Федеральный закон и защите персональных данных

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 9 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 9 . Согласие субъекта персональных данных на обработку его персональных данных

См. комментарии к статье 9 настоящего Федерального закона

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

base.garant.ru

Федеральный закон РФ «О персональных данных» (152-ФЗ) 2018

Закон о персональных данных в последней действующей редакции от 30 июня 2018 года.

Новые не вступившие в силу редакции закона отсутствуют.

Федеральный закон Российской Федерации «О персональных данных» регулирует деятельность физических и юридических лиц по обработке и использованию персональных данных. Федеральный закон «О персональных данных» требования и правила по защите персональных данных ко всем организациям, государственным и частным компаниям, которые хранят, обрабатывают и собирают персональные данные своих сотрудников, посетителей или клиентов. Федеральный Закон обязывает операторов персональных данных уведомлять об обработке персональных данных субъекта, получать его письменное разрешение и уведомлять об уничтожении персональных данных при прекращении отношений.

Федеральный Закон РФ «О персональных данных» был принят 1июля 2011 года с целью устранения барьеров и препятствий в международной торговле со всеми странами Евросоюза, где обмен персональными данными при совершении сделок защищён подобными законами с конца ХIX века.

Закон предусматривает присвоение класса информационным системам, которые хранят и обрабатывают персональные данные, в соответствии с классом обеспечивается защита персональных данных. Федеральный Закон «О персональных данных» определяет административную, дисциплинарную, гражданско-правовую и уголовную ответственность операторов персональных данных за невыполнение защиты персональных данных, которая может повлечь денежный штраф, конфискацию несертифицированных средств защиты или прекращение обработки персональных данных.

Последние изменения в Законе «О персональных данных»

  • Изменения в 152-ФЗ, вступившие в силу с 1 января 2017
  • Договор-Юрист.Ру постоянно следит за актуализацией кодексов и законов.

    Так, например, Закон о персональных данных не имеет на данный момент никаких новых запланированных редакций.

    Шансов найти более свежую действующую редакцию — нет.

    Комментарии к закону

    Вы также можете получить комментарии к закону «Федеральный закон РФ «О персональных данных» (152-ФЗ)». Юристы сайта, специализирующиеся на конкретных сферах кодексов и законов, дадут исчерпывающий комментарий по любым вопросам.

    dogovor-urist.ru

    БЕСПЛАТНЫЙ СЕМИНАР

    СПЕЦПРЕДЛОЖЕНИЕ

    КОНСУЛЬТАЦИЯ

    ТЕМАТИЧЕСКИЕ СТАТЬИ

    ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

    Защита персональных данных – это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.

    Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а также Гражданским кодексом РФ.

    Основные положения Закона «О персональных данных»

    • Обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с установленными целями обработки персональных данных.
    • Недопустимо раскрытие персональных данных третьим лицам или распространение таких данных без соответствующего основания (согласия субъекта либо требований федеральных законов).
    • В ряде случаев обработка персональных данных может осуществляться только с согласия субъекта персональных данных.
    • Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства о персональных данных.
    • Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
    • Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
    • Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность.
    • Комплекс мероприятий по обеспечению защиты персональных данных

      Организационные меры по защите персональных данных включают в себя:

    • Назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
    • Разработку организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
    • Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
    • Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
    • Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
    • Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.
    • Технические меры по защите персональных данных предполагают внедрение и использование программно — аппаратных средств защиты информации. При осуществлении обработки ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из уровня защищенности системы персональных данных.

      Требования к информационным системам персональных данных

      Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

      Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.

      Помимо этого, детализированные требования по защите персональных данных установлены, в частности:

    • приказом ФСТЭК № 21 от 18.02.2013 г;
    • приказом ФСБ № 378 от 18.08.2014 г. (в случае необходимости применения для защиты персональных данных шифровальных (криптографических) средств защиты информации).

    Также, согласно требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, базы данных информационных систем, в которых осуществляется запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должны быть расположены на территории РФ.

    Контроль за выполнением законодательства возложен на следующие органы:

  • Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) – основной надзорный орган в области персональных данных;
  • ФСБ – основной надзорный орган в части использования средств шифрования;
  • ФСТЭК – надзорный орган в части использования технических средств защиты информации.
  • Уполномоченный орган по защите прав субъектов персональных данных проводит как плановые и внеплановые мероприятия по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации.

    Типичные позиции операторов персональных данных

    1. ”Наша компания не собирается ничего предпринимать и тратить время и деньги на решение этих вопросов, мы будем ждать развития событий”.

    2. Такая компания не собирается тратить деньги и время на изменение процессов обработки персональных данных, а также не задумывается о соответствующем обучении своих сотрудников. Она продолжает свою деятельность в привычном режиме, в надежде на то, что проверка Роскомнадзора ее не затронет. Однако, как показывает практика, действия проверяющих органов нельзя предугадать, под проверку может попасть любая организация и в этом случае компания может понести значительные убытки, вплоть до приостановки ее деятельности.

      Стоит также учитывать, что с 2016 года Роскомнадзор на регулярной основе проводит так называемые мероприятия систематического наблюдения, в результате которых на основании мониторинга веб-сайта любой организации может быть направлен запрос на предоставление необходимых сведений об осуществлении обработки и защиты персональных данных. Непредоставление необходимой информации в срок может послужить поводом для проведения внеплановой проверки в организации.

      “Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.

      В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и о её клиентах и контрагентах, а значит такая компания является оператором, следовательно, требования ФЗ-152 распространяются на неё в полном объеме.

    Классическая ситуация: реализовать своими силами, или приглашать консультантов?

    Для того, чтобы ответить на этот вопрос, необходимо определиться со следующими вещами:

  • Готов ли руководитель компании взять на себя ответственность за успешную реализацию проекта по защите персональных данных?
  • Есть ли у компании квалифицированные сотрудники, обладающие глубоким пониманием требований законодательства, а также необходимыми юридическими и техническими знаниями и навыками?
  • Может ли руководство компании оценить сроки и стоимость такого проекта?
  • Как выполнить требования закона по защите персональных данных и при этом не нарушить деятельность критических бизнес-процессов компании?
  • Каким образом необходимо подавать уведомление в регулирующие органы?
  • Если вышеперечисленные задачи не могут быть реализованы собственными силами, следует привлекать внешних консультантов.

    Компания “Pointlane” оказывает полный цикл услуг по консультационным вопросам в области соответствия требованиям законодательства о персональных данных:

  • Консультации по вопросам требований законодательства и определения их действия применительно к Вашей организации (в том числе консультации по вопросам соответствия требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, касающимся вопросов обработки ПДн граждан РФ с использованием баз данных, находящихся на территории РФ);
  • Обследование процессов и информационных систем обработки персональных данных, формирование рекомендаций по обработке и защите персональных данных;
  • Подготовка необходимой организационно – распорядительной документации по вопросам обработки и защиты персональных данных;
  • Определение уровня защищенности ИСПДн (информационных систем персональных данных) и формирование необходимых требований к их защите в соответствии с выбранным уровнем защищенности;
  • Построение модели угроз и модели нарушителя безопасности персональных данных;
  • Проектирование системы защиты персональных данных;
  • Закупка и внедрение средств защиты;
  • Подготовка ИСПДн к аттестации (для государственных или муниципальных органов) либо декларирование соответствия требованиям законодательства о персональных данных (для всех остальных организаций);
  • Подготовка уведомления в Роскомнадзор для регистрации Вашей организации в качестве оператора персональных данных;
  • А также:

    • Сопровождение проверок Роскомнадзора;
    • Аутсорсинг обязанностей лица, ответственного за обработку и защиту персональных данных.
    • www.pointlane.ru

      Кто попадает под действие ФЗ 152

      Статья 1 Закона № 152-ФЗ «О персональных данных» определяет сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».

      Таким образом, требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие в своих информационных системах персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.

      Кого Закон «О персональных данных» затрагивает в первую очередь

      В первую очередь требования Закона «О персональных данных» актуальны для тех компаний, деятельность которых напрямую связана с обработкой больших объемов персональных данных физических лиц первой и второй категорий.

      Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.

      Компании, попадающие под эту категорию

    • Медицина (государственные и частные лечебные учреждения)
    • Кредитно-финансовые учреждения
    • Сфера страхования
    • Операторы сотовой связи
    • Компании туриндустрии
    • Агентства по подбору персонала
    • Риэлторские компании
    • Авиационные пассажирские перевозки
    • Неполный список отраслей, для которых защита персональных данных является приоритетной, показывает масштабность решаемых задач и приступать к их решению нужно как можно быстрее, чтобы завершить работы в установленный срок.

      www.entensys.com

      Защита персональных данных

      ООО «ИТ-СЕРВИС», представляющее право использования программного обеспечения «DigitalContact», внесено в реестр операторов персональных данных Роскомнадзора и полностью соответствует требованиям 152-ФЗ «О персональных данных».

      Общество с ограниченной ответственностью «ИТ-СЕРВИС», представляющее право использования программного обеспечения «DigitalContact», работает в полном соответствии с законодательством Российской Федерации. В частности, управление адресными базами, аккаунтами пользователей и контрагентов осуществляется согласно Федеральному Закону 152 «О персональных данных». Наше юридическое лицо внесено в реестр операторов персональных данных c 30 ноября 2015 г.
      Производится регулярный внутренний контроль и аудит внутренних процессов, норм и правил компании в работе с персональными данными на соответствие закону. Производится мониторинг фактов несанкционированного доступа к данным и их пресечение.

      Что такое персональные данные?

      Персональные данные — любая информация, относящаяся к определенному (прямо) или определяемому на основании такой информации (косвенно) физическому лицу (субъекту персональных данных).
      Например, это могут быть ФИО, дата и место рождения, адрес или другая информация.

      Кто такой оператор и субъект персональных данных?

      Если в Программе вы, Пользователь, создаете и поддерживаете базу ваших клиентов, партнеров или получателей вашей информационно-познавательной рассылки, содержащую персональные данные, то вы являетесь оператором персональных данных, и в этом случае каждый из загруженных вами в Программу подписчиков, в отношении которого содержатся персональные данные, является субъектом персональных данных.

      В такой ситуации считается, что вы, Пользователь, поручили Обществу с ограниченной ответственностью «ИТ-СЕРВИС» (Правообладатель) обработку персональных данных. Перечень персональных данных определяется Вами самостоятельно, при этом Вы гарантируете правовые основания для такой обработки, в том числе надлежащим образом полученное согласие на обработку. Перечень действий (операций) с персональными данными: сбор, запись, хранение, уточнение (обновление, изменение), использование, передача, удаление, уничтожение персональных данных с использованием средств автоматизации. Правообладатель, в свою очередь, обязуется соблюдать конфиденциальность персональных данных и обеспечивать безопасность при их обработке.

      Какие правовые основания есть для обработки персональных данных?

      Ст. 24 Конституции Российской Федерации, ст.6 Федерального закона №152-ФЗ «О персональных данных», Налоговый кодекс Российской Федерации, Трудовой кодекс Российской федерации, Федеральный закон №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Устав компании, иные федеральные законы и нормативно правовые акты.

      Перечень действий с персональными данными

      Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
      Обработка персональных данных: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
      Также осуществляется трансграничная передача данных (страны, в которые могут быть переданы персональные данные: Латвия, Украина, Молдова).

      Приложение №4 к Лицензионному соглашению на использование программного обеспечения «DigitalContact». Документ также является приложением к Лицензионному соглашению с партнерами сервиса.

      digitalcontact.com

    Смотрите так же:

    • Приказ минтруда от 11102012 310н Приказ Министерства труда и социальной защиты РФ от 11 октября 2012 г. N 310н "Об утверждении Порядка организации и деятельности федеральных государственных учреждений медико-социальной экспертизы" (с изменениями и дополнениями) Приказ […]
    • Иск магистраль ООО "ИСК "Магистраль" информация актуальна на 01.08.2018 на карточке организациис учетом всех используемыхисточников данных."> разделы Анкета Реквизиты Учредители Арбитраж ФССП Связи ОКВЭД Выписка из ЕГРЮЛ ФНС РФ"> […]
    • Жилищный закон рк Жилищный закон рк Закон Республики Казахстан от 16 апреля 1997 года № 94-I О жилищных отношениях (с изменениями и дополнениями по состоянию на 09.04.2016 г.) Раздел 1 Глава 1. Общие положения Глава 1-1. Государственное регулирование в […]
    • Приказ министерства здравоохранения от 26 августа 2010 г 761н Приказ Министерства здравоохранения и социального развития РФ от 26 августа 2010 г. N 761н "Об утверждении Единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел "Квалификационные характеристики […]
    • Приказ минздрава no 169 Приказ Министерства здравоохранения и социального развития РФ от 5 марта 2011 г. N 169н "Об утверждении требований к комплектации изделиями медицинского назначения аптечек для оказания первой помощи работникам" Приказ Министерства […]
    • Приказ от мз 541 Приказ Минздравсоцразвития России от 23.07.2010 г. № 541н "Об утверждении Единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел "КВАЛИФИКАЦИОННЫЕ ХАРАКТЕРИСТИКИ ДОЛЖНОСТЕЙ РАБОТНИКОВ В СФЕРЕ […]