблеи государств — участников СНГ).

Совершение любых действий с информацией, принадлежащей субъекту, называется обработкой ПД.
Такие действия включают в себя:
• получение (сбор),
• систематизацию,
• хранение,
• уточнение,
• использование,
• распространение,
• удаление,
• совершение иных действий.

Тот, кто обрабатывает информацию, это оператор ПД.

Информация (персональные данные) делится на следующие виды:
Общая. Это любые данные, которые имеют прямое (косвенное) отношение к физлицу (п. 1 ст. 3 закона о ПД):
— Ф.И.О.;
— год, месяц, дата и место рождения;
— адрес;
— семейное, имущественное или иное положение;
— образование;
— профессия;
— иные сведения.
Специальная. Сюда входят такие сведения, как:
— расовая принадлежность,
— национальная принадлежность,
— политические взгляды,
— религиозные (философские) убеждения,
— состояние здоровья,
— интимная жизнь.
Эта категория отличается тем, что доступ к ней по определению ограничен, что следует из п. 1 ст. 10 закона о ПД. То есть обработка спец категории не допускается, за исключением случаев, установленных ч. 2 и 2.1 ст. 10 закона о ПД.
Биометрического характера.  В этой категории данные связаны с физиологическими (биологическими) характеристиками физлица. С их помощью можно установить конкретную личность. Об этих сведениях говорится в ч. 1 ст. 11 закона о ПД.

Перечень категорий субъектов персональных данных

Перечень категорий субъектов законом не установлено. С точки зрения российских нормативных актов деления на категории не происходит вовсе. Есть лишь общее понимание того, кто такой субъект.
Однако без этого все же не могут обойтись непосредственно операторы ПД. Это связано с тем, что они должны осуществлять обработку в зависимости от конкретной цели (ст. 5 закона № 152). Цель как раз и провоцирует делению субъектов на категории. Поскольку в таком случае одни физлица будут соответствовать целям оператора, а другие нет. Более того, таких целей может быть еще и несколько, и для каждой будет нужна своя категория.

Например, в обычной организации субъектов, как правило, делят:
• на соискателей на вакантные должности;
• сотрудников, имеющих трудовые договоры и членов их семей;
• бывших сотрудников;
• контрагентов;
• иных лиц, ПД которых должен обрабатывать работодатель согласно законодательству.

В каждом из перечисленных случаев мы говорим про физических лиц. То есть их объединяет то, что все они субъекты персональных данных (далее СПД). Однако роли у таких физлиц могут быть разные. Поэтому оператору нужно как-то разделять их принадлежность той или иной цели. Так и появляются категории.

Данный факт оператор должен зафиксировать. Сделать это он может самостоятельно, путем издания внутренних документов. Обычно это положение об обработке ПД и соответствующие приказы. В них в числе прочего указываются категории, порядок обработки и иные нюансы.

Законный представитель субъекта персональных данных

По ряду причин субъекту может понадобиться законный или уполномоченный представитель. Такое лицо, так же как и СПД, вправе давать согласие на обработку. Об этом говорится в ст. 9 закона № 152.

Причинами могут быть:
• представление интересов несовершеннолетнего;
• наличие у субъекта ограниченной дееспособности или полная недееспособность;
• нахождение в другой стране;
• нахождение в местах лишения свободы;
• наличие заболеваний, травм и иных проблем со здоровьем;
• иные случаи.

Отличие законного и уполномоченного представителя в том, что первый является им по закону, а второй — по доверенности. Случай с доверенностью дополнительного пояснения не требует. А вот о законных представителях можно рассказать подробнее.

Законными представителями физических лиц в общем случае являются родители, усыновители, попечители, опекуны. В отдельных случаях представителями могут выступать и иные лица, например, органы опеки, медицинские организации и другие.

Существуют также иные особенности, связанные с получением согласия от субъекта. В частности, это касается случая, когда им является несовершеннолетний ребенок. Здесь важно разобраться, кто именно в такой ситуации дает согласие — ребенок или родитель. Поскольку закон в полной мере не содержит разъяснений.

Дело в том, что пункт 6 статьи 9 закона № 152 указывает, что согласие должен давать именно законный представитель. В нем говорится о случае, когда субъект является недееспособным. Но проблема в том, что ребенок не является совсем недееспособным. Он лишь ограничен законом в такой дееспособности. Это также подкрепляется тем, что закон № 152 прямо не ограничивает несовершеннолетних давать согласие.

Дальше имеет значение возраст ребенка:
• если ему до 14 лет, потребуется только согласие родителя (усыновителя, опекуна). Это связано с тем, что согласно ст. 28 ГК РФ, сделки за лиц, не достигших 14 лет, вправе совершать только их родители;
• если ему от 14 до 18 лет, следует получить два согласия. Одно несовершеннолетний должен дать сам, другое – его законный представитель. Такой вывод следует из статьи 26 ГК РФ — данные лица обладают дееспособностью. Хотя она и ограничена возможностями данной статьи кодекса. В частности, в статье говорится, что сделки данные лица совершают с письменного согласия представителя. Однако часть сделок они имеют право совершать самостоятельно, без получения согласия.

Есть еще некоторые особенности, связанные с возрастом:
• несовершеннолетнее лицо может вступить в брак до 18 лет;
• несовершеннолетний, достигший 16 лет, может воспользоваться эмансипацией. Условия ее получения прописаны в статье 27 ГК РФ.
В обоих указанных случаях лицо становится дееспособным в полном объеме. Соответственно, согласие на обработку ПД он дает самостоятельно, без учета мнения законного представителя.

Права субъекта персональных данных

Закон № 152 о ПД содержит главу 3, которая касается именно прав субъекта.

Она делится на 4 основных раздела:
1. Право на доступ к своим персональным данным (ст. 14).
2. Права при обработке ПД в целях продвижения товаров (работ, услуг) на рынке и при полит агитации (ст. 15).
3. Права в случае принятия решений на основании автоматизированной обработки данных (ст. 16).
4. Право обжаловать действия (бездействие) оператора (ст. 17).
Далее кратко рассмотрим ключевые особенности каждого из них.

Раздел 1
В нем говорится, что СПД имеет право на получение определенных сведений о себе. Их перечень содержится в ч.7 ст.14 ФЗ № 152. Например, в него входят такие данные:
• подтверждение факта обработки ПД;
• правовые основания и цели обработки;
• цели и способы, которые применяет оператор;
• сроки обработки;
• информация о трансграничной передаче данных;
• иные сведения из указанной статьи.
При этом право на доступ к перечисленным данным может быть ограничено. Причины такого ограничения перечислены в ч. 8 ст. 14 закона о ПД. Например, это может быть проверка сведений в целях обороны страны, нарушение прав третьих лиц и другое.
Субъект, в частности, может требовать (при наличии оснований):
• уточнения,
• блокирования,
• уничтожения.
Чтобы получить информацию, СПД нужно обратиться к оператору либо направить запрос. Оператор в ответ должен направить ПД субъекту в течение 10 дней с момента обращения (получения запроса).
Содержание запроса:
• номер паспорта (иного удостоверения личности);
• дата и орган выдачи;
• подтверждение отношений с оператором;
• подпись СПД.

Раздел 2
Данный блок указывает на обязательное предварительное согласие субъекта. Оператор персональных данных (далее ОПД) должен доказать наличие такого согласия.
Если субъект потребует немедленно прекратить обработку, оператор должен это сделать.

Раздел 3
Основные заключения по разделу следующие:
• При автоматизированной обработке запрещено принимать решения при наличии последствий для СПД. В частности, юридические и другие последствия, затрагивающие его права и интересы. Исключение — ч. 2 ст. 16 закона № 152.
• Решения с перечисленными выше последствиями может быть принято:
— при наличии согласия;
— в случаях, предусмотренных законом.
• Субъекту должен быть разъяснен порядок принятия такого решения и его последствия. У него должно быть право заявить возражение и разъяснить порядок защиты своих прав.
• Возражение должно быть рассмотрено в течение 30 дней со дня его получения. О результатах рассмотрения нужно уведомить СПД.

Раздел 4
У субъекта есть право на обжалование действий (бездействия) оператора. Он может это сделать, если считает, что есть нарушение его прав и свобод. Жалоба может быть подана в органы Роскомнадзора или в суд.
СПД также вправе требовать возмещения убытков и компенсацию вреда.

Субъекты персональных данных обязаны

Начнем с того, что закон № 152 прямо не устанавливает общие обязанности для всех СПД. Однако для разных категорий субъектов могут быть утверждены свои, отдельные требования.

Они разбросаны по различным НПА из разных сфер законодательства, например:
• в сфере трудового права. Можно взять за основу статью 65 ТК РФ. Из нее прямо следует, что соискатель при поступлении на работу должен предъявить ряд документов, что указывает на обязательное предоставление персональных данных. Даже несмотря на то, что прямо об этом в тексте не говорится;
• в налоговых отношениях. Статья 23 НК РФ говорит о постановке на учет в ФНС и о представлении документов. Это также свидетельствует о предоставлении персональных данных;
• иных положениях действующего законодательства. Таких положений множество.

Кроме того, обязанность СПД может возникать из разных договорных обязательств. Например, из договора банковского обслуживания, в котором клиент обязуется предоставить достоверные ПД.

То же самое касается и любых других договоров, где стороны согласуют подобные условия.

Реестр субъектов персональных данных

Законом не предусмотрен единый реестр физических лиц, чьи данные обрабатываются. Поэтому как такового его не существует.

Вместе с тем встречаются другие виды реестров:
• реестр нарушителей прав субъектов ПД, утвержденный Постановлением Правительства РФ от 19.08.2015 № 857. Это список операторов, которые нарушили закон в области обработки ПД;
• реестр операторов ПД, который ведет Роскомнадзор. Сведения в него вносят и исключают на основании уведомлений от операторов. Проверить наличие лица в реестре можно на официальном сайте Роскомнадзора http://pd.rkn.gov.ru/.

Что касается субъектов, то на локальном уровне такой список может существовать. Это не конкретно реестр СПД, однако это тоже список лиц, чьи данные обрабатываются. Более того, создание документов, определяющих политику обработки, – это обязанность оператора (ст. 18.1 закона № 152).
Такие документы должны включать:
• цели обработки;
• категории и перечень обрабатываемых сведений;
• категории субъектов ПД;
• иную информацию, связанную с обработкой.

Орган по защите прав субъектов персональных данных

Уполномоченным органом по защите является Роскомнадзор. Положения о нем содержатся в ст. 23 закона № 152. Он занимается контролем и надзором за соответствием обработки ПД требованиям закона. Также положения о данном органе содержатся в Постановлении Правительства РФ от 16.03.2009 № 228.

Роскомнадзор занимается рассмотрением обращений СПД и принимает по ним решения.

Орган обладает следующими правами:
• осуществлять запрос и получение информации от физических и юридических лиц;
• проверять данные, содержащиеся в уведомлении об обработке;
• требовать уточнения (блокирования, уничтожения) недостоверных или незаконных ПД;
• ограничивать доступ к сведениям при наличии нарушений;
• принимать меры по приостановлению (прекращению) обработки ПД;
• обращаться в суд с исками и представлять в них интересы субъектов;
• осуществлять иные полномочия, указанные в ч. 3 ст. 23. закона № 152.

Обязанности Роскомнадзора:
• защита прав СПД;
• рассмотрение жалоб и обращений граждан и юрлиц, а также принятие по ним решений;
• ведение реестра операторов;
• совершенствование мер защиты прав СПД;
• принятие мер по приостановлению (прекращению) обработки в установленном порядке;
• информирование госорганов и субъектов по их обращениям и запросам;
• иные предусмотренные законодательством РФ функции.

Меры защиты прав субъектов персональных данных

Контролем занимается Роскомнадзор. Осуществляя свои права и выполняя свои обязанности (ранее перечисленные выше), он защищает права СПД.

Однако непосредственно при обработке защитой занимается ОПД — это одна из его обязанностей. Соблюдение данной обязанности также контролирует Роскомнадзор.

Далее расскажем подробнее об обязанностях оператора. А после перейдем к конкретным мерам защиты, которые каждый ОПД должен осуществлять.

Обязанности оператора:
• уведомление Роскомнадзора об обработке (ст. 22 закона № 152). Это нужно сделать до начала обработки. Для этого используется форма, утвержденная приложением № 1 к Приказу Роскомнадзора от 28.10.2022 № 180. Подписать документ должно уполномоченное лицо;
• обеспечение доступа (публикация) к политике ПД (ч. 2 ст. 18.1). Если сбор данных осуществляется через Интернет, политика публикуется на вашем официальном сайте. К ней необходимо обеспечить доступ, также через Сеть. Также документ можно разместить в офисе на официальном стенде. Если сбор осуществляется без Интернета;
• соблюдение требований закона при самой обработке:
— назначение ответственного за обработку, если вы организация (ч. 1 и 4 ст. 22.1);
— соблюдение принципов, перечисленных в ст. 5 закона;
— работа с данными, только в случаях, указанных в ч. 1 ст. 6;
— получение согласия от СПД, если это необходимо (п. 1 ч. 1 ст. 6, ст. 9, 10.1);
— разъяснение юридических последствий отказа (ч. 2 ст. 18);
— иные требования, установленные законодательством;
• проведение аудита и внутренний контроль (п. 4 ч. 1 ст. 18.1). Это нужно, чтобы обработка соответствовала НПА, требованиям к защите, политике обработки и локальным актам компании. Законодательство не устанавливает порядок проведения данных мероприятий. Поэтому вы можете разработать их самостоятельно, закрепив это в ваших локальных актах;

• Оценка вреда, который может быть причинен СПД (п. 5 ч. 1 ст. 18.1). Она осуществляется путем определения степени вреда. Таких степеней три – низкая, средняя и высокая. Подробнее информацию о них можно найти в требованиях к оценке вреда, утвержденных Приказом Роскомнадзора от 27.10.2022 № 178. Результаты оценки нужно зафиксировать. Для этого составляется акт оценки возможного вреда субъектам ПД, в котором должны быть:
— наименование и адрес ОПД,
— дата проведения оценки вреда,
— Ф.И.О. (при наличии),
— подпись того, кто проводил оценку;
— степень потенциального вреда.
Акт в электронном виде с подписью, равнозначен акту на бумажном носителе;
• Хранение данных (ч.7 ст.5). Срок хранения не должен превышать срока, который требуют цели обработки. Иной срок может быть установлен федеральным законом или договором. Примите правовые (организационные, технические) меры защиты, которые нужны, чтобы не допустить:
— уничтожения,
— изменения,
— блокирования,
— иного вторжения.
Также учитывайте следующие нормы:
— Постановление Правительства РФ от 01.11.2012 № 1119;
— Постановление Правительства РФ от 06.07.2008 № 512;
— Постановление Правительства РФ от 15.09.2008 № 687.
• Блокирование данных (ч. 1 ст. 21). В случае неправомерной обработки ОПД обязан совершить блокирование. Также это нужно сделать, если выявлены неточные сведения. Второй случай возникает, когда есть обращение (запрос) СПД или Роскомнадзора.
• Уточнение сведений (ч. 2 ст. 21). В случае выявления неточных данных их нужно уточнить в течение 7 рабочих дней. Срок начинает течь с момента получения сведений, представленных СПД (Роскомнадзором).
• Предоставление информации по запросу (обращению). За ней могут обратиться:
— физлицо, чьи данные обрабатываются;
— Роскомнадзор;
— третьи лица при наличии согласия СПД;
— органы прокуратуры;
— полиция;
— судебные органы;
— налоговая служба;
— приставы;
— нотариус;
— юрлица при установлении бенефициарных владельцев;
— арбитражный управляющий.
• Прекращение обработки (ч. 3 ст. 21). Это нужно сделать, когда выявлена неправомерная обработка. Срок – 3 рабочих дня с даты выявления. В отдельных случаях обработка прекращается немедленно. В частности, в случае, указанном в ч. 2 ст. 15 закона.

Меры защиты:
• Правовые. Мера заключается в создании определенного комплекта документов для защиты. Конкретного перечня в законе нет, поэтому вы сами решаете, какие документы принять. Однако в ваших интересах максимально детально отразить процесс обработки ПД. Обычно это:
— политика в отношении обработки ПД;
— приказ о назначении ответственного лица;
— приказ об утверждении перечня сотрудников, обладающих правом доступа;
— соглашение о конфиденциальности с сотрудниками, имеющими доступ;
— иные документы на ваше усмотрение.
• Технические и организационные. Перечень мер зависит от того, как вы храните данные.

Если на бумажных носителях, то вам нужно:
— ограничить физический доступ к информации;
— контролировать физический доступ (к примеру, хранить информацию в сейфе).

Если это электронные данные:
— определите тип угрозы. Всего их три. Посмотреть, что каждый из них означает, можно в п. 6 требований Постановления Правительства РФ от 01.11.2012 № 1119;
— подберите уровень защищенности. Всего их четыре. Тот или иной уровень зависит от типа угрозы. Обозначение уровней также содержится в в п. 8 постановления № 1119;
— определите конкретный комплекс мер. Они зависят от того, какой у вас уровень защищенности. Конкретные меры по каждому уровню защищенности описаны в пп. 13– 16 постановления;
— кроме этого, нужно взаимодействовать со специальной госсистемой. О ней рассказывается в ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ. О необходимости такого взаимодействия указано в ч. 12 ст. 19 закона о ПД. Также следует руководствоваться Приказом ФСБ России от 13.02.2023 № 77.

Ответственность перед субъектом персональных данных

Существует несколько видов ответственности за нарушение законодательства о ПД. Кратко перечислим каждый из них:

Административная ответственность:
— нарушение правил обработки – ст. 13.11 КоАП РФ;
— неисполнение ОПД обязанностей при взаимодействии с гражданином – ст. 13.11 КоАП РФ;
— невыполнение требований по защите – ст. 13.11 КоАП РФ;
— неисполнение ОПД обязанностей при взаимодействии с Роскомнадзором. Статьи КоАП РФ — 19.7, 19.5, 19.4.1, 13.11;
— ответственность банков, МФЦ и иных организаций за нарушения при размещении биометрических ПД – ст. 13.11.3 КоАП РФ.
Гражданско-правовая ответственность. Она может быть в виде компенсации морального вреда, возмещения убытков, взыскания неустойки. Нормы:
— ч. 2 ст. 24 закона о ПД
— ст. 15, 151, 1101, 1064, 1068 ГК РФ;
Материальная ответственность работодателя (ст. 90, ч. 1 ст. 232, ч. 1 ст. 233 ТК РФ) — если в области ПД сотрудникам был причинен материальный ущерб и (или) моральный вред. В зависимости от последствий нужно будет возместить ущерб в полном объеме и (или) моральный вред.
Иные виды ответственности:
— дисциплинарная и материальная ответственность работника (ст. 192 и 238 ТК РФ);
— уголовная ответственность в соответствии со ст. 140, 272.1 УК РФ;
— административная ответственность оператора по ст. 13.11 КоАП.

Читайте также
эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь