Кто является субъектом персональных данных
Субъект персональных данных — это определенное или определяемое физическое лицо, к которому прямо или косвенно относятся персональные данные (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Под ними, в свою очередь, понимают любую информацию, которая может относиться к такому физическому лицу. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и закон № 152-ФЗ делит ее на 4 категории:
- Общедоступные. Это данные, которые могут быть выложены в общий доступ и для которых не предусмотрена специальная законодательная защита. Например, имя и фамилия субъекта персональных данных.
- Специальные. К ним относятся сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Они могут обрабатываться только в случаях, предусмотренных законом.
- Биометрические. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, отпечатки пальцев. Их обработка возможна только в особых случаях, предусмотренных законом.
- Иные. В данную категорию входят персональные данные, которые не подпадают в четыре другие.
Категории субъектов персональных данных
Законодательство не делит субъектов персональных данных на категории.
Категории субъектов персональных данных могут понадобиться оператору данных для удобства работы.
Операторы вправе такие категории самостоятельно ввести внутренними приказами и положениями. Т.е. любой государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных (ст. 3 закона № 152-ФЗ), могут прописать категории субъектов и определить для разных категорий разный регламент обработки данных.
Категории субъектов удобно определить в зависимости от целей обработки данных.
Например, коммерческая организация может выделить следующие виды субъектов персональных данных:
- Соискатели на должность,
- Работники,
- Контрагенты и представители контрагентов по гражданско-правовым договорам.
Права субъекта персональных данных
Права субъектов персональных данных перечислены в главе 3 закона № 152-ФЗ. Рассмотрим каждое из них.
Право на доступ к персональным данным
Каждый субъект персональных данных имеет право на доступ к своим данным. В связи с этим он вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Также субъект имеет право принимать предусмотренные законом меры по защите своих прав.
Также субъект персональных данных вправе получать информацию, связанную с их обработкой и содержащую:
- подтверждение факта обработки персональных данных оператором;
- правовые цели и основания такой обработки;
- цели и способы обработки персональных данных;
- название и местонахождение оператора;
- состав обрабатываемых данных;
- сроки обработки и хранения данных;
- порядок реализации прав субъекта персональных данных;
- сведения о передаче информации за рубеж;
- сведения о должностном лице, выполняющем обработку по поручению оператора;
- информацию о мерах, направленных на предотвращение утечки персональных данных.
Также субъект персональных данных может запросить иные сведения, которые не указаны в законе № 152-ФЗ, но предусмотрены иными нормативными актами.
Когда оператор может ограничить право на доступ к персональным данным для субъекта
В ряде случаев право субъекта на доступ к его персональным данным может быть ограничено:
- если данные были получены в связи с осуществлением оперативно-разыскной или разведывательной деятельности;
- если данные обрабатывают правоохранительные органы, задержавшими субъекта по подозрению в совершении преступления или применившими к нему меру пресечения, назначенную судом;
- если обработка персональных данных осуществляется в соответствии с законодательством о противодействии отмыванию незаконно полученных доходов;
- если доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц;
- если обработка персональных данных выполняется в связи с транспортной безопасностью и направлена на обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
В случаях, если уголовно-процессуальным законодательством допускается ознакомление подозреваемого или обвиняемого с персональными данными, собранными при задержании или применения меры пресечения, такое ознакомление возможно. Так, согласно ст. 216 УПК, по ходатайству потерпевшего, гражданского истца, гражданского ответчика и их представителей следователь знакомит этих лиц с материалами уголовного дела, содержащего персональные данные.
Права субъектов персональных данных при рекламной обработке их персональных данных
Обработка персональных данных в рекламных целях для продвижения товаров, работ, услуг на рынке путем, а также для политической агитации, которая производится посредством осуществления прямых контактов с потенциальным потребителем с помощью средств связи, возможна только при условии предварительного согласия субъекта персональных данных.
Без предварительного согласия такая обработка может осуществляться только в том случае, если оператор докажет, что оно было получено ранее.
На практике согласие предоставляется при заключении договора с оператором персональных данных. Например, при приобретении SIM-карты или при оформлении дебетовой карты в банке. Иногда согласие содержится непосредственно в договоре, а иногда представляет собой отдельный документ, который подписывается вместе с ним.
Даже при наличии согласия оператор обязан немедленно прекратить коммерческую обработку персональных данных в рекламных целях по требованию субъекта.
Что на практике делать организации, получившей отказ в обработке персональных данных от субъекта? Ответ эксперта из Роструда можно прочитать в системе КонсультантПлюс. Узнать сколько стоит платный доступ в систему, можно по ссылке. Попробовать ею пользоваться через бесплатный двухдневный доступ можно здесь.
Права при принятии решений на основании автоматизированной обработки их персональных данных
Запрещается принимать юридически значимые решения на основании обработки персональных данных, которая производится исключительно автоматически. Исключение составляют случаи, когда субъект персональных данных дал письменное согласие на принятие такого решения, а также в случаях, прямо установленных федеральным законодательством (например, отдельные нормы КоАП РФ предусматривают возможность привлечения к административной ответственности на основании автоматизированной фиксации правонарушения).
Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Если оператору поступает возражение, то он обязан рассмотреть его в течение 30 дней со дня поступления и уведомить о результатах рассмотрения субъекта персональных данных.
Право на обжалование действий или бездействия оператора персональных данных
Согласно ст. 17 закона № 152-ФЗ субъект персональных данных имеет право обжаловать действия или бездействие оператора персональных данных если считает, что тот обрабатывает его персональные данные с нарушением действующего законодательства, а также нарушает его права и свободы.
Куда можно направить жалобу:
- В Роскомнадзор (согласно Постановлению Правительства РФ от 16.03.2009 № 228, является уполномоченным органом по защите прав субъектов персональных данных);
- В суд (можно обжаловать в судебном порядке действия или бездействие оператора персональных данных, а также потребовать в суде возмещение убытков или компенсацию морального вреда).
Жалоба в Роскомнадзор на оператора персональных данных
Жалоба составляется в свободной форме.
Заявитель должен подписать жалобу и направить в Роскомнадзор на бумажном носителе или через электронную приемную. Ее рассматривают в течение 30 календарных дней. О результатах рассмотрения уведомляют заявителя.
Оспаривание действий оператора персональных данных в суде
Для оспаривания действий оператора персональных данных в суде необходимо подать не жалобу, а исковое заявление. Его нужно направить в районный городской суд по месту своего жительства (ч. 6.1 ст. 29 ГПК РФ).
К исковому заявлению нужно приобщить доказательства нарушения прав истца.
Необходимо оплатить госпошлину в размере 3000 руб. Реквизиты для оплаты отличаются в зависимости от суда, поэтому их лучше выяснить не посредственно на сайте суда.
Оценка вреда субъектам персональных данных
Вред субъекту оценивает оператор персональных данных. Он обязан произвести такую оценку по результатам рассмотрения жалобы субъекта персданных или по результатам проверки Роскомнадзора.
Порядок оценки установлен Требованиями, утв. Согласно Приказом Роскомнадзора от 27.10.2022 № 178.
Степень вреда субъектам персональных данных может быть нескольких степеней.
|
Степень вреда из-за нарушения в области персональных данных | |
|---|---|
|
Высокая | |
|
Когда присваивается |
Если вред нанесен при обработке биометрических или специальных персональных данных, сведений, связанных с несовершеннолетними при заключении ими ряда договоров, при обезличивании персональных данных, поручения их обработки иностранному лицу или при их сборе с использованием баз данных за пределами Российской Федерации. |
|
Средняя | |
|
Когда присваивается |
При распространении персональных данных в Интернете, при их обработке в целях, отличных от первоначальной цели сбора, продвижения товаров или услуг с использованием собственных баз данных, получения согласия на обработку данных на сайте без идентификации субъекта, предоставление права обработки полученной информации неопределенному кругу лиц в целях, не связанных между собой |
|
Низкая | |
|
Когда присваивается |
В случае ведения общедоступных источников персональных данных, сформированных в соответствии со ст. 8 закона № 152-ФЗ, а также назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора. |
|
Степень вреда из-за нарушения в области персональных данных |
Когда присваивается |
|
Высокая |
Если вред нанесен при обработке биометрических или специальных персональных данных, сведений, связанных с несовершеннолетними при заключении ими ряда договоров, при обезличивании персональных данных, поручения их обработки иностранному лицу или при их сборе с использованием баз данных за пределами Российской Федерации. |
|
Средняя |
При распространении персональных данных в Интернете, при их обработке в целях, отличных от первоначальной цели сбора, продвижения товаров или услуг с использованием собственных баз данных, получения согласия на обработку данных на сайте без идентификации субъекта, предоставление права обработки полученной информации неопределенному кругу лиц в целях, не связанных между собой |
|
Низкая |
В случае ведения общедоступных источников персональных данных, сформированных в соответствии со ст. 8 закона № 152-ФЗ, а также назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора. |
По результатам оценки составляется акт оценки вреда субъектам персональных данных, который должен содержать сведения об операторе, дату составления документа, дату проведения оценки вреда, ФИО и должность лиц, которые его проводили, их подписи, а также степень вреда.
Согласие субъекта на обработку персональных данных
В соответствии с ч. 1 ст. 9 закона № 152-ФЗ субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие можно дать в любой форме, которая позволяет подтвердить факт согласия. Т.е. это должен быть документ с достоверной подписью субъекта персональных данных.
При получении согласия от представителя оператор должен проверить его полномочия. Например, в случае, если родители соглашаются на обработку персональных данных ребенка, он проверяет свидетельство о рождении.
Субъект персональных данных имеет право в любой момент отозвать согласие на их обработку, данное оператору. В ряде случаев даже после отзыва согласия оператор вправе продолжить обрабатывать персональные данные, например, в интересах судопроизводства или для исполнения договора.
Если между субъектом и оператором возникает спор (например, судебный), то получения от субъекта данных согласия на обработку доказывает оператор.
Согласие субъекта на обработку персональных данных может быть предоставлено в бумажной или электронной форме. Требования к его содержанию устанавливает закон №152-ФЗ и Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Оно обязательно должно включать следующие сведения:
- ФИО, адрес и паспортные данные субъекта;
- ФИО, адрес и паспортные данные представителя субъекта;
- наименование или фамилию, имя, отчество и адрес оператора;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых соглашается субъект;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора;
- перечень действий, которые будут осуществляться с персональными данными;
- срок, на протяжении которого действует согласие.