Ответы на вопросы в сфере защиты прав субъектов персональных данных

1. Что такое уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

В настоящее время, в соответствии с постановлением Правительства от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

К полномочиям Роскомнадзора, в том числе, относится осуществление федерального государственного контроля (надзора) за обработкой персональных данных, обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и неопределенного круга лиц, привлечение к административной ответственности лиц, виновных в нарушении Федерального закона «О персональных данных», рассмотрение жалоб и обращений по вопросам, связанным с обработкой персональных данных, ведение реестра операторов, осуществляющих обработку персональных данных, ограничение доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

2. Кто может являться оператором персональных данных?

В соответствии с пунктом 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Обязанности оператора установлены гл. 4 Федерального закона «О персональных данных», которые операторы исполняют независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

3. Что включает в себя понятие конфиденциальности?

Конфиденциальность включает в себя обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Например, управляющие компании, размещая сведения о должниках (собственниках помещений многоквартирного дома) в подъезде дома, на сайте управляющей компании, обязаны получить соответствующее согласие субъекта персональных данных в целях исключения нарушения требований конфиденциальности.

4. В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

В соответствии части 1 статьи 22 Федерального закона «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч. 2 указанной статьи, при обработке персональных данных:

включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

5. Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?

В отношении обработки персональных данных действует принцип экстерриториальности, который заключается в том, что на иностранных лиц, обрабатывающих персональные данные российских граждан на основании договора, соглашения или согласия на обработку персональных данных, распространяются требования Федерального закона «О персональных данных».

К таким случаям относится обработка персональных данных российских пользователей социальных сетей на основании пользовательских соглашений.

Кроме того, необходимо отметить, что юридическое лицо иностранного государства, являясь оператором, обязано при сборе персональных данных, в том числе посредством сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

6. Является ли веб-сайт информационной системой обработки персональных данных?

В случае, если посредством веб-сайта осуществляется сбор и последующая обработка персональных данных, то в указанном случае веб-сайт будет являться информационной системой персональных данных.

7. Как документально оформить факт уничтожения персональных данных субъекта?

С 1 марта 2023 года вступает в силу приказ Роскомнадзора № 179 об утверждении Требований к подтверждению уничтожения персональных данных, в с которым в случае если обработка персональных данных осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных. В случае если обработка персональных данных осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, содержащимся в пунктах 3 и 4 указанных Требований, и выгрузка из журнала регистрации событий в информационной системе персональных данных (http://publication.pravo.gov.ru/Document/View/0001202211290008).