В области обработки персональных данных

Вопрос: Необходимо ли согласие субъектов персональных данных (граждан) в случае передачи персональных данных граждан третьему лицу (РКЦ) обслуживающей многоквартирный дом Управляющей компании для формирования квитанций на оплату ЖКУ? Правомерны ли в данном случае действия Управляющей компании?

Ответ: В соответствии со ст. 3 Федерального закона от 27.07.2006 "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Следовательно, Управляющая компания является оператором, осуществляющим обработку персональных данных граждан.

 В соответствии с ч. 3 ст. 6 настоящего закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Таким образом, в силу договорных отношений, возникших между Управляющей компанией и РКЦ, осуществляющей начисление платы за ЖКУ и выпуск квитанций, в силу исполнения требований жилищного законодательства, предоставление одной организацией персональных данных жильцов дома другой организации является допустимым.

На основании ч. 5 вышеназванной нормы права, в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

Вопрос: Какие санкции существуют за не представление ответа на запрос уполномоченного органа по защите прав субъектов персональных данных? Необходимо ли указывать в уведомлении об обработке (о намерении осуществлять обработку) персональных данных лечебного учреждения сведения о физических лицах, обратившихся за медицинской помощью в данное лечебное учреждение?

Ответ: Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", а также ведение Реестра операторов, осуществляющих обработку персональных данных на территории РФ, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций.

На территории Приморского края таким органом является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Приморскому краю - (Управление Роскомнадзора по Приморскому краю).

Для формирования Реестра операторов, осуществляющих обработку персональных данных, Управлением операторам направляются запросы о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.

   На основании требования ч. 1 ст. 22 Закона Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ч. 3 ст. 22), за исключением случаев, предусмотренных ч. 2 настоящей статьи  Закона.

  Оператор в соответствии с ч. 4 ст. 20 Закона обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. Непредставление запрашиваемых сведений, а равно  представление  таких  сведений  в неполном объеме, является нарушением требований данной статьи Закона и влечет административную ответственность по статье 19.7 КоАП РФ (наложение административного штрафа).

  В случае не предоставления или несвоевременного представления вышеуказанных сведений организациями, которым был направлен запрос, государственными инспекторами Управления составляются протоколы об административном правонарушении по ст. 19.7 КоАП РФ и направляются на рассмотрение мировым судьям.

Категории персональных данных - это фамилия, имя, отчество, адрес,  паспортные данные, образование, состав семьи, доходы, пол, гражданство, данные пенсионного свидетельства, биометрические данные (фотография), сведения о воинском учете, ИНН,  состояние здоровья, контактная информация и т.д. На сайте https://25.rkn.gov.ru/p17350/p17351/p14656/ размещены образцы уведомлений, из которых видно, что указывать в уведомлении сведения о физических лицах, обратившихся за медицинской помощью в лечебное учреждение (пациентам) не нужно, т.к. категории персональных данных, указываемые в данном документе, являются обезличенными. Таким образом, направление в Управление персональных данных по каждому субъекту персональных данных (пациенту) не требуется.

Лечебными учреждениями должен быть решен вопрос о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.

Вопрос ГУЗ «Краевая клиническая больница № 2»: в праве ли данное учреждение спрашивать согласие на обработку персональных данных у пациентов, которые получают медицинские услуги в рамках программы обязательного медицинского страхования?

Ответ: в соответствии с ч. 2 ст. 6 Закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях: обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (п. 1); обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (п. 2); обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п. 3). Обработка специальных категорий персональных данных, касающихся состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона, в т.ч. в случае: обработка персональных данных осуществляется в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования (п. 8). При этом операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность и безопасность персональных данных при их обработке (п. 4 ст. 6, ст. 7 Закона).

Вопрос гр. К.: в организации ко дню рождения работников практикуется размещение в общедоступном месте списка работников с указанием их персональных данных. Согласия работников на размещение на стенде их персональных данных не имеется. Являются ли правомерными действия работодателя?

Ответ: ст. 3 Федерального закона «О персональных данных» определяет понятие персональных данных как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных ч. 2 ст. 7 Закона: обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (ст. 8 Закона). Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст. 3 Закона). В соответствии со ст. 9 данного Закона субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва;

7) собственноручную подпись субъекта персональных данных.

Таким образом, размещение в общедоступных местах работодателем списка работников с указанием фамилии, имени, отчества, даты рождения работника без письменного согласия на обработку этих персональных данных является нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

Вопрос: Вправе ли должностное лицо, в производстве которого находится дело об административном правонарушении, запрашивать у организаций персональные данные их работников?

Ответ: В соответствии со статьей 28.3 КоАП РФ протоколы об административных правонарушениях составляются должностными лицами органов, уполномоченных рассматривать дела об административных правонарушениях в пределах компетенции соответствующего органа.

Требования к содержанию протокола об административном правонарушении установлены статьей 28.2 КоАП РФ. В частности, в протоколе об административном правонарушении указываются сведения о лице, в отношении которого возбуждено дело об административном правонарушении.

Кроме того, статьей 26.10 КоАП РФ предусмотрено, что орган, должностное лицо, в производстве которых находится дело об административном правонарушении, вправе вынести определение об истребовании сведений, необходимых для разрешения дела. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения. При невозможности представления указанных сведений организация обязана в трехдневный срок уведомить об этом в письменной форме судью, орган, должностное лицо, вынесших определение.

Пунктом 1 части 2 статьи 6 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» предусмотрена обработка персональных данных на основании Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора без согласия субъекта персональных данных.

Таким образом, должностное лицо органа, уполномоченного составлять и рассматривать протоколы об административном правонарушении вправе в рамках производства по делу об административном правонарушении запрашивать у организаций персональные данные их работников, в отношении которых возбуждено дело об административном правонарушении. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения в порядке, предусмотренном ст.26.10 КоАП РФ.

Вопрос: У нас стоматологический кабинет, сбор персональных данных пациентов производится на бумажных носителях, в электронном виде обрабатываются только снимки с визиографа, доступа к сети Интернет нет. Нужно ли нам оформлять к договору на оказание услуг приложение с согласием на обработку персональных данных пациентов, если у нас база пациентов на бумажных носителях?

Ответ: Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее Закон). Обработка персональных данных допускается в определенных случаях, указанных в части 1 статьи 6 Закона, в том числе, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Обработка специальных категорий персональных данных (часть 1 статьи 10 Закона) также допускается в определенных случаях, в том числе если обработка персональных данных осуществляется в медико- профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (пункт 4 части 2 статьи 10 Закона).

Следовательно, если обработка персональных данных соответствует вышеуказанным статьям Закона и принципам обработки персональных данных, указанных в статье 5 Закона, то согласия на обработку персональных данных не требуется.

Время публикации: 26.10.2011 12:25
Последнее изменение: 12.07.2016 14:51