Защита персональных данных курс лекций
Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при
Персональные данные в системе документооборота предприятия. Персональные данные в автоматизированных системах и приложениях
Персональные данные в документообороте
Основные понятия Федерального закона «О персональных данных»
Область применения закона. Ограничения
Ограничения применения
Ограничения применения
Обработка персональных данных
Обработка персональных данных
Принципы обработки персональных данных
Принципы обработки персональных данных
Условия обработки персональных данных
Согласие субъекта
Случаи, не требующие согласия субъекта на обработку
Случаи, не требующие согласия субъекта на обработку
Случаи, не требующие согласия субъекта на обработку
Случаи, не требующие согласия субъекта на обработку
Случаи, не требующие согласия субъекта на обработку
Случаи, не требующие согласия субъекта на обработку
Содержание согласия субъекта на обработку персональных данных
Содержание согласия субъекта на обработку персональных данных
Специальные категории персональных данных
Трудовой кодекс Российской Федерации
Права субъектов персональных данных и их соблюдение при обработке
Обязанности оператора персональных данных
Уведомление об обработке персональных данных
Контроль и надзор за обработкой персональных данных
Ответственность за нарушение требований по обращению с персональными данными
ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Работа с персональными данными на предприятии (в организации)
Ограничение доступа к персональным данным. Учет лиц, допущенных к персональным данным.
Техническая защита персональных данных в информационных системах
Взвесим?
7.64M
Category: lawlaw

Защита персональных данных. Курс лекций

1. Защита персональных данных курс лекций

ООО Учебно-научный центр информационной
безопасности
Федеральный закон от 14.07.2022 N 266-ФЗ "О внесении изменений в Федеральный закон "О
персональных данных", отдельные законодательные акты Российской Федерации и признании
утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и...
ООО «УНЦИБ» Русская версия №1 от 12/08/2022
© 2022 ООО «УНЦИБ» Все права зарезервированы

2.

Актуальность проблемы защиты информации
Информационные и коммуникационные
технологии стали частью современных
управленческих систем во всех отраслях
экономики, сферах государственного управления,
обороны страны, безопасности государства и
обеспечения правопорядка.
Информационные технологии охватывают методы
сбора, обработки, преобразования, хранения и
распределения информации. На протяжении
довольно длительного периода времени эти
технологии развивались на языковой и "бумажной"
буквенно-цифровой основе. В настоящее время
информационно-деловая активность человечества
смещается в область кибернетического
пространства. Это пространство становится
реальностью мирового сообщества и определяет
переход к "безбумажному, электронному" развитию
информационных технологий. Электронный обмен
информацией дешевле, быстрее и надежнее
"бумажного".
Поскольку основной информационный
обмен основан на информационной технологии, то
важным условием становится безопасность в
компьютерных сетях. Нарушение этой
безопасности называют компьютерным
преступлением.
Защита персональных данных

3.

Защита персональных данных как реализация конституционных прав граждан
на неприкосновенность частной жизни
Конституция Российской Федерации
Защита персональных
данных обеспечивает
реализацию конституционных
прав человека на
неприкосновенность частной
жизни, личную и семейную
тайну (ст. 23 Конституции РФ) и
ограничение сбора, хранения,
использования и
распространения информации
о частной жизни (ст. 24
Конституции РФ).
Защита персональных данных

4.

Защита персональных данных как реализация конституционных прав граждан
на неприкосновенность частной жизни
ФЗ «О персональных данных»
Проблемы, решаемые
законом:
Обеспечение
неприкосновенности частной
жизни граждан.
Предоставление гражданам
доступа к их персональным
данным в органах власти и
частных организациях.
Защита персональных данных

5.

Область применения закона. Ограничения
Отношения, регулируемые законом
Настоящим Федеральным законом регулируются отношения, связанные с
обработкой персональных данных, осуществляемой федеральными органами
государственной власти, органами государственной власти субъектов Российской
Федерации, иными государственными органами (далее - государственные органы),
органами местного самоуправления, иными муниципальными органами (далее муниципальные органы), юридическими лицами и физическими лицами с использованием
средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или
без использования таких средств, если обработка персональных данных без
использования таких средств соответствует характеру действий (операций), совершаемых
с персональными данными с использованием средств автоматизации, то есть позволяет
осуществлять в соответствии с заданным алгоритмом поиск персональных данных,
зафиксированных на материальном носителе и содержащихся в картотеках или иных
систематизированных собраниях персональных данных, и (или) доступ к таким
персональным данным.
Положения настоящего Федерального закона применяются к обработке
персональных данных граждан Российской Федерации, осуществляемой иностранными
юридическими лицами или иностранными физическими лицами, на основании договора,
стороной которого являются граждане Российской Федерации, иных соглашений между
иностранными юридическими лицами, иностранными физическими лицами и гражданами
Российской Федерации либо на основании согласия гражданина Российской Федерации
на обработку его персональных данных.
Защита персональных данных

6.

Международное законодательство и национальное законодательство зарубежных
стран о защите персональных данных
Свобода информации
С развитием информационных технологий, созданием
баз данных возникла новая угроза правам граждан –
возможность легкого копирования и объединения этих данных.
Более 50 стран в мире приняли законы о свободе
информации, способствующие доступу к документам
правительственных органов, и более 30 стран предпринимают
попытки принять подобные законы. Более половины законов
были приняты только за последние десять лет. Рост
прозрачности правительств стал ответом на требования
гражданских общественных организаций, СМИ и международных
кредиторов.
Защита персональных данных

7.

Международное законодательство и национальное законодательство зарубежных
стран о защите персональных данных
Свобода информации
Страна
Название
Год принятия
Контролирующий орган
США
О свободе информации
О защите частной жизни
1966
1974
Франция
О защите персональных данных
1978
Национальная комиссия по
информатике и свободам
Бельгия
О защите персональных данных
1992
Комиссия по защите персональных
данных
Венгрия
О защите персональных данных
и раскрытии информации,
представляющей общественный
интерес
1992
Парламентский уполномоченный по
защите данных и свободе
информации
Польша
О защите персональных данных
1997
Бюро генерального инспектора по
защите персональных данных
Швеция
О персональных данных
1998
Совет по инспектированию данных
Албания
О защите персональных данных
1999
Омбудсмен
Болгария
О защите персональных данных
2001
Комиссия по защите
Защита персональных данных

8.

Международное законодательство и национальное законодательство зарубежных
стран о защите персональных данных
Первыми угрозу
осознали европейские страны,
которые приняли в 1981 году
Конвенцию Совета Европы о
защите частных лиц
применительно к
автоматизированной
обработке персональных
данных, а затем в 1995 году
Директиву Европейского
парламента и Совета
Европейского Союза о защите
прав частных лиц
применительно к обработке
персональных данных и о
свободном движении таких
данных.
Защита персональных данных

9.

Международное законодательство и национальное законодательство зарубежных
стран о защите персональных данных
Директива 95/46/ЕС
Европейского парламента и
Совета Европейского Союза
от 24 октября 1995 года «О
защите прав частных лиц
применительно к обработке
персональных данных и о
свободном движении таких
данных» 25 мая 2018 года
была отменена. На её
замену пришёл Общий
регламент по защите данных
(General Data Protection
Regulation, сокращённо
GDPR), принятый 27 апреля
2016 года.
Защита персональных данных

10. Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при

Международное законодательство и национальное законодательство зарубежных
стран о защите персональных данных
Россия, ратифицировав в 2005 году указанную
Конвенцию, обязана была принять адекватное национальное
законодательство.
Федеральный закон от 19 декабря
2005 г. N 160-ФЗ
"О ратификации Конвенции Совета
Европы о защите физических лиц при
автоматизированной обработке
персональных данных"
Принят Государственной Думой 25 ноября 2005 года
Одобрен Советом Федерации 7 декабря 2005 года
Защита персональных данных

11.

Законодательство РФ о персональных данных
Законодательство
Российской
Федерации
в
области
персональных данных основывается на Конституции Российской
Федерации и международных договорах Российской Федерации и состоит
из настоящего Федерального закона и других определяющих случаи и
особенности обработки персональных данных федеральных законов.
Нормативные правовые акты, принимаемые в соответствии с
частью 2 настоящей статьи, подлежат обязательному согласованию с
уполномоченным органом по защите прав субъектов персональных
данных в случаях, если указанные нормативные правовые акты
регулируют отношения, связанные с осуществлением трансграничной
передачи персональных данных, обработкой специальных категорий
персональных
данных,
биометрических
персональных
данных,
персональных
данных
несовершеннолетних,
предоставлением,
распространением персональных данных, полученных в результате
обезличивания. Срок указанного согласования не может превышать
тридцать дней с даты поступления соответствующего нормативного
правового акта в уполномоченный орган по защите прав субъектов
персональных данных.
Защита персональных данных

12.

Законодательство РФ о персональных данных
Законодательство о персональных данных не ограничивается базовым
федеральным законом. Более 30 федеральных законов устанавливают
особенности работы с персональными данными в отдельных областях.
ФЗ от 7 мая 2013 г. № 99-ФЗ
О внесении изменений в отдельные законодательные акты
Российской Федерации в связи с принятием Федерального закона
«О ратификации Конвенции Совета Европы о защите физических лиц
при автоматизированной обработке персональных данных»
и Федерального закона «О персональных данных»
Этот законопроект внес поправки в следующие федеральные законы:
ФЗ «Об образовании»
ФЗ «О прокуратуре»
ФЗ «Об оперативно-розыскной деятельности»
ФЗ «Об актах гражданского состояния»
ФЗ «О негосударственных пенсионных фондах»
ФЗ «О государственной дактилоскопической регистрации»
ФЗ «О государственной социальной помощи»
ФЗ «О государственном банке данных о детях, оставшихся без попечения
родителей»
Защита персональных данных

13.

Законодательство РФ о персональных данных
Трудовой Кодекс
ФЗ «Об обязательном страховании гражданской ответственности
владельцев транспортных средств»
Гражданский процессуальный кодекс Российской Федерации
ФЗ «О системе государственной службы»
ФЗ «О связи»
ФЗ «О лотереях»
ФЗ «О государственной гражданской службе»
ФЗ «О муниципальной службе»
ФЗ «Об образовании в Российской Федерации»
1 сентября 2013 года в России вступила в силу Конвенция
Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных.
Защита персональных данных

14. Персональные данные в системе документооборота предприятия. Персональные данные в автоматизированных системах и приложениях

Защита персональных данных

15.

Персональные данные в организации (на предприятии)
Защита персональных данных

16. Персональные данные в документообороте

Персональные данные в системе документооборота предприятия.
Персональные данные в автоматизированных системах и приложениях
Персональные данные в
документообороте
Кадровое делопроизводство
Бухгалтерия
Подразделения по работе с клиентами физическими лицами (договора, заказы, квитанции,
адреса и т.п.)
Письма, жалобы, обращения граждан
Особое положение: организации и предприятия,
работающие с населением (ЗАГСы, паспортные
столы, медицинские учреждения и т.п.)
Защита персональных данных

17.

Персональные данные в системе документооборота предприятия.
Персональные данные в автоматизированных системах и приложениях
УТЕЧКИ
Утечкой персональных данных называют их
попадание в открытый доступ – чаще всего это
опубликование баз данных в Интернете. Такие базы
данных злоумышленники могут выставлять на продажу в
защищенных браузерах или в приватных каналах.
Причин
утечек
персональных
данных
несколько. Чаще всего они происходят по двум причинам:
намеренное раскрытие информации третьим лицам или
неосторожность.
К первой причине относится распространение
данных, осуществленное сотрудником компании или
действием мошенника извне.
По второй причине утечки происходят
вследствие внутренних инцидентов компании, которая
является
оператором
персональных
данных

соответствии с п. 2 ст. 3 Федерального закона от 27 июля
2006 № 152-ФЗ "О персональных данных"; далее), а
также других лиц, обрабатывающих данные по поручению
оператора. Сюда относятся некомпетентные действия со
стороны сотрудников компании и технические проблемы,
связанные с уязвимостями информационных систем.
Защита персональных данных

18.

Персональные данные в системе документооборота предприятия.
Персональные данные в автоматизированных системах и приложениях
УТЕЧКИ
Согласно
исследованию
«Лаборатории
Касперского»,
государственные
учреждения,
промышленные предприятия, финансовый и IT-секторы в
большей степени подвергаются целевым атакам. Их доля в
2021 году увеличилась до 14%, против 9% в 2020 году. В
результатах исследования разговор идёт о кибератаках с
участием пользователя или заражениях, оказывающих
серьезное влияние на бизнес-процессы. Инциденты
безопасности обычно были связаны с целевыми
кибератаками (41% случаев), с внедрением вредоносного
ПО (14%), с использованием уязвимостей (13%), с
реализацией методик социальной инженерии (5,5%).
Практически все отрасли (строительство, образование,
финансы, пищевая промышленность, госучреждения,
здравоохранение, ИТ, промышленность, СМИ, розничная
торговля, телеком, транспорт) столкнулись со всеми видами
критичных ИБ-инцидентов. Целевые атаки были выявлены
во всех индустриях (исключения – СМИ и образование). В
отрасли СМИ выявлялись ИБ-инциденты, которые были
связаны со следами прошлых взломов.
Защита персональных данных

19. Основные понятия Федерального закона «О персональных данных»

Защита персональных данных

20.

Основные понятия
Понятие персональных данных
В предыдущей редакции закона:
Персональные данные - любая информация, относящаяся к
определенному или определяемому на основании такой информации физическому
лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество,
год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное
положение, образование, профессия, доходы, другая информация
В действующей редакции закона (изм. от 25.07.2011):
Персональные данные - любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных)
На сегодня есть два важных признака персональных данных: возможность
идентификации конкретного лица и потенциальные последствия использования
данных. Если есть последствия для субъекта, например, негативные или
юридически значимые, то эти данные всегда следует рассматривать как
персональные и защищать, даже если установить личность их обладателя
невозможно.
Защита персональных данных

21.

Основные понятия
В законе прямо не уточняется, какие именно данные являются
персональными, но, если исходить из формулировки, что это «любая
информация», относящаяся к физлицу, то к ПД относятся (вместе и даже
по отдельности):
ФИО
дата рождения
адрес
телефон
электронный адрес
фотография
ссылка на персональный сайт
ссылка на профиль в социальных сетях.
Одним словом, речь идет
идентифицировать человека.
о
любых
данных,
по
которым
можно
Защита персональных данных

22.

Основные понятия
В предыдущей редакции закона:
осуществляется обработка персональных данных, доступ
неограниченного круга лиц к которым предоставлен субъектом
персональных данных либо по его просьбе (далее - персональные
данные, сделанные общедоступными субъектом персональных
данных)
В действующей редакции закона (изм. от 30.12.2020 № 519-ФЗ ):
Персональные данные, разрешенные субъектом персональных
данных для распространения - персональные данные, доступ
неограниченного круга лиц к которым предоставлен субъектом
персональных данных путем дачи согласия на обработку персональных
данных, разрешенных субъектом персональных данных для
распространения в порядке, предусмотренном настоящим
Федеральным законом
Защита персональных данных

23.

Основные понятия
Оператор - государственный орган, муниципальный орган,
юридическое или физическое лицо, самостоятельно или совместно с
другими лицами организующие и (или) осуществляющие обработку
персональных данных, а также определяющие цели обработки
персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными
данными;
Если вы каким-то образом получаете персональные данные в любом
сочетании, то являетесь оператором персональных данных.
Фактически любой владелец сайта — оператор персональных данных,
так как он размещает на своем ресурсе форму обратной связи, форму
регистрации и др.
Автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной
техники;
Информационная система персональных данных - совокупность
содержащихся в базах данных персональных данных и
обеспечивающих их обработку информационных технологий и
технических средств.
Защита персональных данных

24. Область применения закона. Ограничения

Защита персональных данных

25. Ограничения применения

Область применения закона. Ограничения
Ограничения применения
Действие закона не распространяется на отношения,
возникающие при:
1)обработке персональных данных физическими лицами
исключительно для личных и семейных нужд, если при этом не
нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и
использования содержащих персональные данные документов Архивного
фонда Российской Федерации и других архивных документов в
соответствии с законодательством об архивном деле в Российской
Федерации;
3) пункт утратил силу. (в ред. Федерального закона от 25.07.2011
N 261-ФЗ)
4) обработке персональных данных, отнесенных в
установленном порядке к сведениям, составляющим государственную
тайну.
5) пункт утратил силу. (в ред. Федерального закона от 29.07.2017
N 223-ФЗ)
Защита персональных данных

26. Ограничения применения

Область применения закона. Ограничения
Ограничения применения
Предоставление, распространение, передача и получение
информации о деятельности судов в Российской Федерации,
содержащей персональные данные, ведение и использование
информационных
систем
и
информационнотелекоммуникационных сетей в целях создания условий для
доступа к указанной информации осуществляются в соответствии
с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об
обеспечении доступа к информации о деятельности судов в
Российской Федерации". (в ред. Федерального закона от
29.07.2017 N 223-ФЗ)
Защита персональных данных

27. Обработка персональных данных

Защита персональных данных

28. Обработка персональных данных

Обработка персональных данных
Обработка персональных данных - любое действие
(операция) или совокупность действий (операций),
совершаемых с использованием средств автоматизации или
без использования таких средств с персональными данными,
включая
сбор, запись, систематизацию,
накопление,
хранение, уточнение (обновление, изменение),
извлечение, использование,
передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление,
уничтожение персональных данных
Защита персональных данных

29.

Обработка персональных данных
Распространение персональных данных
Распространение персональных данных:
Ознакомление с персональными данными неограниченного
круга лиц, в том числе обнародование персональных данных в
средствах массовой информации
Размещение в информационно-телекоммуникационных сетях
Предоставление доступа к персональным данным каким-либо
иным способом
Защита персональных данных

30.

Обработка персональных данных
Обезличивание персональных данных
Обезличивание персональных данных действия, в результате которых становится
невозможным без использования дополнительной
информации определить принадлежность
персональных данных конкретному субъекту
персональных данных.
Защита персональных данных

31.

Обработка персональных данных
ОБЕЗЛИЧИВАНИЕ
Роскомнадзор выпустил методические
рекомендации по исполнению приказа Службы
от 5 сентября 2013 г. № 996 «Об утверждении
требований и методов по обезличиванию
персональных данных».
Разработанные специалистами
Роскомнадзора методические рекомендации
содержат анализ процессов автоматизированной
обработки обезличенных данных в
информационных системах государственных и
муниципальных органов власти, требования к
обезличенным данным и методологию
обезличивания. Документ поможет адаптировать
применение технологии обезличивания к
конкретным задачам государственных и
муниципальных организаций, оперирующих
персональными данными.
Контроль исполнения рекомендаций
государственными и муниципальными операторами
персональных данных планировалось начать
осуществлять со второго квартала 2014 года.
Защита персональных данных

32.

Обработка персональных данных
ОБЕЗЛИЧИВАНИЕ
Порядок обезличивания персональных
данных пациентов
С 1 января 2018 года вступила в силу норма о создании единой
государственной информационной системы в сфере здравоохранения, включающая в
себя обезличенные сведения о пациентах. В связи с этим Минздрав России
определил порядок обезличивания таких сведений, в числе которых:
ФИО, пол, дата и место рождения, гражданство;
данные документа, удостоверяющего личность, и место жительства;
СНИЛС, номер полиса ОМС;
анамнез, диагноз, сведения об организации, осуществляющей медицинскую
деятельность;
вид оказанной медицинской помощи, условия, сроки, объем ее оказания, а
также результат обращения за медицинской помощью;
серия и номер выданного листка нетрудоспособности;
сведения о проведенных медицинских экспертизах, осмотрах,
освидетельствованиях и их результатах, а также оказывавших их медицинских
работниках;
примененные стандарты медицинской помощи (приказ Минздрава России от
14 июня 2018 г. № 341Н).
Защита персональных данных

33.

Обработка персональных данных
ОБЕЗЛИЧИВАНИЕ
Этот процесс будет происходить с помощью метода введения
идентификаторов с заменой части сведений идентификаторами с созданием таблицы
(справочника) их соответствия исходным данным. Также будет использоваться метод
изменения состава или семантики персональных данных путем их замены
результатами статистической обработки, обобщения или удаления части сведений.
Указанный идентификатор будет вычисляться путем криптографического
преобразования по алгоритму, предусмотренному ГОСТ Р 34.11-2012 "Национальный
стандарт Российской Федерации". А передача информации из сформированной
таблицы (справочника) соответствия будет запрещена.
К примеру, при применении метода введения идентификаторов информация
преобразуется следующим образом: ФИО/пол/дата рождения и уникальное 10значное число, формируемое с помощью генератора случайных чисел и назначаемое
субъекту данных будет обезличено в 128-значный числовой идентификатор.
Защита персональных данных

34.

Обработка персональных данных
Блокирование персональных данных
Блокирование персональных данных - временное
прекращение:
Сбора (за исключением случаев, если сбор
необходим для уточнения персональных данных)
Записи
Систематизации
Накопления
Использования
Передачи персональных данных
Защита персональных данных

35.

Обработка персональных данных
Уничтожение персональных данных
Уничтожение персональных данных - действия, в
результате которых:
Невозможно восстановить содержание
персональных данных в информационной системе
персональных данных
Уничтожаются материальные носители
персональных данных
Защита персональных данных

36.

Мероприятия по защите сведений конфиденциального характера
Обеспечение конфиденциальности
персональных данных
Конфиденциальность персональных данных - обязательное
для соблюдения оператором или иным получившим доступ к
персональным данным лицом требование не допускать их
распространение без согласия субъекта персональных данных или
наличия иного законного основания
Передача персональных данных взаимодействующим контрагентам
Заключение договоров с контрагентами, предусматривающих передачу
ПДн (выставление счетов, прием платежей)
Передача персональных данных в правоохранительные органы (ОРД,
контроль за отмыванием доходов, транспортная безопасность)
On-line регистрация персональных данных клиентов
Добровольное медицинское и пенсионное страхование работников
Приобретение билетов для командировок и бронирование гостиниц
Защита персональных данных

37. Принципы обработки персональных данных

Защита персональных данных

38. Принципы обработки персональных данных

Обработка персональных данных
Принципы обработки
персональных данных
1. Обработка персональных данных должна осуществляться на
законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться
достижением конкретных, заранее определенных и законных целей. Не
допускается обработка персональных данных, несовместимая с целями
сбора персональных данных.
3. Не допускается объединение баз данных, содержащих
персональные данные, обработка которых осуществляется в целях,
несовместимых между собой.
4. Обработке подлежат только персональные данные, которые
отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных
должны соответствовать заявленным целям обработки. Обрабатываемые
персональные данные не должны быть избыточными по отношению к
заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены
точность персональных данных, их достаточность, а в необходимых
случаях и актуальность по отношению к целям обработки персональных
данных. Оператор должен принимать необходимые меры либо
обеспечивать их принятие по удалению или уточнению неполных или
неточных данных.
Защита персональных данных

39.

Обработка персональных данных
Принципы обработки
персональных данных
7. Хранение персональных данных должно осуществляться
в форме, позволяющей определить субъекта персональных
данных, не дольше, чем этого требуют цели обработки
персональных данных, если срок хранения персональных данных
не установлен федеральным законом, договором, стороной
которого, выгодоприобретателем или поручителем по которому
является субъект персональных данных.
Обрабатываемые
персональные
данные
подлежат
уничтожению
либо
обезличиванию по достижении целей обработки или в случае
утраты необходимости в достижении этих целей, если иное не
предусмотрено федеральным законом.
Защита персональных данных

40. Условия обработки персональных данных

Защита персональных данных

41. Согласие субъекта

Обработка персональных данных
Согласие субъекта
В предыдущей редакции закона:
Обработка персональных данных осуществляется только с
согласия в письменной форме субъекта персональных данных.
В действующей редакции закона:
Субъект персональных данных принимает решение о
предоставлении его персональных данных и дает согласие на их
обработку свободно, своей волей и в своем интересе. Согласие на
обработку персональных данных должно быть конкретным,
предметным, информированным, сознательным и однозначным.
Согласие на обработку персональных данных может быть дано
субъектом персональных данных или его представителем в любой
позволяющей подтвердить факт его получения форме, если иное не
установлено федеральным законом.
Равнозначным содержащему собственноручную подпись
субъекта персональных данных согласию в письменной форме на
бумажном носителе признается согласие в форме электронного
документа, подписанного в соответствии с федеральным законом
электронной подписью.
Защита персональных данных

42.

Обработка персональных данных
Согласие субъекта
Обязанность предоставить
доказательство получения согласия субъекта
персональных данных на обработку его
персональных данных, а в случае обработки
общедоступных персональных данных
обязанность доказывания того, что
обрабатываемые персональные данные
являются общедоступными, возлагается на
оператора
Защита персональных данных

43. Случаи, не требующие согласия субъекта на обработку

Условия обработки персональных данных
Случаи, не требующие согласия субъекта на
обработку
Обработка персональных данных должна осуществляться с
соблюдением принципов и правил, предусмотренных настоящим
Федеральным законом. Обработка персональных данных допускается в
следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта
персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей,
предусмотренных международным договором Российской Федерации или
законом, для осуществления и выполнения возложенных
законодательством Российской Федерации на оператора функций,
полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием
лица в конституционном, гражданском, административном, уголовном
судопроизводстве, судопроизводстве в арбитражных судах; (в ред.
Федерального закона от 29.07.2017 N 223-ФЗ)
Защита персональных данных

44. Случаи, не требующие согласия субъекта на обработку

Условия обработки персональных данных
Случаи, не требующие согласия субъекта на
обработку
3.1) обработка персональных данных необходима для исполнения судебного
акта, акта другого органа или должностного лица, подлежащих исполнению в
соответствии с законодательством Российской Федерации об исполнительном
производстве (далее - исполнение судебного акта); (в ред. Федерального закона
от 29.07.2017 N 223-ФЗ)
4) обработка персональных данных необходима для исполнения полномочий
федеральных органов исполнительной власти, органов государственных
внебюджетных фондов, исполнительных органов государственной власти
субъектов Российской Федерации, органов местного самоуправления и функций
организаций, участвующих в предоставлении соответственно государственных и
муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010
года N 210-ФЗ "Об организации предоставления государственных и
муниципальных услуг", включая регистрацию субъекта персональных данных на
едином портале государственных и муниципальных услуг и (или) региональных
порталах государственных и муниципальных услуг; (в ред. Федерального закона
от 05.04.2013 N 43-ФЗ)
Защита персональных данных

45. Случаи, не требующие согласия субъекта на обработку

Условия обработки персональных данных
Случаи, не требующие согласия субъекта на
обработку
5) обработка персональных данных необходима для исполнения договора,
стороной которого либо выгодоприобретателем или поручителем по которому
является субъект персональных данных, а также для заключения договора по
инициативе субъекта персональных данных или договора, по которому субъект
персональных данных будет являться выгодоприобретателем или поручителем.
Заключаемый с субъектом персональных данных договор не может содержать
положения, ограничивающие права и свободы субъекта персональных данных,
устанавливающие случаи обработки персональных данных
несовершеннолетних, если иное не предусмотрено законодательством
Российской Федерации, а также положения, допускающие в качестве условия
заключения договора бездействие субъекта персональных данных.
6) обработка персональных данных необходима для защиты жизни, здоровья
или иных жизненно важных интересов субъекта персональных данных, если
получение согласия субъекта персональных данных невозможно;
Защита персональных данных

46. Случаи, не требующие согласия субъекта на обработку

Условия обработки персональных данных
Случаи, не требующие согласия субъекта на
обработку
7) обработка персональных данных необходима для осуществления прав и
законных интересов оператора или третьих лиц, в том числе в случаях,
предусмотренных Федеральным законом "О защите прав и законных
интересов физических лиц при осуществлении деятельности по возврату
просроченной задолженности и о внесении изменений в Федеральный закон "О
микрофинансовой деятельности и микрофинансовых организациях", либо для
достижения общественно значимых целей при условии, что при этом не
нарушаются права и свободы субъекта персональных данных; (в ред.
Федерального закона от 03.07.2016 N 231-ФЗ)
8) обработка персональных данных необходима для осуществления
профессиональной деятельности журналиста и (или) законной деятельности
средства массовой информации либо научной, литературной или иной
творческой деятельности при условии, что при этом не нарушаются права и
законные интересы субъекта персональных данных;
Защита персональных данных

47. Случаи, не требующие согласия субъекта на обработку

Условия обработки персональных данных
Случаи, не требующие согласия субъекта на
обработку
9) обработка персональных данных осуществляется в статистических или иных
исследовательских целях, за исключением целей, указанных в статье 15
настоящего Федерального закона, при условии обязательного обезличивания
персональных данных;
9.1) обработка персональных данных, полученных в результате обезличивания
персональных данных, осуществляется в целях повышения эффективности
государственного или муниципального управления, а также в иных целях,
предусмотренных Федеральным законом "О проведении эксперимента по
установлению специального регулирования в целях создания необходимых
условий для разработки и внедрения технологий искусственного интеллекта в
субъекте Российской Федерации - городе федерального значения Москве и
внесении изменений в статьи 6 и 10 Федерального закона "О персональных
данных", в порядке и на условиях, которые предусмотрены указанным
Федеральным законом; (в ред. Федерального закона от 24.04.2020 N 123-ФЗ)
Защита персональных данных

48. Случаи, не требующие согласия субъекта на обработку

Условия обработки персональных данных
Случаи, не требующие согласия субъекта на
обработку
10) пункт утратил силу (в ред. Федерального закона от 30.12.2020 № 519-ФЗ)
11) осуществляется обработка персональных данных, подлежащих
опубликованию или обязательному раскрытию в соответствии с федеральным
законом.
Обработка персональных данных объектов государственной охраны и
членов их семей осуществляется с учетом особенностей, предусмотренных
Федеральным законом от 27 мая 1996 года N 57-ФЗ "О государственной
охране". (в ред. Федерального закона от 01.07.2017 N 148-ФЗ)
Защита персональных данных

49. Содержание согласия субъекта на обработку персональных данных

Условия обработки персональных данных
Содержание согласия субъекта на
обработку персональных данных
1) фамилию, имя, отчество, адрес субъекта персональных данных,
номер основного документа, удостоверяющего его личность,
сведения о дате выдачи указанного документа и выдавшем его
органе;
2) фамилию, имя, отчество, адрес представителя субъекта
персональных данных, номер основного документа,
удостоверяющего его личность, сведения о дате выдачи указанного
документа и выдавшем его органе, реквизиты доверенности или
иного документа, подтверждающего полномочия этого
представителя (при получении согласия от представителя субъекта
персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора,
получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
Защита персональных данных

50. Содержание согласия субъекта на обработку персональных данных

Условия обработки персональных данных
Содержание согласия субъекта на
обработку персональных данных
5) перечень персональных данных, на обработку которых дается
согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению
оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение
которых дается согласие, общее описание используемых
оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта
персональных данных, а также способ его отзыва, если иное не
установлено федеральным законом;
9) подпись субъекта персональных данных.
Защита персональных данных

51.

Условия обработки персональных данных
(в ред. Федерального закона от 30.12.2020 № 519-ФЗ)
Требования к содержанию согласия на обработку
персональных данных, разрешенных субъектом персональных
данных для распространения, устанавливаются уполномоченным
органом по защите прав субъектов персональных данных
Защита персональных данных

52.

Условия обработки персональных данных
Официально опубликован
приказ Роскомнадзора от 24.02.2021
№ 18 «Об утверждении требований
к содержанию согласия на
обработку персональных данных,
разрешенных субъектом
персональных данных для
распространения», который
вступает в действие с 1 сентября
2021 г.
————————————————
Фотографическое
изображение человека так и не
стало биометрическими ПДн.
Защита персональных данных

53.

Условия обработки персональных данных
Защита персональных данных

54.

Условия обработки персональных данных
Защита персональных данных

55.

Условия обработки персональных данных
Роскомнадзор разработал сервис для операторов персональных данных
С 1 июля на официальном сайте Роскомнадзора запущен сервис
(https://rkn.gov.ru/personal-data/soglasiya/) для операторов персональных данных (ПД),
который позволит им сформировать шаблон формы согласия на обработку ПД,
разрешенных субъектом для распространения.
С 1 сентября для операторов вступают в силу обязательные требования к
форме согласия на обработку ПД, разрешенных для распространения. Разработанный
Роскомнадзором сервис позволит операторам ПД сформировать шаблон согласия,
который будет соответствовать требованиям, а также учитывать специфику
деятельности конкретного оператора.
При помощи сервиса в формате конструктора оператору будет достаточно
заполнить необходимые поля, после чего шаблон будет рассмотрен специалистами
Роскомнадзора, и при необходимости оператору будут даны рекомендации по его
доработке. В дальнейшем оператор сможет использовать сформированную форму
согласия в своей работе.
Созданию такого сервиса предшествовал анализ правоприменительной
практики и обращений операторов по оформлению согласия на обработку
персональных данных, разрешенных субъектом ПД для распространения. Обязанность
операторов получать отдельное согласие гражданина на распространение его
персональных данных установлена Федеральным законом 519-ФЗ, который вступил в
силу 1 марта текущего года.

56.

Условия обработки персональных данных
Обработка биометрических персональных данных
Биометрические персональные данные сведения, которые характеризуют физиологические и
биологические особенности человека, на основании
которых можно установить его личность и которые
используются оператором для установления личности
субъекта персональных данных.
Биометрические персональные данные могут
обрабатываться только при наличии согласия в
письменной форме субъекта, за исключением случаев,
предусмотренных частью 2 статьи 11 ФЗ «О
персональных данных»
Защита персональных данных

57.

Условия обработки персональных данных
Обработка биометрических персональных данных
Предоставление биометрических персональных данных не
может
быть
обязательным,
за
исключением
случаев,
предусмотренных частью 2 настоящей статьи. Оператор не вправе
отказывать в обслуживании в случае отказа субъекта
персональных
данных
предоставить
биометрические
персональные данные и (или) дать согласие на обработку
персональных данных, если в соответствии с федеральным
законом получение оператором согласия на обработку
персональных данных не является обязательным.
Защита персональных данных

58.

Условия обработки персональных данных
Обработка биометрических персональных данных
без согласия субъекта
- в связи с реализацией международных договоров Российской
Федерации о реадмиссии,
- в связи с осуществлением правосудия и исполнением судебных
актов,
- в связи с проведением обязательной государственной
дактилоскопической регистрации,
- в случаях, предусмотренных законодательством Российской
Федерации об обороне, о безопасности, о противодействии терроризму, о
транспортной безопасности, о противодействии коррупции, об оперативнорозыскной
деятельности,
о
государственной
службе,
уголовноисполнительным
законодательством
Российской
Федерации,
законодательством Российской Федерации о порядке выезда из Российской
Федерации и въезда в Российскую Федерацию, о гражданстве Российской
Федерации. (в ред. Федеральных законов от 04.06.2014 N 142-ФЗ, от
31.12.2017 N 498-ФЗ)
Защита персональных данных

59.

Обязанности оператора персональных данных
Обязанности оператора при
обработке биометрических
персональных данных
Использование и хранение биометрических
персональных
данных
вне
ИСПДн
могут
осуществляться только на таких материальных
носителях информации и с применением такой
технологии ее хранения, которые обеспечивают
защиту этих данных от неправомерного или
случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, распространения.
Защита персональных данных

60.

Условия обработки персональных данных
Обработка персональных данных третьим лицом в интересах оператора
Оператор вправе поручить обработку персональных данных другому
лицу с согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом, на основании заключаемого с этим лицом договора, в
том числе государственного или муниципального контракта, либо путем
принятия государственным органом или муниципальным органом
соответствующего акта (далее - поручение оператора). Лицо, осуществляющее
обработку персональных данных по поручению оператора, обязано соблюдать
принципы и правила обработки персональных данных, предусмотренные
настоящим Федеральным законом, соблюдать конфиденциальность
персональных данных, принимать необходимые меры, направленные на
обеспечение выполнения обязанностей, предусмотренных настоящим
Федеральным законом. В поручении оператора должны быть определены
перечень персональных данных, перечень действий (операций) с
персональными данными, которые будут совершаться лицом, осуществляющим
обработку персональных данных, цели их обработки, должна быть установлена
обязанность такого лица соблюдать конфиденциальность персональных
данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1
настоящего Федерального закона,
Защита персональных данных

61.

Условия обработки персональных данных
Обработка персональных данных третьим лицом в интересах оператора
обязанность по запросу оператора персональных данных в течение срока
действия поручения оператора, в том числе до обработки персональных
данных, предоставлять документы и иную информацию, подтверждающие
принятие мер и соблюдение в целях исполнения поручения оператора
требований, установленных в соответствии с настоящей статьей,
обязанность обеспечивать безопасность персональных данных при их
обработке, а также должны быть указаны требования к защите
обрабатываемых персональных данных в соответствии со статьей 19
настоящего Федерального закона, в том числе требование об уведомлении
оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего
Федерального закона.
Защита персональных данных

62.

Условия обработки персональных данных
Обработка персональных данных третьим лицом в интересах оператора
В случае, если оператор поручает обработку
персональных данных другому лицу, ответственность
перед субъектом персональных данных за действия
указанного
лица
несет
оператор.
Лицо,
осуществляющее обработку персональных данных по
поручению оператора, несет ответственность перед
оператором.
Защита персональных данных

63.

Условия обработки персональных данных
Обработка персональных данных третьим лицом в интересах оператора
В случае, если оператор поручает обработку персональных
данных иностранному физическому лицу или иностранному юридическому
лицу, ответственность перед субъектом персональных данных за действия
указанных лиц несет оператор и лицо, осуществляющее обработку
персональных данных по поручению оператора.
Защита персональных данных

64.

Условия обработки персональных данных
Трансграничная передача персональных данных
Трансграничная передача персональных данных - передача
персональных данных оператором на территорию иностранного государства
органу власти иностранного государства, иностранному физическому лицу
или иностранному юридическому лицу.
Трансграничная передача персональных данных осуществляется в
соответствии с настоящим Федеральным законом и международными
договорами Российской Федерации.
Уполномоченный орган по защите прав субъектов персональных
данных утверждает перечень иностранных государств, обеспечивающих
адекватную защиту прав субъектов персональных данных. В перечень
иностранных государств, обеспечивающих адекватную защиту прав
субъектов персональных данных, включаются государства, являющиеся
сторонами Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных, а также иностранные
государства, не являющиеся сторонами Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке персональных данных,
при условии соответствия положениям указанной Конвенции действующих в
соответствующем государстве норм права и применяемых мер по
обеспечению конфиденциальности и безопасности персональных данных
при их обработке.
Защита персональных данных

65.

Условия обработки персональных данных
Трансграничная передача персональных данных
Оператор
до
начала
осуществления
деятельности
по
трансграничной передаче персональных данных обязан уведомить
уполномоченный орган по защите прав субъектов персональных данных о
своем намерении осуществлять трансграничную передачу персональных
данных. Указанное уведомление направляется отдельно от уведомления о
намерении
осуществлять
обработку
персональных
данных,
предусмотренного статьей 22 настоящего Федерального закона.
Защита персональных данных

66.

Условия обработки персональных данных
Трансграничная передача персональных данных
Уведомление, предусмотренное частью 3 настоящей статьи,
направляется в виде документа на бумажном носителе или в форме
электронного документа и подписывается уполномоченным лицом.
Уведомление о намерении осуществлять трансграничную передачу
персональных данных должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора, а
также дата и номер уведомления о намерении осуществлять обработку
персональных
данных,
ранее
направленного
оператором
в
соответствии со статьей 22 настоящего Федерального закона;
2) наименование (фамилия, имя, отчество) лица, ответственного за
организацию обработки персональных данных, номера контактных
телефонов, почтовые адреса и адреса электронной почты;
3) правовое основание и цель трансграничной передачи
персональных данных и дальнейшей обработки переданных
персональных данных;
4) категории и перечень передаваемых персональных данных;
5) категории субъектов персональных данных, персональные
данные которых передаются;
Защита персональных данных

67.

Условия обработки персональных данных
Трансграничная передача персональных данных
6) перечень иностранных государств, на территории которых
планируется трансграничная передача персональных данных;
7) дата проведения оператором оценки соблюдения органами
власти иностранных государств, иностранными физическими лицами,
иностранными юридическими лицами, которым планируется трансграничная
передача персональных данных, конфиденциальности персональных
данных и обеспечения безопасности персональных данных при их
обработке.
Защита персональных данных

68.

Условия обработки персональных данных
Трансграничная передача персональных данных
Решение о запрещении или об ограничении трансграничной передачи
персональных данных принимается уполномоченным органом по защите прав
субъектов персональных данных в целях:
1) защиты основ конституционного строя Российской Федерации и
безопасности государства - по представлению федерального органа
исполнительной власти, уполномоченного в области обеспечения безопасности;
2) обеспечения обороны страны - по представлению федерального
органа исполнительной власти, уполномоченного в области обороны;
3) защиты экономических и финансовых интересов Российской
Федерации - по представлению федеральных органов исполнительной власти,
уполномоченных Президентом Российской Федерации или Правительством
Российской Федерации;
4) обеспечения дипломатическими и международно-правовыми
средствами защиты прав, свобод и интересов граждан Российской Федерации,
суверенитета, безопасности, территориальной целостности Российской
Федерации и других ее интересов на международной арене - по представлению
федерального органа исполнительной власти, осуществляющего функции по
выработке и реализации государственной политики и нормативно-правовому
регулированию в сфере международных отношений Российской Федерации.
Защита персональных данных

69.

Условия обработки персональных данных
Трансграничная передача персональных данных
Оператор до подачи уведомления, предусмотренного частью 3 настоящей
статьи, обязан получить от органов власти иностранного государства, иностранных
физических
лиц,
иностранных
юридических
лиц,
которым
планируется
трансграничная передача персональных данных, следующие сведения:
1) сведения о принимаемых органами власти иностранного государства,
иностранными физическими лицами, иностранными юридическими лицами, которым
планируется трансграничная передача персональных данных, мерах по защите
передаваемых персональных данных и об условиях прекращения их обработки;
2) информация о правовом регулировании в области персональных данных
иностранного государства, под юрисдикцией которого находятся органы власти
иностранного государства, иностранные физические лица, иностранные юридические
лица, которым планируется трансграничная передача персональных данных (в
случае, если предполагается осуществление трансграничной передачи персональных
данных органам власти иностранного государства, иностранным физическим лицам,
иностранным юридическим лицам, находящимся под юрисдикцией иностранного
государства, не являющегося стороной Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке персональных данных и не
включенного в перечень иностранных государств, обеспечивающих адекватную
защиту прав субъектов персональных данных);
Защита персональных данных

70.

Условия обработки персональных данных
Трансграничная передача персональных данных
3) сведения об органах власти иностранного государства,
иностранных физических лицах, иностранных юридических лицах, которым
планируется
трансграничная
передача
персональных
данных
(наименование либо фамилия, имя и отчество, а также номера контактных
телефонов, почтовые адреса и адреса электронной почты).
Защита персональных данных

71.

Условия обработки персональных данных
1-го декабря 2015 года
Минюст зарегистрировал приказ
Минкомсвязи №315 от 28-го августа 2015-го
года о внесении изменений в
Административный регламент РКН в части
местонахождения баз данных
персональных данных. Теперь в
уведомлении в РКН добавился
соответствующий раздел.
Еще одной новацией новой формы
электронного уведомления является
необходимость указывать каждую ИСПДн,
которая у вас есть.
Федеральный закон № 242ФЗ от 21.07.2014 «О внесении изменений
в отдельные законодательные акты
Российской Федерации в части уточнения
порядка обработки персональных данных
в информационно-телекоммуникационных
сетях» (т.н. «Закон о локализации
Персональных данных россиян
на территории РФ»).
Защита персональных данных

72.

Условия обработки персональных данных
Защита персональных данных

73.

Условия обработки персональных данных
16 июня 2022 года мировой суд Таганского района г. Москвы
рассмотрел административные протоколы, составленные
Роскомнадзором в отношении иностранных компаний, не
локализовавших базы данных российских пользователей на территории
РФ.
Компания Google LLC оштрафована на 15 млн рублей за
повторный отказ локализовать личные данные пользователей в России
(ч. 9 ст. 13.11 КоАП РФ). Ранее Google уже привлекался к
административной ответственности за нарушение требования о
локализации. В 2021 году штраф составил 3 млн рублей, который
компания своевременно оплатила.
Защита персональных данных

74.

Условия обработки персональных данных
Оператор обязан убедиться в том, что
иностранным государством, на территорию которого
осуществляется передача персональных данных,
обеспечивается адекватная защита прав субъектов
персональных данных, до начала осуществления
трансграничной передачи персональных данных.
Защита персональных данных

75.

Условия обработки персональных данных
Защита персональных данных

76.

Условия обработки персональных данных
Роскомнадзор исключил из
перечня иностранных государств, не
являющихся сторонами Конвенции
Совета Европы о защите физических
лиц при автоматизированной
обработке персональных данных,
утверждённого приложением № 1 к
приказу Федеральной службы по
надзору в сфере связи,
информационных технологий и
массовых коммуникаций от 15 марта
2013 г. № 274, Мексиканские
Соединённые Штаты и Республику
Кабо-Верде, но, при этом, включил в
упомянутый Перечень Японию.
Защита персональных данных

77.

Условия обработки персональных данных
Роскомнадзор внес изменения в перечень иностранных государств, не
являющихся сторонами Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных и обеспечивающих
адекватную защиту прав субъектов персональных данных.
В связи с ратификацией Конвенции Аргентинская Республика, Королевство
Марокко, Тунисская Республика исключены из Перечня. Также в виду отсутствия
органа, уполномоченного осуществлять защиту прав субъектов персональных
данных, в структуре государственных органов из Перечня исключена Республика
Чили.
В обновленный Перечень включены 11 стран, включая Республику Беларусь
и Федеративную Республику Бразилия. С учетом внесенных изменений
количество иностранных государств, обеспечивающих адекватную защиту прав
субъектов персональных данных, увеличилось до 29.
Условиями включения иностранного государства в Перечень иностранных
государств является наличие в нем комплексного нормативного правового акта,
регулирующего сферу персональных данных, наличие в стране уполномоченного
органа по защите прав субъектов персональных данных и системы санкций,
предусмотренной за нарушение требований законодательства в этой области.
Защита персональных данных

78.

Условия обработки персональных данных
Защита персональных данных

79.

Условия обработки персональных данных
Защита персональных данных

80.

Условия обработки персональных данных
Роскомнадзор обновил перечень
стран, обеспечивающих
адекватную защиту прав владельцев персональных данных.
Подходы к защите таких прав были выработаны рабочей группой
Евросоюза по защите прав частных лиц применительно к обработке
персональных данных в 1998 году. Согласно этим правилам, государство,
не являющееся стороной Конвенции Совета Европы, может быть включено
в перечень стран, обеспечивающих адекватную защиту прав субъектов
персональных данных, при соблюдении ряда условий.
РКН формирует перечень государств и актуализирует его
ежегодно. В прошлом году из перечня были исключены Аргентина,
Марокко, Чили и Тунис. Добавили в список Бангладеш, Беларусь, Замбию,
Нигер, Таджикистан, Узбекистан, Чад, Вьетнам, Того, Бразилию и Нигерию.
В приказе перечислены 34 государства, не являющиеся сторонами
Конвенции Совета Европы о защите физлиц при автоматизированной
обработке персональных данных. В предыдущей версии списка их было 29,
в новую редакцию добавили Кот-Д’Ивуар, КНР, Киргизию, Таиланд и Индию.
В перечне государств, относящихся к Конвенции, 55 пунктов.
Соединенных Штатов в списках нет.
Защита персональных данных

81.

Условия обработки персональных данных
Трансграничная передача в случаях, когда не
обеспечивается адекватная защита прав субъектов
персональных данных
Может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных
на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами Российской
Федерации;
3) предусмотренных федеральными законами, если это необходимо в
целях защиты основ конституционного строя Российской Федерации,
обеспечения обороны страны и безопасности государства, а также
обеспечения безопасности устойчивого и безопасного
функционирования транспортного комплекса, защиты интересов
личности, общества и государства в сфере транспортного комплекса от
актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект
персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта
персональных данных или других лиц при невозможности получения
согласия в письменной форме субъекта персональных данных.
Защита персональных данных

82. Специальные категории персональных данных

Защита персональных данных

83.

Специальные категории персональных данных
Специальные категории
персональных данных
Персональные данные, касающиеся:
расовой принадлежности
национальной принадлежности
политических взглядов
религиозных или философских убеждений
состояния здоровья
интимной жизни
Защита персональных данных

84.

Специальные категории персональных данных
Обработка специальных категорий
персональных данных
Обработка специальных категорий
персональных данных не допускается, за
исключением случаев, предусмотренных
частью 2 статьи 10 ФЗ «О персональных
данных»
Защита персональных данных

85. Трудовой кодекс Российской Федерации

Основные понятия
Трудовой кодекс Российской Федерации
Работодатель не имеет
права получать и обрабатывать
сведения о работнике,
относящиеся в соответствии с
законодательством Российской
Федерации в области
персональных данных к
специальным категориям
персональных данных, за
исключением случаев,
предусмотренных настоящим
Кодексом и другими
федеральными законами.
Защита персональных данных

86.

Специальные категории персональных данных
Допустимые случаи обработки
специальных категорий ПДн
1) субъект персональных данных дал согласие в письменной форме на
обработку своих персональных данных;
2)
обработка
персональных
данных,
разрешенных
субъектом
персональных данных для распространения, осуществляется с
соблюдением запретов и условий, предусмотренных статьей 101
настоящего Федерального закона (в ред. Федерального закона от
30.12.2020 № 519-ФЗ )
2.1) обработка персональных данных необходима в связи с реализацией
международных договоров Российской Федерации о реадмиссии; (в ред.
Федерального закона от 25.11.2009 N 266-ФЗ)
2.2) обработка персональных данных осуществляется в соответствии с
Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской
переписи населения"; (в ред. Федерального закона от 27.07.2010 N 204ФЗ)
2.3) обработка персональных данных осуществляется в соответствии с
законодательством о государственной социальной помощи, трудовым
законодательством, пенсионным законодательством Российской
Защита персональных данных

87.

Специальные категории персональных данных
Допустимые случаи обработки
специальных категории ПДн
3) обработка персональных данных необходима для защиты жизни, здоровья
или иных жизненно важных интересов субъекта персональных данных либо
жизни, здоровья или иных жизненно важных интересов других лиц и получение
согласия субъекта персональных данных невозможно; (в ред. Федерального
закона от 25.07.2011 N 261-ФЗ)
4) обработка персональных данных осуществляется в медикопрофилактических целях, в целях установления медицинского диагноза,
оказания медицинских и медико-социальных услуг при условии, что обработка
персональных данных осуществляется лицом, профессионально
занимающимся медицинской деятельностью и обязанным в соответствии с
законодательством Российской Федерации сохранять врачебную тайну;
Защита персональных данных

88.

Специальные категории персональных данных
Допустимые случаи обработки
специальных категорий ПДн
5) обработка персональных данных членов (участников) общественного
объединения или религиозной организации осуществляется
соответствующими общественным объединением или религиозной
организацией, действующими в соответствии с законодательством
Российской Федерации, для достижения законных целей,
предусмотренных их учредительными документами, при условии, что
персональные данные не будут распространяться без согласия в
письменной форме субъектов персональных данных;
6) обработка персональных данных необходима для установления или
осуществления прав субъекта персональных данных или третьих лиц, а
равно и в связи с осуществлением правосудия; (в ред. Федерального
закона от 25.07.2011 N 261-ФЗ)
Защита персональных данных

89.

Специальные категории персональных данных
Допустимые случаи обработки
специальных категорий ПДн
7) обработка персональных данных осуществляется в соответствии с
законодательством Российской Федерации об обороне, о безопасности, о
противодействии терроризму, о транспортной безопасности, о противодействии
коррупции, об оперативно-розыскной деятельности, об исполнительном
производстве, уголовно-исполнительным законодательством Российской
Федерации; (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
7.1) обработка полученных в установленных законодательством Российской
Федерации случаях персональных данных осуществляется органами
прокуратуры в связи с осуществлением ими прокурорского надзора; (в ред.
Федерального закона от 23.07.2013 N 205-ФЗ)
8) обработка персональных данных осуществляется в соответствии с
законодательством об обязательных видах страхования, со страховым
законодательством; (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
Защита персональных данных

90.

Специальные категории персональных данных
Допустимые случаи обработки
специальных категорий ПДн
9) обработка персональных данных осуществляется в случаях,
предусмотренных законодательством Российской Федерации,
государственными органами, муниципальными органами или организациями в
целях устройства детей, оставшихся без попечения родителей, на воспитание
в семьи граждан; (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
10) обработка персональных данных осуществляется в соответствии с
законодательством Российской Федерации о гражданстве Российской
Федерации. (в ред. Федерального закона от 04.06.2014 N 142-ФЗ)
Защита персональных данных

91.

Условия обработки персональных данных
Особенности обработки персональных данных,
разрешенных субъектом персональных данных для
распространения
1.Согласие на обработку персональных данных, разрешенных субъектом
персональных данных для распространения, оформляется отдельно от иных согласий
субъекта персональных данных на обработку его персональных данных. Оператор
обязан обеспечить субъекту персональных данных возможность определить перечень
персональных данных по каждой категории персональных данных, указанной в согласии
на обработку персональных данных, разрешенных субъектом персональных данных для
распространения.
2.В случае раскрытия персональных данных неопределенному кругу лиц самим
субъектом персональных данных без предоставления оператору согласия,
предусмотренного настоящей статьей, обязанность предоставить доказательства
законности последующего распространения или иной обработки таких персональных
данных лежит на каждом лице, осуществившем их распространение или иную обработку.
3.В случае, если персональные данные оказались раскрытыми
неопределенному кругу лиц вследствие правонарушения, преступления или
обстоятельств непреодолимой силы, обязанность предоставить доказательства
законности последующего распространения или иной обработки таких персональных
данных лежит на каждом лице, осуществившем их распространение или иную обработку.
Защита персональных данных

92.

Условия обработки персональных данных
4. В случае, если из предоставленного субъектом персональных данных
согласия на обработку персональных данных, разрешенных субъектом персональных
данных для распространения, не следует, что субъект персональных данных
согласился с распространением персональных данных, такие персональные данные
обрабатываются оператором, которому они предоставлены субъектом персональных
данных, без права распространения.
5. В случае, если из предоставленного субъектом персональных данных
согласия на обработку персональных данных, разрешенных субъектом персональных
данных для распространения, не следует, что субъект персональных данных не
установил запреты и условия на обработку персональных данных, предусмотренные
частью 9 настоящей статьи, или если в предоставленном субъектом персональных
данных таком согласии не указаны категории и перечень персональных данных, для
обработки которых субъект персональных данных устанавливает условия и запреты в
соответствии с частью 9 настоящей статьи, такие персональные данные
обрабатываются оператором, которому они предоставлены субъектом персональных
данных, без передачи (распространения, предоставления, доступа) и возможности
осуществления иных действий с персональными данными неограниченному кругу лиц.
Защита персональных данных

93.

Условия обработки персональных данных
6. Согласие на обработку персональных данных, разрешенных субъектом
персональных данных для распространения, может быть предоставлено оператору:
1) непосредственно;
2) с использованием информационной системы уполномоченного органа по защите
прав субъектов персональных данных.
7. Правила использования информационной системы уполномоченного органа
по защите прав субъектов персональных данных, в том числе порядок взаимодействия
субъекта персональных данных с оператором, определяются уполномоченным органом
по защите прав субъектов персональных данных.
8.Молчание или бездействие субъекта персональных данных ни при каких
обстоятельствах не может считаться согласием на обработку персональных данных,
разрешенных субъектом персональных данных для распространения.
9. В согласии на обработку персональных данных, разрешенных субъектом
персональных данных для распространения, субъект персональных данных вправе
установить запреты на передачу (кроме предоставления доступа) этих персональных
данных оператором неограниченному кругу лиц, а также запреты на обработку или
условия обработки (кроме получения доступа) этих персональных данных
неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных
данных запретов и условий, предусмотренных настоящей статьей, не допускается.
10. Оператор обязан в срок не позднее трех рабочих дней с момента получения
соответствующего согласия субъекта персональных данных опубликовать информацию
об условиях обработки и о наличии запретов и условий на обработку неограниченным
кругом лиц персональных данных, разрешенных субъектом персональных данных для
распространения.
Защита персональных данных

94.

Условия обработки персональных данных
11. Установленные субъектом персональных данных запреты на передачу
(кроме предоставления доступа), а также на обработку или условия обработки (кроме
получения доступа) персональных данных, разрешенных субъектом персональных
данных для распространения, не распространяются на случаи обработки
персональных данных в государственных, общественных и иных публичных
интересах, определенных законодательством Российской Федерации.
12. Передача (распространение, предоставление, доступ) персональных
данных, разрешенных субъектом персональных данных для распространения, должна
быть прекращена в любое время по требованию субъекта персональных данных.
Данное требование должно включать в себя фамилию, имя, отчество (при наличии),
контактную информацию (номер телефона, адрес электронной почты или почтовый
адрес) субъекта персональных данных, а также перечень персональных данных,
обработка которых подлежит прекращению. Указанные в данном требовании
персональные данные могут обрабатываться только оператором, которому оно
направлено.
13. Действие согласия субъекта персональных данных на обработку
персональных данных, разрешенных субъектом персональных данных для
распространения, прекращается с момента поступления оператору требования,
указанного в части 12 настоящей статьи.
Защита персональных данных

95.

Условия обработки персональных данных
14. Субъект персональных данных вправе обратиться с требованием
прекратить передачу (распространение, предоставление, доступ) своих персональных
данных, ранее разрешенных субъектом персональных данных для распространения, к
любому лицу, обрабатывающему его персональные данные, в случае несоблюдения
положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо
обязано прекратить
передачу (распространение, предоставление, доступ)
персональных данных в течение трех рабочих дней с момента получения требования
субъекта персональных данных или в срок, указанный во вступившем в законную силу
решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих
дней с момента вступления решения суда в законную силу.
15. Требования настоящей статьи не применяются в случае обработки
персональных данных в целях выполнения возложенных законодательством
Российской Федерации на государственные органы, муниципальные органы, а также на
подведомственные таким органам организации функций, полномочий и обязанностей.
Защита персональных данных

96.

Специальные категории персональных данных
Обработка персональных данных, касающихся
состояния здоровья
Обработка персональных данных, касающихся состояния
здоровья, полученных в результате обезличивания персональных
данных,
допускается
в
целях
повышения
эффективности
государственного или муниципального управления, а также в иных
целях, предусмотренных Федеральным законом "О проведении
эксперимента по установлению специального регулирования в целях
создания необходимых условий для разработки и внедрения
технологий искусственного интеллекта в субъекте Российской
Федерации - городе федерального значения Москве и внесении
изменений в статьи 6 и 10 Федерального закона "О персональных
данных", в порядке и на условиях, которые предусмотрены указанным
Федеральным законом. (в ред. Федерального закона от 24.04.2020 N
123-ФЗ)
Защита персональных данных

97.

Специальные категории персональных данных
Обработка персональных данных о судимости
Может осуществляться государственными органами или
муниципальными органами в пределах полномочий, предоставленных им
в соответствии с законодательством Российской Федерации, а также
иными лицами в случаях и в порядке, которые определяются в
соответствии с федеральными законами.
10 февраля 2020 года в России вступили в силу правила по
предоставлению россиянами справок нового формата о наличии или
отсутствии судимости и фактах уголовного преследования.
Отмечается, что теперь соответствующие справки будут предоставляться
на бланках нового типа. Их сложнее будет подделывать за счет
специальной защиты.
Также расширится список ведомств, куда необходимо будет
предоставлять данные справки, в том числе при устройстве на работу в
государственные и частные учреждения.
Защита персональных данных

98.

Особенности обработки персональных данных
Особенности обработки персональных данных в
государственных или муниципальных
информационных системах персональных данных
ГИС - информационная система, созданная в соответствии
с настоящим Федеральным законом, иными федеральными
законами, законами субъектов Российской Федерации, в базах
данных которой содержится документированная информация и
(или)
иные
сведения,
получаемые
или
формируемые
федеральными органами государственной власти, иными
федеральными
государственными
органами,
органами
государственной власти субъектов Российской Федерации, иными
государственными органами субъектов Российской Федерации,
государственными организациями в связи с осуществлением ими
полномочий
по
предоставлению
государственных
или
муниципальных услуг (исполнению государственных или
муниципальных функций), предусмотренных нормативными
правовыми актами, а также иными организациями, на которые
возложено осуществление функций по получению или
формированию соответствующей информации и (или) сведений
законодательством Российской Федерации, законодательством
субъектов Российской Федерации.
Защита персональных данных

99.

Особенности обработки персональных данных
Особенности обработки персональных данных в
государственных или муниципальных
информационных системах персональных данных
Разновидности ИС:
English     Русский Rules