Закон рф о защите персональных данных 2014

Оглавление:

Технологии

Чем нам грозит закон «О персональных данных»

Что будет с персональными данными россиян в 2015 году

Совет Федерации одобрил поправки к закону «О персональных данных». Таким образом, 1 сентября 2015 года он вступит в силу.

Новые поправки к закону «О персональных данных», которые одобрила верхняя палата Федерального собрания, вызвали бурю обсуждения в сети. «Газета.Ru» решила разобраться, чем эти изменения в законодательстве обернутся для обычных пользователей.

О настоящей опасности киберугроз рассказывает «Газета.Ru»

Ключевые поправки в Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» вносятся в статью 18. Согласно этим изменениям, оператор, собирающий персональные данные, обязан хранить их на сервере, который располагается на территории России.

При этом предусмотрены исключения для указанных в четырех пунктах данных (2, 3, 4, 8 части 1 статьи 6). Они связаны с международными обязательствами России, осуществлением правосудия, работой органов государственной власти, научной, творческой и журналистской деятельностью. Стоит понимать, что речь в поправках идет только об операторах данных. Оператор данных — это физическое либо юридическое лицо или государственный орган, который осуществляет хранение и обработку персональных данных.

Исходя из системного толкования законодательства (и недопустимости необоснованной экстерриториальности его действия), требования закона о персональных данных распространяются на российские компании и зарегистрированные на территории РФ филиалы и представительства иностранных юридических лиц, подчеркивает руководитель группы практики по разрешению споров международной юридической компании Goltsblat BLP Наталья Беломестнова.

Если у иностранного юридического лица нет на территории России филиала или представительства, то на него не распространяются требования закона «О персональных данных», говорит юрист. Такого толкования всегда придерживался и сам Роскомнадзор.

Россия предложила сделать интернет более национальным

Важный момент — действующий закон №152-ФЗ трактует понятие персональных данных максимально широко. Согласно закону, персональные данные — это ЛЮБАЯ информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В реестре Роскомнадзора в России сейчас зарегистрировано почти 314 тыс. физических и юридических лиц, а также государственных органов, которые осуществляют подобную деятельность. И закон касается в первую очередь именно тех, кто в этом реестре фигурирует.

Также были внесены и поправки в статью 15 №152-ФЗ «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных». Теперь для борьбы с «операторами персональных данных», нарушающих данный закон, будет создан «Реестр нарушителей прав субъектов персональных данных», а доступ к этим операторам будет блокироваться Роскомнадзором.

Поправки в закон касаются только хранения персональных данных на территории РФ. То есть серверы с базами данных должны находиться на территории Российской Федерации, но передачи и обработки этих данных за рубежом поправки не коснулись.

В законе «О персональных данных» уже существует статья 12 под названием «Трансграничная передача персональных данных». И согласно первому пункту статьи, персональные данные граждан могут отправляться в те страны, которые приняли конвенцию Совета Европы о защите этих самых данных, а также в страны, не являющиеся стороной конвенции, но обеспечивающие адекватную защиту прав субъектов персональных данных.

При этом никто не запрещает вам как пользователю интернета отправлять свои персональные данные в условный французский или немецкий интернет-магазин, который торгует вязаными шарфиками. Во всяком случае, в законе таких ограничений нет.

«Гражданин РФ имеет полное право распоряжаться своими персональными данными любым способом, в том числе и передавать свои данные за границу интернет-магазину, — говорит Наталья Беломестнова. — Основной вопрос как раз в другом: какие будут последствия такой передачи для самого интернет-магазина и сможет ли Роскомнадзор предъявлять ему какие-то претензии (в том числе заблокировать доступ к его сайту на территории России)».

В законодательстве нет никаких оснований распространять на не работающий в РФ интернет-магазин требования российского закона, однако как пойдет правоприменительная практика, покажет время. «Не исключено, что в целом будет соблюдаться принцип территориального действия закона (контролироваться на предмет размещения серверов в России будут только российские юридические лица и иностранцы, имеющие здесь филиалы и представительства), но для каких-то отдельных случаев правоприменитель будет толковать закон шире (хотя очевидных оснований для этого нет)», — отмечает Наталья Беломестнова.

Главный аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян считает, что оценить, как повлияют новые поправки на интернет-бизнес и российских интернет-пользователей, пока сложно.

«Поправки к закону написаны так, что трактовка закона может быть максимально широкой.

С одной стороны, это дает возможность использовать его избирательно против определенных компаний, с другой, в нем столько «дыр», что и сами операторы персональных данных могут использовать эти лазейки для его обхода.

Так, например, у России есть немало международных обязательств, которые позволяют хранить персональные данные не на территории России. Кроме того, проверить, хранит ли оператор все персональные данные (а они зашифрованы) на российских серверах или только их часть, весьма затруднительно. И таких нюансов много. Мы (РАЭК) ожидаем, что будут приняты подзаконные акты, которые уточнят и дополнят действие закона. Многое станет ясно уже после начала действия закона и первых случаев его применения», — сказал Казарян.

Федеральный закон РФ «О персональных данных» (152-ФЗ) 2018

Закон о персональных данных в последней действующей редакции от 30 июня 2018 года.

Новые не вступившие в силу редакции закона отсутствуют.

Федеральный закон Российской Федерации «О персональных данных» регулирует деятельность физических и юридических лиц по обработке и использованию персональных данных. Федеральный закон «О персональных данных» требования и правила по защите персональных данных ко всем организациям, государственным и частным компаниям, которые хранят, обрабатывают и собирают персональные данные своих сотрудников, посетителей или клиентов. Федеральный Закон обязывает операторов персональных данных уведомлять об обработке персональных данных субъекта, получать его письменное разрешение и уведомлять об уничтожении персональных данных при прекращении отношений.

Федеральный Закон РФ «О персональных данных» был принят 1июля 2011 года с целью устранения барьеров и препятствий в международной торговле со всеми странами Евросоюза, где обмен персональными данными при совершении сделок защищён подобными законами с конца ХIX века.

Закон предусматривает присвоение класса информационным системам, которые хранят и обрабатывают персональные данные, в соответствии с классом обеспечивается защита персональных данных. Федеральный Закон «О персональных данных» определяет административную, дисциплинарную, гражданско-правовую и уголовную ответственность операторов персональных данных за невыполнение защиты персональных данных, которая может повлечь денежный штраф, конфискацию несертифицированных средств защиты или прекращение обработки персональных данных.

Последние изменения в Законе «О персональных данных»

  • Изменения в 152-ФЗ, вступившие в силу с 1 января 2017

Договор-Юрист.Ру постоянно следит за актуализацией кодексов и законов.

Так, например, Закон о персональных данных не имеет на данный момент никаких новых запланированных редакций.

Шансов найти более свежую действующую редакцию — нет.

Комментарии к закону

Вы также можете получить комментарии к закону «Федеральный закон РФ «О персональных данных» (152-ФЗ)». Юристы сайта, специализирующиеся на конкретных сферах кодексов и законов, дадут исчерпывающий комментарий по любым вопросам.

Новый обзор Федерального закона о защите персональных данных

Юридическая фирма «Надмитов, Иванов и Партнеры» представляет Вашему вниманию обзор Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», вступающего в силу в сентябре 2016. Обзор доступен для скачивания по ссылке: Обзор Федерального закона о защите персональных данных

1) Значение принятия Федерального закона № 242-Ф

  • 4 июля 2014 года Государственной Думой был принят Федеральный закон № 242-ФЗ, главной новеллой которого стало требование о хранении персональных данных граждан Российской Федерации на российских серверах. Вступая в силу 1 сентября 2016 г., рассматриваемый закон окажет существенное влияние на отечественный и зарубежный бизнес; ощутимее всех изменения скажутся на компаниях, работающих с большим объёмом персональных данных, из банковского, туристического секторов, на компаниях, занимающихся международными пассажирскими перевозками и др.

2) Новеллы Федерального закона № 242-ФЗ

  • Требование о хранении персональных данных на российских серверах;
  • Создание единой информационной системы «Реестр нарушителей прав субъектов персональных данных» (реестр нарушителей);
  • Право лица на обращение в Роскомнадзор с требованием ограничить доступ к информации, обрабатываемой с нарушением законодательства;
  • Указание в уведомлении об обработке персональных данных (направляется уполномоченному органу) местонахождения базы с данными российских граждан

3) Основное содержание рассматриваемого закона

  • Главной целью принятия 242-ФЗ является защита персональных данных граждан РФ, поэтому по истечении переходного периода указанную информацию можно будет хранить только на серверах, находящихся на территории Российской Федерации. Исключений из данного правила немного: реализация положений международного договора, осуществление правосудия и журналисткой деятельности, предоставление государственных услуг.
  • В случае признания судом нарушения порядка хранения персональных данных Роскомнадзор будет обязан инициировать процедуру блокировки интернет-сайта. На основе решения суда заблокированный ресурс автоматически попадает в реестр нарушителей, исключение из которого возможно только после отмены упомянутого судебного решения либо при обращении заинтересованного лица.
  • Операторы при работе с персональными данными теперь будут обязаны включать в уведомление, направляемое уполномоченному органу, информацию о местонахождении баз данных, если они содержат персональные данные граждан РФ.

4) Нормативные акты, в которые внесены изменения Законом № 242-ФЗ

  • Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 28.12.2013) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.02.2014) (далее – ФЗ «Об информации»);
  • Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 21.12.2013) «О персональных данных» (далее – ФЗ «О персональных данных»);
  • Федеральный закон от 26.12.2008 № 294-ФЗ (ред. от 23.06.2014) «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее – ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей»).

Нормативный акт:

Федеральный закон от 21.07.2014 N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Рассматриваемый Закон вступает в силу с 1 сентября 2016 года.

Закон о персональных данных: обзор важных изменений 2018 года

В связи со сложной геополитической обстановкой в мире, Россия предпринимает определенные меры по защите личной жизни своих граждан. На законодательном уровне, это выражается внесением изменений в закон о защите персональных данных. В данном тексте вы узнаете суть происходящих изменений в законодательстве о персональных данных, а также об ответственности, которая наступает в связи с нарушением этого законодательства.

С развитием Всемирной сети Интернет у государства появились новые заботы – как обезопасить миллионы людей от несанкционированного использования их личных данных в мошеннических, либо других незаконных целях. Ежедневно в Сети совершается множество операций, предусматривающих, что человек даст доступ к определенному набору собственных данных и абсолютное большинство людей, не имеет ни малейшего понятия об элементарных правилах безопасности поведения в Интернете. Поэтому, государство старается возложить обязанности по защите персональных данных на организации, которые используют эти самые данные.

Как именно происходит их защита, кто должен принимать меры по ограничению доступа к персональным данным, что принесут изменения в закон о персональных данных от 01.09.2015 года и какая ответственность за нарушение этого закона? Все это вы узнаете в данной статье.

Краткий обзор закона №152-ФЗ

Основным законом, регулирующим обработку персональных данных различными субъектами, является Федеральный закон «О персональных данных» от 27.07.2006 года №152-ФЗ (далее – закон 152-ФЗ).

Под его сферу попадают субъекты, которые осуществляют действия по обработке персональных данных с применением средств автоматизации (учитывая информационно-телекоммуникационные сети), либо без использования таких средств, при условии, что подобные действия позволяют совершать поиск или предоставлять доступ к персональным данным в базах, размещенных на материальном носителе или находящихся в картотеках, либо других систематизированных собраниях данных.

Не попадают под сферу регулирования закона 152-ФЗ следующие действия:

  • Обработка чужих персональных данных физическими лицами для собственных нужд (личных и семейных), при условии, что такая обработка не нарушает права владельца персональных данных;
  • Действия по организации архивов, которые попадают в сферу регуляции законодательства об архивном деле в РФ;
  • Обработка персональных данных, которые содержат сведения, отнесенные в соответствии с действующим законодательством РФ, к государственной тайне;
  • Персональные данные, относящиеся к деятельности судов, предоставленные в порядке, закрепленном соответствующими законодательными актами.

В п. 1 ст. 3 закона 152-ФЗ закреплено понятие «персональные данные» — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъекты, которые совершают действия по обработке персональных данных, называются «операторы». Расшифровка этого понятия закреплена в п. 2 ст. 3 закона 152-ФЗ: «оператор» — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

П.3 ст.3 закона 152-ФЗ раскрывает понятие «обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Учитывая вышесказанное, можно подытожить, что действие закона 152-ФЗ распространяется, кроме прочего, на всех предпринимателей и организации, которые в процессе своей деятельности берут у клиентов данные, относящиеся к персональным, и осуществляют их обработку.

Вступающие в силу с 01.09.2016 года изменения в закон 152-ФЗ, будут вносить серьезные коррективы в деятельность бизнес структур и организаций, которые расширили свой бизнес в сеть Интернет и при помощи собственных сайтов собирают определенные персональные данные.

Закон о персональных данных: изменения

Федеральный закон №242-ФЗ от 21.07.2015 года (далее – закон 242-ФЗ), с момента его принятия в середине 2014 года, в народе он получил название «закон о переносе серверов». Все, кто попадет под определение «оператор» и собирают персональные данные посредством своих сайтов, то есть предлагают совершать какие-либо рассылки, получить фирменную карту, скидки в обмен на имя, фамилию, e-mail, телефон, адрес проживания (для отправки фирменной корреспонденции) граждан РФ и так далее, с момента вступления изменений в силу обязаны будут хранить эти сведения в базах данных, которые находятся на территории России.

В противном случае, Роскомнадзор, по результатам проверки, может внести Интернет-ресурс, который не соответствует законодательным требованиям, в так называемый «черный» список, а его владельца привлечь к ответственности, в том числе к административной и уголовной.

Остается совсем мало времени до вступления изменений в силу и такие гиганты как eBay и Google уже вплотную занялись коррективами собственной деятельности под действующее российское законодательство, а Lenovo и Samsung уже завершили все действия по переносу баз данных.

В данной ситуации, у всех операторов, попадающих под действие этих изменений, еще есть немного времени, что бы совершить перенос баз данных, так как в законе №242-ФЗ нет видимых лазеек для его обхода.

Так как нет ясной картины целей, которые преследует государство, внося данные изменения, скорее всего к концу года будет понятно, зачем так срочно понадобилось переместить все персональные данные о гражданах России на «отечественные» сервера. Также, почти без сомнений, нас ждет обширная судебная практика, касающаяся данного вопроса.

Ответственность за нарушение закона о персональных данных

Исходя из норм ст. 24 закона 152-ФЗ, лица, нарушившие требования данного закона, несут ответственность предусмотренную законодательством РФ.

Административная ответственность установлена статьями 13.11, 13.14 и 19.7 КоАП РФ.

Уголовная ответственность устанавливается при наличии в составе преступления, признаков нарушения неприкосновенности частной жизни. В таком случае применяется статья 137 УК РФ.

Учитывая объемы и состав действий, нарушающих нормы закона 152-ФЗ, могут быть применены и иные статьи КоАП РФ и УК РФ.

Об обновлении закона в 2018 году

Летом 2017 года Госдума РФ рассмотрела и одобрила новую версию закона о персональных данных, который получил новое название: Федеральный закон от 29.07.2017 N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам применения информационных технологий в сфере охраны здоровья».

Разъяснения Роскомнадзора о применении Закона о персональных данных

1 сентября 2015 года вступил в силу Федеральный закон от 21 июля 2014 года № 242-ФЗ 1 , предусматривающий обязанность оператора персональных данных обеспечить запись, систематизацию, хранение, изменение персональных данных граждан РФ с использованием баз данных и серверов, находящихся на территории России.

В этой связи необходимо напомнить о разъяснениях (ответах) Роскомнадзора по вопросам законодательства о защите персональных данных, размещенных на официальной странице регулятора в сети интернет (далее – «Ответы»).

В основном, в Ответах Роскомнадзор ссылается на конкретные статьи Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон»), однако встречаются разъяснения регулятора, в которых он толкует некоторые положения Закона и приводит конкретные практические примеры. Наиболее интересные из них приведены ниже.

  • Согласие на обработку персональных данных не может быть получено по телефону или посредством СМС-сообщений.
  • В Ответах разъясняются вопросы получения согласия на обработку персональных данных при совершении онлайн-покупок. В таком случае подтверждением получения согласия на обработку персональных данных является файл электронной цифровой подписи, сформированный в результате заполнения веб-формы покупателем. Если предложение о покупке является публичной офертой, согласие на обработку персональных данных может быть выражено в акцепте такой оферты.
  • Разъяснятся ч. 3 ст. 12 Закона, согласно которой до осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. В связи с отсутствием в российском законодательстве критериев адекватности защиты прав субъектов персональных данных, Роскомнадзор рекомендует руководствоваться законодательством РФ, законодательством страны, на территорию которой передаются персональные данные, а также международными нормативными актами. В частности, на статус страны, обеспечивающей адекватную защиту персональных данных, могут претендовать страны, ратифицировавшие Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS № 108, а также страны, имеющие общенациональное нормативное регулирование в области защиты персональных данных.
  • Уточняется порядок документальной фиксации уничтожения персональных данных операторами. Согласно Ответам, уничтожение персональных данных осуществляется комиссией либо должностным лицом оператора. Факт уничтожения может быть зафиксирован соответствующим актом о прекращении обработки персональных данных либо регистрацией данного факта в специальном журнале, формы которых разрабатываются операторами самостоятельно.
  • Персональные данные, полученные при рассмотрении заявок на получение кредита, подлежат уничтожению не позднее 3-х дней с даты принятия отрицательного решения кредитной организацией по таким заявкам.

Резюмируя, хотелось бы отметить, что Ответы не являются нормативно-правовым актом, а лишь толкованием регуляторного органа отдельных положений Закона, касательно которых существуют неясности в правоприменении. Однако, рекомендуется учитывать позицию Роскомнадзора, выраженную в Ответах, при организации сбора, обработки и хранения персональных данных на территории РФ, равно как при трансграничной передаче данных, поскольку очевидно, что именно ее будет придерживаться регулятор при проведении проверок операторов по обработке персональных данных.

1 Федеральный закон от 21.07.2014 №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

Политика конфиденциальности

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящий документ разработан обществом с ограниченной ответственностью «РТ-Инвест Транспортные Системы» (далее – ООО «РТИТС») в соответствии с п.2. ч.1 ст.18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — Закон) и определяет политику ООО «РТИТС» в отношении обработки персональных данных, а также описывает меры, принимаемые ООО «РТИТС» для реализации требований к защите персональных данных.

1.2 ООО «РТИТС» в соответствии с Законом является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.3 Настоящий документ является общедоступным в соответствии с ч.2. ст.18.1 Закона и подлежит опубликованию на официальном сайте ООО «РТИТС» в информационно-телекоммуникационной сети «Интернет» (далее – сеть Интернет) по адресу www.platon.ru

1.4 Настоящий документ подлежит пересмотру и актуализации в случае изменений в законодательстве Российской Федерации о персональных данных. Изменения в настоящий документ вносятся установленным в ООО «РТИТС» порядком.

2. Нормативно-правовые акты, устанавливающие требования к обработке и защите ПДн

2.1 ООО «РТИТС» при обработке персональных данных руководствуется следующими нормативными правовыми актами:

  • Конституция Российской Федерации (ст.23-24);
  • Трудовой кодекс Российской Федерации (ст. 22, 86 – 90);
  • Налоговый кодекс Российской Федерации (ст.24, 226);
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные правовые акты Российской Федерации;
  • Федеральный закон от 08.11.2007 № 257-ФЗ (ред. от 27.05.2014) «Об автомобильных дорогах и о дорожной деятельности в Российской Федерации и о внесении изменений в отдельные законодательные акты Российской Федерации» (ст.31.1);
  • Постановление Правительства РФ от 14.06.2013 № 504 «О взимании платы в счет возмещения вреда, причиняемого автомобильным дорогам общего пользования федерального значения транспортными средствами, имеющими разрешенную максимальную массу свыше 12 тонн» (п.5);
  • Распоряжение Правительства РФ от 29.08.2014 года № 1662-р «О концессионном соглашении с обществом с ограниченной ответственностью «РТ-Инвест Транспортные Системы»;

ООО «РТИТС» при обеспечении защиты персональных данных руководствуется следующими нормативно-правовыми актами:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
  • Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденные приказом Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 № 282.

3. Цели обработки персональных данных

3.1 ООО «РТИТС» обрабатывает персональные данные в следующих целях:

  • обеспечение соблюдения законов и иных нормативных правовых актов Российской Федерации, осуществление возложенных на ООО «РТИТС» законодательством Российской Федерации функций, полномочий и обязанностей, в том числе осуществления взимания платы в счет возмещения вреда, причиняемого автомобильным дорогам общего пользования федерального значения транспортными средствами, имеющими разрешенную максимальную массу свыше 12 тонн;
  • исполнение договоров, стороной которых либо выгодоприобретателем или поручителем, по которым является субъект персональных данных.

4. Категории субъектов персональных данных, персональные данные которых обрабатываются ООО «РТИТС», источники их получения, сроки обработки и хранения

4.1 ООО «РТИТС» обрабатывает персональные данные следующих категорий субъектов персональных данных:

  • владельцы транспортных средств, зарегистрированные в «Системе взимания платы в счет возмещения вреда, причиняемого автомобильным дорогам общего пользования федерального значения транспортными средствами, имеющими разрешенную максимальную массу свыше 12 тонн» (далее – СВП) (в том числе руководители и уполномоченные на взаимодействие с СВП работники юридических лиц);
  • физические лица, являющиеся контрагентами или представителями (работниками) контрагентов ООО «РТИТС».

4.2 Источниками получения персональных данных, обрабатываемых ООО «РТИТС», являются:

  • руководители и уполномоченные на взаимодействие с СВП работники юридических лиц;
  • иные государственные органы и уполномоченные организации в случаях, предусмотренных законодательством Российской Федерации.

4.3 Содержание и объем обрабатываемых ООО «РТИТС» персональных данных категорий субъектов персональных данных, указанных в пункте 3.1 настоящей Политики, определяются в соответствии с целями обработки персональных данных, указанными в пункте 2.2 настоящей Политики. ООО «РТИТС» не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.

4.4 В случаях, установленных пунктами 2-11 ч.1 ст. 6 Закона, обработка ООО «РТИТС» персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных. В иных случаях, обработка ООО «РТИТС» персональных данных осуществляется только с согласия субъекта персональных данных на обработку его персональных данных в соответствии со ст. 9 Закона.

4.5 Сроки обработки и хранения персональных данных ООО «РТИТС» определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, образующейся в процессе деятельности ООО «РТИТС», в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учета и на основании «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», утвержденного приказом Минкультуры Российской Федерации от 25.08.2010 № 558, и иных требований законодательства Российской Федерации.

5. Принципы и способы обработки персональных данных, перечень действий, совершаемых с персональными данными

5.1 Обработка ПДн осуществляется на основе следующих принципов:

  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
  • обработка ПДн, несовместимая с целями сбора ПДн, не допускается;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;
  • при обработке ПДн обеспечивается точность ПДн и их достаточность, в случаях необходимости и актуальность ПДн по отношению к заявленным целям их обработки;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

5.2 ООО «РТИТС» осуществляет обработку персональных данных путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи, блокирования, удаления, уничтожения.

5.3 В ООО «РТИТС» используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети ООО «РТИТС» и с передачей информации по информационно-телекоммуникационной сети «Интернет» в защищенном режиме.

5.4 ООО «РТИТС» не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, состояния здоровья.

5.5 ООО «РТИТС» не осуществляет обработку биометрических персональных данных субъектов персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

5.6 ООО «РТИТС» не осуществляет трансграничную передачу персональных данных на территории иностранных государств.

5.7 ООО «РТИТС» передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации, в том числе:

  • в целях осуществления правосудия, исполнения судебного акта;
  • при ответах на официальные письменные мотивированные запросы правоохранительных органов и органов судебной власти, других уполномоченных государственных органов.

5.8 ООО «РТИТС» прекращает обработку персональных данных в следующих случаях (если иное не предусмотрено федеральными законами):

  • достижение цели обработки персональных данных;
  • изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
  • выявление неправомерной обработки персональных данных, осуществляемой ООО «РТИТС»;
  • отзыв субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом обработка персональных данных допускается только с согласия субъекта персональных данных.

5.9 Уничтожение ООО «РТИТС» персональных данных осуществляется в порядке и сроки, предусмотренные ст.21 Закона, в том числе:

  • в случае достижения цели обработки ПДн, если отсутствует иное законное основание для их обработки – в срок, не превышающий 30 дней;
  • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если отсутствует иное законное основание для их обработки – в срок, не превышающий 30 дней;
  • в случае выявления неправомерной обработки ПДн, если обеспечить правомерность обработки ПДн невозможно – в срок, не превышающий 10 рабочих дней.

5.10 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п.5.10 настоящего документа, ООО «РТИТС» осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более 6 месяцев, если иной срок не установлен федеральными законами.

5.11 Принятие ООО «РТИТС» на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

5.12 При поручении обработки персональных данных другому лицу ООО «РТИТС» заключает договор (поручение оператора) с этим лицом и получает согласие субъекта персональных данных, если иное не предусмотрено Законом. При этом ООО «РТИТС» в поручении оператора обязует лицо, осуществляющее обработку персональных данных по поручению ООО «РТИТС», соблюдать принципы и правила обработки персональных данных, предусмотренные Законом.

5.13 В случаях, когда ООО «РТИТС» поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет ООО «РТИТС». Лицо, осуществляющее обработку персональных по поручению ООО «РТИТС», несет ответственность перед ООО «РТИТС».

6. Меры по обеспечению безопасности персональных данных при их обработке

6.1 ООО «РТИТС» обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
6.2 ООО «РТИТС» обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.3 ООО «РТИТС» принимает необходимые правовые, организационные, технические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры, в том числе, включают:

  • издание нормативных актов, регламентирующих вопросы обработки и защиты персональных данных;
  • создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, в том числе требованиям к защите персональных данных;
  • определение угроз безопасности ПДн при их обработке в информационных системах персональных данных;
  • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
  • применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
  • учет машинных носителей ПДн;
  • обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
  • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;
  • контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.

7. Права субъекта персональных данных и обязанности Оператора

7.1 Субъект персональных данных имеет право на:

  • получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе по основаниям, установленным ч. 8 ст. 14 Закона;
  • обжалование действий или бездействия ООО «РТИТС» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что ООО «РТИТС» осуществляет обработку его персональных данных с нарушением требований Закона или иным образом нарушает его права и свободы;
  • защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
  • требование от ООО «РТИТС» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомления о внесенных изменениях и предпринятых мерах третьих лиц, которым персональные данные, относящиеся к соответствующему субъекту, были переданы;
  • отзыв своего согласия на обработку персональных данных в соответствии со ст.9 Закона (в случаях, когда обработка ООО «РТИТС» персональных данных осуществляется на основании согласия субъекта персональных данных).

7.2 Информация, касающаяся обработки персональных данных, предоставляется субъекту персональных данных или его представителю в доступной форме при обращении в ООО «РТИТС» или при получении ООО «РТИТС» запроса субъекта персональных данных или его представителя. Указанный запрос должен быть оформлен в соответствии с требованиями ч. 3 ст. 14 Закона и может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.3 ООО «РТИТС» обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, предоставить безвозмездно возможность ознакомления с такими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя, а также, в установленных Федеральным законом случаях, порядке и сроки, устранить нарушения законодательства Российской Федерации, допущенные при обработке персональных данных, уточнить, блокировать или уничтожить персональные данные соответствующего субъекта персональных данных.
7.4 ООО «РТИТС» обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.