Субъект персональных данных - это кто такой? Форма согласия субъекта персональных данных
Персональными данными называют любые сведения, относящиеся к конкретному или определяемому на их основании физлицу. К ним относят Ф. И. О., место, дату рождения, семейный, социальный, имущественный статус, адрес проживания, профессию, образование и пр. Субъект персональных данных – это, проще говоря, носитель такой информации. В качестве источников сведений могут выступать паспорт, медицинская карта, финансовые ведомости и так далее.
Ограниченный доступ
Персональные данные без согласия субъекта не могут вноситься ни в какие документы и базы. С разрешения носителя информации в общедоступные источники могут включаться сведения о его Ф. И. О., адресе, месте, дате рождения, абонентском номере и пр. Действующим законодательством гарантируется защита прав субъектов персональных данных. Лица, осуществляющие сбор и последующую работу с такими сведениями, за нарушение конфиденциальности сведений несут ответственность, вплоть до уголовной.
Операторы
Они осуществляют сбор и работу с информацией, относящейся к личности гражданина. Субъекты обработки персональных данных – муниципальные или госструктуры, физлица и организации. Они не только осуществляют работу с информацией, но и определяют цели и содержание тех или иных операций с информацией. При этом для совершения каких-либо действий оператор должен получить согласие субъекта персональных данных.
Доступ к личным сведениям
Одна из возможностей, которой наделен субъект персональных данных, - это получение информации об операторе. Носитель сведений может знать адрес нахождения, наличие соответствующих сведений у лица. Аналогичными возможностями обладает представитель субъекта персональных данных. Полномочия этого лица должны подтверждаться документами, оформленными в соответствии с законодательными требованиями. Ознакомление со сведениями, которыми располагает оператор, - еще одна возможность, которой обладает субъект персональных данных. Это необходимо, в частности, для проверки достоверности сведений. Эта возможность может быть ограничена только в случаях, прямо предусмотренных законодательством. Носитель информации может предъявить требование оператору о ее уточнении, блокировании или уничтожении. Эта возможность реализуется в случаях, когда сведения являются устаревшими, неполными, незаконно полученными, недостоверными, не являются необходимыми для целей, заявленных оператором.
Субъект персональных данных - это главный участник операций с информацией о его личности. В соответствии с этим, он может предпринимать законные меры по обеспечению охраны сведений и предотвращению ущерба его личности, доброму имени, репутации.
Предоставление информации
Сведения о наличии данных у оператора должны передаваться субъекту в доступной форме. Не допускается включение в них личной информации других лиц. Предоставление доступа к сведениям возможно по запросу субъекта-носителя данных или его поверенного. Заявление должно содержать информацию об основном документе, подтверждающем личность гражданина, - номер, дату и место выдачи, наименование уполномоченной структуры. В запросе в обязательном порядке ставится подпись субъекта.
Если от его имени действует другое лицо, приводятся сведения о документе, подтверждающем полномочия. Подпись в заявлении в таком случае ставит представитель. Обращение может направляться в электронном виде. В этом случае заявление должно содержать цифровую подпись.
Перечень доступных сведений
Субъект вправе получить информацию, содержащую разные данные. К ним, в том числе, относят:
- Подтверждение факта работы с личными сведениями и ее цель.
- Методы обработки данных, используемые оператором.
- Сведения о работниках, имеющих доступ к информации, или которым он может быть предоставлен.
- Перечень сведений, с которыми осуществляется работа, источники их получения.
- Срок обработки и хранения имеющихся данных.
- Сведения о юридических последствиях работы с информацией.
Предписания законодательства
Как выше было сказано, право на доступ к личным данным может ограничиваться. Это происходит, если:
- Работа с информацией, полученной в рамках разведывательной, оперативно-розыскной, иной подобной деятельности производится для обороны страны, обеспечения ее безопасности и охраны порядка в обществе.
- Обработку данных осуществляют сотрудники, задержавшие субъекта по подозрению в преступлении, или предъявившие ему обвинение, или применившие к нему одну из существующих мер пресечения. Исключение составляют случаи, закрепленные УПК.
- Предоставление информации нарушит конституционные свободы и права третьих лиц.
Сбор информации
Законодательство может предусматривать обязанность субъекта предоставить свои данные для обработки. В таких случаях оператор должен разъяснить лицу последствия отказа от выполнения предписаний. Если информация была получена не от носителя, кроме случаев, когда она была предоставлена на основании ФЗ, или если она является общедоступной, лицо, осуществляющее сбор сведений, должно предоставить следующие данные субъекту:
- Наименование оператора и его адрес (для физлиц – Ф. И. О.).
- Цель работы с информацией, юридическое основание.
- Потенциальные пользователи сведений.
- Права субъекта, установленные законодательством.
Меры безопасности
Оператор обязан использовать все доступные и допустимые средства, которыми обеспечивается защита прав субъекта персональных данных. В частности, он должен применять криптографические приемы, предотвращающие случайный либо незаконный доступ к сведениям, их уничтожение, блокирование, изменение, распространение и копирование. Требования к безопасности данных при их обработке, к материальным носителям, технологиям хранения устанавливаются Правительством. Надзор за исполнением предписаний возлагается на исполнительную федеральную структуру власти в рамках ее компетенции. Орган по защите прав субъектов персональных данных осуществляет контроль без возможности ознакомления со сведениями.
Работа с заявлениями
Законодательство регламентирует порядок, в соответствии с которым осуществляется рассмотрение запросов субъектов персональных данных. На операторов, работающих с информацией, возлагается ряд обязанностей. В первую очередь при поступлении запроса необходимо сообщить субъекту или его доверенному лицу о наличии соответствующих данных. Оператору надлежит предоставить возможность ознакомиться с информацией в десятидневный срок с даты получения заявления.
В случае принятия решения о неудовлетворении запроса, уполномоченное лицо должно направить мотивированный ответ. В нем должна присутствовать ссылка на положения нормативного акта, предусматривающего соответствующее основание. Это необходимо сделать в семидневный срок с даты обращения носителя личной информации или получения заявления. Возможность ознакомления с данными предоставляется субъекту/представителю безвозмездно.
При необходимости оператор вносит в сведения изменения, уничтожает или блокирует информацию. Для этого субъект (представитель) предоставляет информацию, подтверждающую, что данные устарели, были получены противоправным способом, являются недостоверными и пр. О внесенных корректировках оператор уведомляет самого носителя сведений, а также сторонних лиц, которым они были переданы.
Устранение нарушений
При выявлении недостоверных сведений, обнаружении незаконных действий оператора при обращении либо по заявлению субъекта/его представителя к уполномоченной структуре о блокировке, она должна быть проведена незамедлительно. Заинтересованное лицо может предоставить документы, в соответствии с которыми информация может быть уточнена. Если выявлены незаконные действия оператора, он в трехдневный срок с момента их обнаружения обязан устранить нарушения. Если это сделать не представляется возможным, сведения полежат уничтожению. Это действие должно быть совершено в течение трех дней с даты обнаружения нарушений.
При достижении цели, для которой была необходима обработка данных, оператор обязан немедленно прекратить всю работу с информацией. При этом он должен уничтожить сведения в трехдневный срок, если другое не предусматривается законодательством. О совершенных действиях оператор уведомляет субъекта или его представителя. Если обращение либо заявление были направлены уполномоченной структурой, реализующей функции в сфере безопасности личных сведений, то извещается и она.
Форма согласия субъекта персональных данных
Разрешение лица на работу с его личными сведениями может предоставляться в любом виде, позволяющем подтвердить факт получения, если другое не закрепляется ФЗ № 152. В своих разъяснениях Роскомнадзор (орган по защите прав субъектов персональных данных) рекомендует оформлять его письменно. Требования к документу присутствуют в 9 статье указанного выше Закона. В письменное согласие включают:
- Ф. И. О., адрес лица, сведения о документе, подтверждающем личность (номер, серия, дата выдачи и наименование учреждения, его оформившего).
- Информацию о представителе субъекта. Кроме Ф. И. О., адреса, сведений о паспорте, приводятся реквизиты доверенности.
- Наименование либо адрес, Ф. И. О. оператора.
- Цель обработки личной информации.
- Перечень сведений, на работу с которыми дает разрешение их носитель.
- Наименование либо адрес и Ф. И. О. лица, осуществляющего обработку информации по поручению оператора.
- Конкретные действия, которые будут совершаться с информацией. Должно присутствовать также общее описание способов, используемых оператором при обработке данных.
- Период, в течение которого действует разрешение, если другое не устанавливается законодательством.
- Подпись субъекта-носителя данных.
Разрешение может предоставляться в электронном виде. В этом случае документ удостоверяется цифровой подписью.
Ответственность за неисполнение предписаний законодательства
Лицам, признанным виновными в нарушении требований ФЗ № 152, могут вменяться санкции в соответствии с действующими нормами. В частности, ст. 13.11 КоАП предусматривает наказания за незаконные сбор, хранение, использование, распространение сведений о гражданах. В качестве самой мягкой санкции выступает предупреждение. Кроме этого, ст. 13.11 предусматривает штрафы для:
- физлиц – 300-500 р.;
- служащих – 500-1 000 р.;
- организаций – 5-10 тыс. р.
Моральный вред субъекту персональных данных, возникший в связи с ущемлением его интересов, нарушением предписаний действующего законодательства, подлежит возмещению в рамках гражданского судопроизводства. Его компенсация осуществляется вне зависимости от взыскания имущественного ущерба и понесенных убытков.
Уведомление о работе с информацией
До начала обработки данных оператор должен известить уполномоченную структуру (Роскомнадзор) о своем намерении. Исключение из этого правила закреплены в ч. 22 статьи ФЗ № 152. Оператор может не уведомлять уполномоченный орган, если он работает с данными:
- Относящимися к лицам, с которыми он связан трудовыми отношениями.
- Полученными при заключении договора, в качестве одной из сторон которого выступает субъект данных. При этом действует оговорка. Информация, полученная оператором, не должна распространяться и передаваться третьим лицам. Она используется исключительно для реализации условий договора и оформления соглашений с субъектом-носителем сведений.
- Относящихся к участникам религиозной или общественной организации. При этом полученная информация не должна распространяться без их разрешения.
- Являющимися общедоступными.
- Включающими только Ф. И. О. носителя.
- Необходимыми для однократного пропуска лица на территорию, где располагается оператор, либо в других подобных целях.
- Содержащимися в информационных базах, имеющих статус автоматизированных систем.
- Обрабатываемыми без применения средств автоматизации, согласно ФЗ или других нормативных актов, предусматривающих требования к безопасности информации при работе с ней и соблюдению интересов ее носителей.
Оформление уведомления
Извещение должно быть оформлено письменно. Оно подписывается уполномоченным служащим. Допускается направление уведомления в электронном виде. В этом случае оно заверяется цифровой подписью. В извещении необходимо указать:
- Наименование (Ф. И. О.) и адрес оператора.
- Цель работы со сведениями.
- Категории данных, которые будут обрабатываться.
- Юридическое основание для работы со сведениями.
- Категории лиц-носителей информации.
- Перечень конкретных действий оператора.
- Описание мер, которые будут предприняты для обеспечения безопасности сведений.
- Дату начала работы с информацией.
В уведомлении также должен присутствовать срок прекращения либо условие, при котором завершается обработка личных данных.