ФЗ 153 о персональных данных

Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.

Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.

Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.

Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.

УТВЕРЖДАЮ

Генеральный директор МКК УФРП

____________________ Вьюгов А.М.

«_____»____________________ 20__ г.

ПОЛИТИКА
обработки и защиты персональных данных
в МКК Удмуртском фонде развития предпринимательства

1. Общие положения

1.1 Настоящая политика в отношении обработки персональных данных (далее — Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года в (в ред. № 261-ФЗ от 25.07.2011) и действует в отношении всех персональных данных (далее — ПД), которые МКК Удмуртский фонд развития предпринимательства (далее — МКК УФРП) получает в ходе основной производственной деятельности от субъектов персональных данных (далее — субъект ПД), являющихся сотрудниками МКК УФРП, близкими родственниками сотрудников МКК УФРП и субъектами малого предпринимательства, как стороной по гражданско-правовому договору.

1.2 МКК УФРП обеспечивает защиту обрабатываемых ПД от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и иных нормативных документов в области защиты ПД.

1.3 Изменение настоящей политики.

1.3.1 МКК УФРП имеет право вносить изменения в настоящую политику, указывая в заголовке о внесенных изменениях и дате последнего обновления редакции.

1.3.2 Новая редакция настоящей политики вступает в силу с момента ее размещения на сайте МКК УФРП в сети Интернет, если иное не предусмотрено новой редакцией настоящей политики.

1.3.3 Оригинал действующей редакции настоящей политики хранится по адресу нахождения МКК УФРП: Удмуртская Республика, г. Ижевск, ул. Свердлова, д. 26, электронная копия настоящей политики доступна на сайте МКК УФРП в сети Интернет по адресу: www.udbiz.ru

2. Термины и определения

Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;

Автоматизированная обработка персональных данных — обработка ПД с помощью средств вычислительной техники;

Информационная система персональных данных (ИСПД) — совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;

Общедоступные персональные данные — ПД, доступ к которым предоставлен для неограниченного круга лиц по согласию субъекта ПД в соответствии с Федеральным законом ФЗ-152 «О персональных данных»;

Блокирование персональных данных — временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПД и (или) в результате которых уничтожаются материальные носители ПД.

3. Обработка персональных данных

3.1 Обработка ПД в МКК УФРП осуществляется в соответствии с утвержденными генеральным директором положениями об обработке и защите ПД и инструкцией пользователя ИСПД.

3.2 Получение ПД в МКК УФРП от субъекта ПД.

3.2.1 Все ПД МКК УФРП получает от самого субъекта ПД, при его письменном согласии. Если ПД субъекта можно получить только у третьей стороны, то субъект ПД получает письменное уведомление об этом или от него должно быть получено согласие.

3.2.2 МКК УФРП сообщает субъекту ПД о составе обрабатываемых ПД, источнике их получения, целях, способах и сроках обработки данных ПД, а также о возможных последствиях отказа субъекта ПД от обработки его ПД МКК УФРП.

3.2.3 МКК УФРП получает ПД в ходе следующих процедур обработки ПД:

— получение оригиналов необходимых документов от субъекта ПД (трудовая книжка, справка о доходах и др.)

— копирование оригиналов документов, предоставленных субъектом ПД (паспорт, свидетельство ИНН, документ об образовании и др.);

— внесение сведений в электронные учетные формы со слов субъекта ПД;

— заполнение заявки на заем субъектом ПД.

3.3 Обработка ПД в МКК УФРП осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ «О защите персональных данных».

3.3.1 Обработка ПД в МКК УФРП осуществляется в следующих случаях:

— с письменного согласия субъекта ПД на обработку его ПД;

— для осуществления и выполнения возложенных законодательством Российской Федерации на МКК УФРП функций, полномочий и обязанностей (Федеральный закон от 12.05.1995 «О государственной поддержке малого предпринимательства в Российской Федерации»);

— для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем.

3.3.2 Цели обработки ПД в МКК УФРП:

— осуществление трудовых отношений;

— осуществление гражданско-правовых отношений.

3.3.3 Категории субъектов ПД, обрабатываемых в МКК УФРП:

— физические лица, состоящие с МКК УФРП в трудовых отношениях;

— физические лица, являющие близкими родственниками сотрудников МКК УФРП;

— физические лица, уволившиеся из МКК УФРП;

— физические лица, состоящие с МКК УФРП в гражданско-правовых отношениях.

3.3.4 Состав ПД обрабатываемых в МКК УФРП (весь состав ПД, обрабатываемых в МКК УФРП, представлен в утвержденном генеральным директором перечне ПД):

— сведения, полученные при осуществлении трудовых отношений с субъектом ПД (Ф.И.О., паспортные данные, место жительства, ИНН, сведения о воинском учете, образовании, сведения о близких родственниках и др.);

— сведения, полученные при осуществлении гражданско-правовых отношений (Ф.И.О., паспортные данные, местожительства, свидетельство ОГРН, сведения о залоговом имуществе и др.).

3.3.5 Обработка ПД в МКК УФРП ведется с использованием средств автоматизации (электронные носители ПД) и без использования средств автоматизации (бумажный документооборот). Отчуждаемые (съемные) носители ПД не используются.

3.4 Хранение ПД в МКК УФРП осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем того требуют цели обработки ПД, за исключением случаев, когда срок хранения ПД установлен Федеральными законами или договором, стороной которого является субъект ПД.

3.4.1 ПД, полученные МКК УФРП от субъекта ПД, могут храниться как на бумажных носителях, так и в электронном виде.

3.4.2 ПД на бумажных носителях хранятся в запираемых металлических шкафах и сейфах в защищаемых помещениях.

3.4.3 ПД в электронном виде хранятся на жестких дисках компьютеров сотрудников МКК УФРП и файловом сервере.

3.4.4 В МКК УФРП программно-аппаратно запрещено использовать отчуждаемые (съемные) носители и размещать электронные документы, содержащие ПД, в открытых электронных каталогах (файлообменниках).

3.5 Уничтожение ПД осуществляется МКК УФРП в случае достижения целей обработки ПД в срок, не превышающий 30 (тридцати) дней с даты достижения целей обработки ПД и производится в соответствии с утвержденной генеральным директором инструкции о порядке уничтожения носителей ПД.

3.5.1 Уничтожение носителей ПД на бумажных носителях в МКК УФРП производится путем дробления (измельчения), с составлением соответствующего акта об уничтожении носителей ПД.

3.5.2 ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.6 Передача ПД осуществляется МКК УФРП в следующих случаях:

— Если субъект ПД выразил свое согласие передачу своих ПД;

— Если передача ПД предусмотрена законодательством Российской Федерации

3.6.1 Перечень организаций, которым передаются ПД МКК УФРП:

— Пенсионный фонд РФ для учета (на законных основаниях);

— Налоговые органы РФ (на законных основаниях);

— Банки для начисления заработной платы (на основании договора);

— Иные государственные и муниципальные органы и организации (на основании согласия субъекта ПД или уведомления субъекта ПД о передаче его ПД), если это не нарушает права и законные интересы субъекта ПД.

4. Защита персональных данных

4.1 В соответствии с требованиями нормативных документов в МКК УФРП создана система защиты персональных данных (далее — СЗПД), состоящая из подсистем организационной и технической защиты.

— подсистема правовой защиты представляет собой комплекс организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД;

— подсистема технической защиты включает в себя комплекс программных и программно-аппаратных средств, обеспечивающих защиту ПД.

4.2 Основные организационные и технические меры по защите ПД, используемые в МКК УФРП:

— Назначено ответственное лицо за обеспечение безопасности ПД, которое осуществляет организацию обработки и защиты ПД, обучение сотрудников МКК УФРП требованиям по обработке и защите ПД и контроль над выполнением данных требований, организует прием и обработку обращений и запросов физических и юридических лиц;

— Утвержден состав ПДЭК по проведению организационных и аналитических работ в части защиты ПД и плановых проверочных мероприятий соблюдения сотрудниками МКК УФРП требований по обработке ПД;

— Утвержден перечень сотрудников МКК УФРП, допущенных к обработке ПД, права их доступа к конкретным носителям ПД и перечень разрешенных действий;

— Описана информационная система МКК УФРП, разработана модель актуальных угроз безопасности ПД.

— Установлены индивидуальные пароли доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;

— Разработано техническое задание на СЗПД, утвержден план работ по реализации требований по защите ПД;

— Для защиты от внедрения вредоносных программ используется лицензионное антивирусное средство защиты с регулярно обновляемыми антивирусными базами;

— Обмен ПД с государственными органами и банком осуществляется в защищенном виде, с применением средств шифрования;

— Разграничен доступ в помещения, где ведется обработка ПД, для хранения бумажных носителей ПД предусмотрены запираемые металлические шкафы и сейфы.

— Предусмотрена возможность восстановления ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или неумышленных действий.

— Сотрудники МКК УФРП, участвующие в обработке ПД, прошли инструктаж о порядке и принципах обработки и защиты ПД в соответствии с требованиями законодательства Российской Федерации и нормативными документами МКК УФРП по вопросам обработки и защиты ПД.

— В МКК УФРП проводится внутренний контроль и аудит безопасности ПД, осуществляются плановые проверки наличия носителей и соблюдения сотрудниками МКК УФРП требований по обработке и защите ПД.

5. Основные права субъекта ПД и обязанности МКК УФРП

5.1 Субъект ПД имеет право на доступ к своим ПД.

5.2 Субъект ПД имеет право получить от МКК УФРП следующие сведения:

— подтверждение факта обработки ПД МКК УФРП;

— правовые основания и цели обработки ПД;

— цели и применяемые МКК УФРП способы обработки ПД;

— наименование и место нахождения МКК УФРП, сведения о лицах (за исключением сотрудников МКК УФРП), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с МКК УФРП или на основании положений Федерального закона;

— сроки обработки и хранения ПД;

— порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом;

— порядок обращения к МКК УФРП и направление ему запросов;

— порядок обжалования действий или бездействия МКК УФРП.

5.3 Обязанности МКК УФРП при обработке ПД:

— предоставить субъекту ПД информацию о целях, способах, сроках и перечне действий по обработке его ПД;

— уведомить субъект ПД, в случае если его ПД были получены не от субъекта ПД;

— опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику МКК УФРП в отношении обработки ПД и реализуемых требованиях по защите ПД;

— принимать необходимые правовые, организационные и технические меры по защите ПД от несанкционированного или случайного доступа к ним;

— предоставлять письменные ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД;

— предоставлять мотивированный письменный отказ в предоставлении сведений по запросу субъекта ПД.

В этой статье мы поговорим о том, какие требования предъявляются к обработке персональных данных пассажиров воздушных судов на территории России, о том, какие условия необходимы операторам для обработки персональных данных пассажиров, о требованиях, предъявляемых к согласию на обработку персональных данных и о порядке проведения проверок в этой сфере.

Условия обработки персональных данных пассажиров воздушных судов

Обработка персональных данных пассажиров воздушных судов в России осуществляется на основании следующих базовых правовых актов:

— Конституция Российской Федерации;

— Гражданский кодекс Российской Федерации;

— Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных»;

— Статья 85.1 Воздушного кодекса Российской Федерации;

— Статья 11 Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности»;

— Конвенция о защите физических лиц при автоматизированной обработке персональных данных» (Заключена в г. Страсбурге 28.01.1981);

— Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Персональные данные определяются как любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (см. п. 1. ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных», далее также — Закон о персональных данных).

Запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия установлен в п. 1 ст. 24 Конституции России.

Обязанность пассажира при бронировании перевозки сообщить необходимую информацию о своих персональных данных вытекает из договора воздушной перевозки и в России закреплена в Федеральных авиационных правилах «Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», утвержденных приказом Минтранса России от 28.06.2007 № 82.

Основным законом, регулирующим обработку персональных данных в России, является Закон о персональных данных, в основу которого легла Конвенция о защите физических лиц при автоматизированной обработке персональных данных» (Заключена в г. Страсбурге 28.01.1981).

Этот закон запрещает операторам персональных данных и иным лицам, получившим доступ к персональным данным, раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных или в отсутствие специальных условий, предусмотренных федеральным законом.

В соответствии со статьей 2 Закона о персональных данных целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Закон о персональных данных устанавливает ряд условий для обработки персональных данных. В частности, такие условия перечислены в статье 6 Закона о персональных данных, статьях 10, 11, 12 и 13 указанного закона.

Указанные ниже условия необходимы операторам персональных данных — авиаперевозчикам для обработки персональных данных пассажиров.

Одним из условий для обработки персональных данных пассажиров воздушного судна является необходимость достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (см. п. 2 ч. 1 ст. 6 Закона о персональных данных).

Так, например, в статье 85.1 Воздушного кодекса Российской Федерации установлена обязанность перевозчиков передавать персональные данные пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации (см. также ст. 11Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности»).

Альтернативным условием для обработки персональных данных является обработка персональных данных для исполнения договора воздушной перевозки (см. п. 1 ч. 1 ст. 6 Закона о персональных данных).

Одним из условий обработки персональных данных является согласие субъекта персональных данных (см. п. 1 ч. 1 ст. 6 Закона о персональных данных). Такое согласие необходимо, если перевозчик использует персональные данные не для исполнения договора перевозки, а в иных целях, например, в рекламных и маркетинговых целях.

Так, для того, чтобы осуществить трансграничную передачу данных пассажиров на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных, требуется согласие в письменной форме этого пассажира (см. ст. 9 и ст. 12 Закона о персональных данных). К таким странам относятся, например, США, Китай, Япония.

С согласия пассажира производится и передача функций оператора по обработке его персональных данных третьему лицу. Например, перевозчик вправе поручить обработку персональных данных специализированной организации. К содержанию этого поручения предъявляется ряд требований, указанных в п. 3 ст. 6 Закона о персональных данных.

Из п. 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года, следует, что перевозчик вправе передать обязанности или их часть по договору воздушной перевозки лицу, осуществляющему от имени перевозчика бронирование, продажу и оформление перевозок на перевозочных документах (далее — уполномоченный агент), являясь ответственным за его действия (бездействие) перед пассажиром.

Если же оператор передает персональные данные пассажиров третьему лицу в иных целях, не указанных выше в п. 6 Общих правил воздушных перевозок пассажиров, то оператору необходимо получить согласие пассажира на такую передачу.

Требования к согласию на обработку персональных данных

Из п. 1 ст. 9 Закона о персональных данных следуют основные требования к согласию на обработку персональных данных:

«Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным».

Часть 4 ст. 9 Закона о персональных данных указывает на специальную письменную форму согласия, содержащую определенные элементы. Такая специальная письменная форма согласия должна быть использована только в случаях, предусмотренных федеральным законом. К таким случаям, например, относится трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона о персональных данных).

Ниже приводим эти элементы:

— фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

— наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

— цель обработки персональных данных;

— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

— срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

— подпись субъекта персональных данных.

Если хотя бы один из элементов этой письменной формы будет опущен, оператору персональных данных может быть выдано предписание об исправлении нарушений и затем возложена административная ответственность. Необходимо также обратить внимание на то, что при проведении проверки формы согласия Роскомнадзор может потребовать исправить эту форму, если в ней указано несколько целей обработки персональных данных. По мнению Роскомнадзора, которое было выдвинуто в одном из споров, указание нескольких целей обработки персональных данных в одной форме согласия нарушает п. 4. ч. 4 ст. 9 Закона о персональных данных. Это было объяснено тем, что для каждой цели необходим определенный объем персональных данных, должен быть свой срок обработки персональных данных.

Локализация персональных данных пассажиров воздушных судов

C 1 сентября 2015 года в Российской Федерации вступило в силу положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Указанным законом введена обязанность операторов обеспечить запись, систематизацию, накопление, хранение, уточнении (обновление, изменение), извлечении персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2,3,4, 8 части 1 статьи 6 Закона о персональных данных.

Незадолго до вступления в силу упомянутого положения Минкомсвязь на своем сайте опубликовала разъяснения (см. ссылку: https://minsvyaz.ru/ru/personaldata/#1438547750247), из которых следовало, что требования п. 5 ст. 18 Закона о персональных данных не распространяются на деятельность авиаперевозчиков, их уполномоченных агентов, а также иных лиц, в части обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов.

Минкомсвязь пояснил следующее:

«…требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».

Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил «Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности».

В п. 2 ч. 1 Закона о персональных данных речь идет о необходимости достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

В июле 2018 года Министерство транспорта России опубликовало проект постановления правительства, который устанавливает требования к автоматизированной информационной системе оформления воздушных перевозок (документ опубликован здесь: http://regulation.gov.ru/projects#npa=82032, ID проекта 02/07/07-18/00082032 от 05.07.2018) (далее — АИС ОВП) .

В указанном проекте (в п. 20) установлено, что серверы и базы данных систем, входящих в состав АИС ОВП, обеспечивающие бронирование и продажу авиаперевозок, регистрацию пассажиров и взаиморасчеты, в которых пункт отправления и назначения находятся на территории России, должны находиться на территории России. А в п. 21 установлено, что операторы (провайдеры), обеспечивающие эксплуатацию систем, входящих в состав АИС ОВП, должны быть зарегистрированы как юридические лица Российской Федерации и являться резидентами Российской Федерации.

Порядок проведения проверок в сфере обработки персональных данных

При проведении проверок Роскомнадзор руководствуется Административным регламентом, который утвержден Приказом Минкомсвязи России от 14.11.2011 N 312 (ред. от 24.11.2014) «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (Зарегистрировано в Минюсте России 13.12.2011 N 22595) (далее – Административный регламент).

Срок проведения как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней (см. п. 20 Административного регламента). Срок проверки может быть увеличен на 20 рабочих дней в исключительных случаях, связанных с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований на основании мотивированных предложений должностных лиц Роскомнадзора.

На практике Роскомнадзор может продлить срок проверки, руководствуясь следующим основанием:

«необходимость запроса дополнительных документов и анализа большого объема документов».

В этой связи, если оператор персональных данных не согласен с увеличением срока проверки и основаниями для его продления, то приказ о продлении проверки можно обжаловать в судебном порядке. Такое заявление может быть подано в течение трех месяцев со дня, когда оператору стало известно о нарушении его прав (см. п. 4 ст. 198 Арбитражного процессуального кодекса РФ).

Если проверка носила избыточно длительный характер, оператор персональных данных может ссылаться на практику в сфере налоговых проверок, так как практика по оспариванию срока проверки в сфере персональных данных отсутствует.

Так, например, в Постановлении Президиума ВАС РФ от 18 марта 2008 г. N 13084/07, посвященное налоговым проверкам, суд определил, что регламентация сроков проведения выездных налоговых проверок направлена на достижение равновесия интересов участников отношений, регулируемых законодательством о налогах и сборах; в данном деле выездная налоговая проверка предпринимателя проводилась с существенным нарушением сроков, и суд посчитал, что это свидетельствует о нарушении инспекцией принципа недопустимости избыточного или не ограниченного по продолжительности применения мер налогового контроля; также суд посчитал, что убедительных доказательств обоснованности столь длительного срока проведения проверки инспекция не представила.

Действительно, если проверка затягивается, то для проверяемого лица это вызывает дополнительные финансовые издержки, кроме того, от своей текущей работы вынуждены отрываться специалисты, ответственные за обработку персональных данных на предприятии.

При проведении проверки необходимо очень внимательно оформлять протоколы проверки, указывать в них, какие документы были предоставлены проверяющему лицу, какие действия при проверке производились в каждый конкретный день проверки. При возникновении разногласий с Роскомнадзор такие протоколы могут помочь восстановить ход проверки и определить, имелись ли какие-либо нарушения со стороны проверяющего лица. Кроме того, Роскомнадзор может воспользоваться неаккуратным составлением протокола проверки и ссылаться впоследствии в суде, что запрошенные им документы не были предоставлены оператором персональных данных, в связи с чем выдано предписание или в связи с чем проверка затянулась.

Административный регламент не устанавливает конкретного срока выдачи проверяемому лицу акта проверки. В связи с этим Роскомнадзор может после проведения выездной проверки потратить какое-то время (например, еще 20 дней после окончания проверки) на подготовку акта проверки.

Если акт проверки был выдан одновременно с предписанием, то проверяемое лицо может ссылаться на то, что было нарушено его право на урегулирование разногласий. Такая возможность, по нашему мнению, следует из п. 83 Административного регламента, а также схемы о порядке проведения проверки, которая является приложением к Административному регламенту.

В Приложении №2 к Административному регламенту в «Блок-схеме административной процедуры оформления результатов и принятия мер по результатам проверок» установлено, что Роскомнадзор должен: 1) составить акт проверки, 2) затем ознакомить представителя оператора с содержанием результатов проверки, 3) затем только подписать акт проверки, и 4) затем предоставить возможность Оператору изложить в письменной форме особое мнение, которое прилагается к акту проверки, 5) после этих действий Роскомнадзор должен подписать акт проверки и вручить акт проверки оператору.

В соответствии с п. 83 Административного регламента при наличии разногласий по содержанию акта окончательное решение принимает должностное лицо Службы или ее территориального органа, исполняющее функции руководителя проверки. Должностные лица Службы или ее территориального органа, проводящие проверку, а также представители Оператора, не согласные с принятым решением, вправе изложить в письменной форме свое особое мнение, которое прилагается к акту.

К акту прилагаются протоколы, справки, объяснительные работников Оператора, на которых возложены обязанности по обработке персональных данных, и другие документы, подтверждающие выявление (устранение) нарушения.

Кроме того, можно ссылаться на нижеследующую судебную практику:

В деле А50-86/2015 Семнадцатый арбитражный апелляционный суд в Постановлении от 24 июня 2015 г. рассмотрел вопрос о признании недействительным предписания. Суд установил, что акт проверки был изготовлен и выдан проверяемому лицу вместе с предписанием.Суд посчитал, что это является грубым нарушением процедуры проверки, поскольку проверяемое лицо было лишено права на возражения относительно выявленных нарушений.Суд отметил, что после получения Предписания актуальность представления возражений на акт проверки утрачивается, поскольку уже выдан документ, неисполнение которого влечет привлечение к ответственности. Решение суда было поддержано в последующих инстанциях.

В деле А40-104039/13-130-961 Девятый арбитражный апелляционный суд в Постановлении от 24 марта 2014 г. рассматривал вопрос о недействительности ненормативного правового акта – приказа о прекращении пользовании недрами. В данном деле суд установил, что проверяющий орган нарушил процедуру выдачи и составления акта проверки и выдал приказ о прекращении пользования недрами до того, как ознакомил проверяемое лицо с результатами проверки. Суд установил, что было нарушено право проверяемого лица на возражения в отношении акта проверки. Решение суда было поддержано в последующих инстанциях.

В деле А66-9176/2014 Арбитражный суд Тверской области в Решении от 10 октября 2014 г. рассматривал вопрос о признании недействительным решения уполномоченного органа – отказа в предоставлении лицензии. Акт проверки условий для выдачи лицензии был направлен проверяемому лицу после принятия решения об отказе в выдаче лицензии. Суд посчитал это грубым нарушением порядка проведения проверок и признал решение недействительным. Решение суда было поддержано во всех последующих инстанциях (Приложение №8, стр.120-130).

Таким образом, на наш взгляд, оператор персональных данных вправе обсудить результаты проверки до выдачи предписания. Если оператор персональных данных не согласен с актом проверки, то рекомендуется незамедлительно направить в Роскомнадзор возражения, предложение об урегулировании разногласий с тем, чтобы не довести ситуацию до выдачи предписания.

Срок на выполнение предписания может быть меньше срока рассмотрения дела по обжалованию предписания. Например, для выполнения предписания оператору могут предоставить три месяца, а заявление в суде только в первой инстанции может рассматриваться 3-4 месяца. Поэтому оператор может попасть в ситуацию, когда срок для исполнения предписания уже завершился, а суд еще не рассмотрел заявление об оспаривании предписания.

Суды крайне неохотно приостанавливают действие предписания, в связи с этим, пока дело рассматривается в суде, срок исполнения предписания может быть нарушен. После этого проверяющее лицо может начать производство по административному правонарушению с целью возложить на оператора персональных данных административную ответственность.

Именно поэтому так важно узнать о результатах проверки до выдачи предписания и обсудить эти результаты с проверяющим лицом.

Одновременно с предписанием и актом проверки Роскомнадзор может направить проверяемому лицу рекомендации по исправлению нарушений, которые оформляются в виде справки.

К сожалению, даже при наличии такой справки предписание может быть для проверяемого лица неясным. Со временем предписания, выдаваемые Роскомнадзором, совершенствуются и носят все более конкретный характер. Однако, ранее Роскомнадзор мог указать, например, следующее:

«— нарушение части 7 статьи 22 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее по тексту — Закон) в части представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения» (см. дело N 33а-4308/2017, рассмотренное Московским городским судом 18.09.2017).

При такой формулировке предписания неясно, о каком конкретно нарушении идет речь, и как это исправить. При этом предписание устанавливает срок его исполнения.

В связи с этим проверяемым лицам рекомендуется после получения неясного предписания обращаться в Роскомнадзор не только за разъяснениями предписания, но и с заявлением об увеличении срока исполнения предписания на период обсуждения возникших между оператором и Роскомнадзором неясностей и разногласий.

Впоследствии, если это не будет сделано, в суде при оспаривании неясного предписания Роскомнадзор может ссылаться на то, что оператор персональных данных не обращался за разъяснениями и увеличением срока исполнения предписания, и, следовательно, действовал недобросовестно.

К позитивной практике по оспариванию неясных предписаний Роскомнадзора можно отнести дело с участием ООО «Макдональдс». В Апелляционном определении Московского городского суда от 18 сентября 2017 г. по делу N 33а-4308/2017 рассматривалось аналогичное предписание Роскомнадзора в отношении ООО «Макдоналдс». В данном деле суды первой и апелляционных инстанций определили, что предписание должно содержать только законные требования, то есть на юридическое лицо может быть возложена обязанность по устранению лишь тех нарушений, соблюдение которых обязательно для них в силу закона, а сами требования должны быть конкретны и реально исполнимы; предписание должностного лица, содержащее законные требования, должно быть реально исполнимо и содержать конкретные указания, четкие формулировки относительно конкретных действий, которые необходимо совершить исполнителю и которые должны быть направлены на прекращение и устранение выявленного нарушения; при этом содержащиеся в предписании формулировки должны исключать возможность двоякого толкования; изложение должно быть кратким, четким, ясным, последовательным, доступным для понимания всеми лицами. Предписание Роскомнадзора не содержало разъяснений относительно того, какие конкретно документы в соответствии с законом не представлены, какие действия необходимо совершить проверяемому лицу, чтобы устранить нарушения. В данном деле суды подтвердили, что выданное предписание не соответствует этим требованиям.

Аналогичные выводы относительно исполнимости предписания Роскомнадзора были изложены ранее в Постановлении Второго арбитражного апелляционного суда от 24.06.2014 по делу N А82-15811/2013 (заявитель — ООО «МЕТРО Кэш энд Керри»). В данном деле суд отметил, что выявление смысла ненормативного акта путем сопоставления его текста с иными документами, в которых государственный орган выявил факт нарушения законодательства, является недопустимым, так как неисполнение нарушителем таких ненормативных актов ввиду неясности приведет к применению в отношении него санкции, предусмотренной законодательством Российской Федерации за неисполнение требований.

Выводы и рекомендации

— Если оператор персональных данных не согласен с увеличением срока проверки, рекомендуется подать возражение на приказ об увеличении срока проверки или обжаловать этот приказ в судебном порядке.

— При проведении проверки необходимо внимательно оформлять протоколы проверки, указывать в них, какие документы были предоставлены проверяющему лицу, какие действия при проверке производились в каждый конкретный день проверки.

— Следует запросить результаты проверки (акт проверки) до выдачи предписания для того, чтобы иметь возможность урегулировать возникшие разногласия.

— Если оператор персональных данных не согласен с актом проверки, то рекомендуется направить в Роскомнадзор возражения, предложение об урегулировании разногласий с тем, чтобы не довести ситуацию до выдачи предписания.

— Рекомендуется после получения предписания обращаться в Роскомнадзор не только за разъяснениями предписания, но и с заявлением об увеличении срока исполнения предписания на период обсуждения возникших между оператором и Роскомнадзором неясностей и разногласий.

Статья 7.

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ) (см. текст в предыдущей редакции)

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Комментарий к статье 7

1. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием, определяющим дальнейшую деятельность оператора. По смыслу действующего законодательства требование конфиденциальности связано исключительно с ограничением на распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.

В целях обеспечения конфиденциальности персональных данных операторами и третьими лицами, получающими доступ к персональным данным, должна быть разработана действенная система мер по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Реализация последних зависит от используемых оператором средств организационной, технической, программной, криптографической, правовой и иной защиты.

Меры по охране конфиденциальности персональных данных, принимаемые оператором, должны включать в себя:

1) определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера. Сделанная оговорка неслучайна. В литературе неоднократно подчеркивается, что установленная Указом Президента РФ от 6 марта 1997г. N 188 «Об утверждении Перечня сведений конфиденциального характера» структура конфиденциальной информации носит обобщенный характер и не отвечает требованиям, предъявляемым действительностью. Подчеркивается, что фактически далеко не все персональные данные являются конфиденциальными, в частности, многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги и т.п.обнародуются по согласию субъекта. Кроме того, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа (см. Закон РФ «О государственной тайне», ФЗ «О коммерческой тайне» и др.). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.п.). В режиме личной тайны -сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны — сведения о взаимоотношениях членов семьи, в том числе родственных;

2) ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.

Наряду с указанными мерами оператор персональных данных вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством РФ.

Меры по охране конфиденциальности информации признаются разумно достаточными,

если:

1) исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя;

2) обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты.

Установление пределов объема усилий оператора, требующихся для сохранения конфиденциальности персональных данных, с одной стороны, призвано мотивировать оператора персональных данных предпринимать меры к их охране, не полагаясь на то, что его интересы в случае незаконного приобретения сведений, входящих в состав персональных данных, третьим лицом будут автоматически считаться нарушенными, а с другой — служить гарантией того, что субъект персональных данных не будет принужден к принятию всего спектра мер к охране собственных интересов.

Режим конфиденциальности персональных данных не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2. Законодатель предусматривает возможность установления режима, открытости персональных данных, делая исключения из условия о конфиденциальности для общедоступных массивов сведений и обезличенных персональных данных.

Неразрывная связь персональных данных с личностью их субъекта и возможность идентификации последнего требует повышенной защищенности в процессе их обработки. В случаях если из них могут быть исключены сведения-идентификаторы, режим конфиденциальности, устанавливаемый для персональных данных, снимается. Законодатель допускает использование обезличенных персональных данных без согласия их субъекта в целях проведения статистических, социологических, исторических, медицинских и других научных и практических исследований. При этом остается нераскрытой процедура обезличивания персональных данных, соответствие ее определенному этапу их обработки, степень обезличивания. Предположительно процедура обезличивания предполагает полное исключение из состава персональных данных, позволяющих определить биографические сведения их обладателя и тем самым его идентифицировать. К такого рода информации могут быть отнесены: фамилия, имя, отчество, дата и место рождения, адрес места жительства, иные идентифицирующие лицо сведения. В целях обезличивания персональных данных допускается процедура замены сведений, при условии что тем самым не нарушаются права иных лиц и не создается угроза их безопасности.

Настоящим Законом предусмотрено исключение из режима конфиденциальности для общедоступных массивов персональных данных (справочники, телефонные книги, адресные книги, массивы персональных данных руководителей фирм и т.п.), которые создаются в целях информационного обеспечения общества. При этом регулируется содержание и порядок формирования таких массивов, права субъектов персональных данных, сведения о которых включены в подобный массив. Эти положения закона призваны препятствовать созданию и неконтролируемому распространению справочников типа упомянутых выше баз данных на Ой (йУй) и многочисленных справочников «Кто есть кто…», содержащих подчас информацию, не санкционированную и не проверенную субъектом персональных данных.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *