Орфография и пунктуация участников сохранена.
-
Андрей Семенович! Как должны выдаваться результаты анализов в поликлиниках? Например, для сдачи флюорографии записываешь о себе на листочек все персональные данные, а потом находишь этот листочек в общей куче? Кто должен обеспечить анонимность?
-
Губенко Андрей Семенович
Руководитель
Ответственность за конфиденциальность персональных данных несёт главный врач поликлиники и медицинский персонал. Для этого в поликлинике должны быть разработаны необходимые меры для обеспечения условий, исключающих утечку информации о гражданине. Об этом я более подробно изложил в ответе на 6 вопрос.
-
Здравствуйте! Подскажите, какой орган и к какой ответственности должен привлечь управляющие компании г. Владивостока за несоблюдение закона о ЗПД? Квитанции на квартплату содержат ФИО, адрес, телефон, количество прописанных и т.п., но не обезличены, находятся в свободном доступе и доставляются неуполномоченным лицом?
-
Губенко Андрей Семенович
Руководитель
Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Статьей 13.11 КоАП РФ установлена ответственность за нарушение установленного законом порядка сбора, хранения, использования и распространения информации о гражданах (персональных данных). Административное производство по ст. 13.11 возбуждается прокурором. Статьей 137 Уголовного кодекса РФ установлена ответственность за нарушение неприкосновенности частной жизни.
-
Здравствуйте! Поясните пожалуйста порядок классификации информационных систем персональных данных.
-
Губенко Андрей Семенович
Руководитель
Порядок проведения классификации информационных систем персональных данных, представляет собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных.
Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации.
Проведение классификации информационных систем включает в себя следующие этапы:
- сбор и анализ исходных данных по информационной системе;
- присвоение информационной системе соответствующего класса и его документальное оформление.
Более подробно порядок классификации информационных систем персональных данных изложен в совместном приказе от 13.02.2008 №55/88/20 ФСТЭК России, ФСБ России и Мининформсвязи России. Данный приказ можно найти на сайте 25.rsoc.ru
-
Здравствуйте Андрей Семенович! Поясните пожалуйста более подробно, что является трансграничной передачей персональных данных, каким образом оператор может убедиться в том, что инностранным государством обеспечивается адекватная защита прав субьектов персональных данных и обеспечивается ли такая защита персональных данных на территории КНР? Спасибо
-
Губенко Андрей Семенович
Руководитель
Трансграничная передача – это передача персональных данных на территории иностранных государств. До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных на территории Российской Федерации, обязан убедится в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
Адекватную защиту персональных данных обеспечивают страны, подписавшие и ратифицировавшие Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных. В первую очередь, это страны – члены Европейского Союза: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.
Вторая группа – это страны не входящие в зону Европейского Союза, но имеющие нормативно правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это – Андора, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Чили, Швецария, Южная Корея, Япония.
КНР не входит в списки стран, обеспечивающих защиту персональных данных, однако, трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1.Наличия согласия в письменной форме субъекта персональных данных;
2.Предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам, а также международными договорами Российской Федерации о реадмиссии;
3.Предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4.Исполнения договора, стороной которого является субъект персональных данных;
5.Защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
-
Правомерно ли использование коммунальными службами персональных данных жильцов многоквартирных домов путем вывешивания в подъездах домов и размещения в СМИ информации о наличии у них задолженности по оплате коммунальных услуг?
-
Губенко Андрей Семенович
Руководитель
Неправомерно. Из Федерального закона "О персональных данных" следует, что персональные данные являются конфиденциальной информацией, и операторы связи при обработке персональных данных должны обеспечивать конфиденциальность таких данных. Таким образом вывешивание на подъездах домов пофамильных списков плательщиков (неплательщиков) коммунальных услуг либо обнародование данной информации через СМИ до неопределённого круга лиц без согласия субъектов персональных данных, является нарушением ст. 7 Федерального закона "О персональных данных", а также ч.1 ст.24 Конституции РФ, в соответствии с которой сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. Для исполнения обязательств по оплате жилищно-коммунальных услуг и в целях соблюдения принципа конфиденциальности персональных данных организации ЖКХ могут сообщить гражданам о наличии у них задолженности по платежам, например, посредством телефонной связи либо почтовой связи. Согласно ст.63 Федерального закона от 07.07.2003 № 126-ФЗ "О связи" на территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи. На основании ч. 3 ст. 20 Федерального закона "О персональных данных" субъекты персональных данных вправе потребовать от оператора уничтожить пофамильные списки плательщиков (неплательщиков) коммунальных услуг, размещённые в подъездах жилых домов. Также в соответствии с ч. 2 ст. 17 Федерального закона о персональных данных они имеют право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Статья 13.11. КоАП РФ установила административную ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. Для решения вопроса о привлечении виновных лиц, к административной ответственности за незаконное распространение персональных данных, необходимо обращаться в прокуратуру.
-
Здравствуйте! Разъясните, пожалуйста: под действие закона о персональных данных подпадает любая обработка каких-либо персональных данных или имеются случаи, когда обработка персональных данных им не регулируется? Спасибо.
-
Губенко Андрей Семенович
Руководитель
Под действия закона подпадают – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Но есть и исключения, которые не попадают под действия этого закона:
1) Обработка персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) Организация хранения, комплектования, учёта и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
3) Обработка подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) Обработка персональных данных, отнесённых в установленном порядке к сведениям, составляющим государственную тайну.
-
Здравствуйте, скажите сколько сейчас в реестре операторов персональных данных?
-
Здравствуйте! Я являюсь индивидуальным предпринимателем и по трудовым соглашениям у меня трудятся 4 человека, требуется ли мне уведомлять Роскомнадзор об обработке персональных данных работающих у меня граждан? Спасибо.
-
Губенко Андрей Семенович
Руководитель
Не нужно. Если Вас с гражданами связывают только трудовые отношения, то в соответствии с пунктом 1 части 2 статьи 22 Федерального закона "О персональных данных» от 27.07.2006 Вы вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор).
-
Приветствую!
Скажите Пожалуйста: При обращении к Оператору какую информацию имеет право получить гражданин, касающуюся обработки его персональных данных?
Заранее благодарен за ответ.
-
Губенко Андрей Семенович
Руководитель
Субъект персональных данных (гражданин) имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к гражданину, а также на ознакомление с такими персональными данными при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
-
Здравствуйте Андрей Семенович!
А что можно считать способом защиты персональных данных? Например кадровик работает с трудовыми книжками, личными делами, в которых содержатся персональные данные. Как можно обезопасить эти сведения? Если это обработка и использование данных человека через персональный компьютер - можно ли просто ограничить доступ (ввести пароль, например) к данному компьютеру и не допускать туда никого кроме кадровика. Будет ли этого достаточно или необходимо специальное програмное обеспечение?
И как быть с защитой персональных данных, которые у нас находятся в бумажном виде - те же трудовые, личные дела работников. Достаточно ли просто их поместить в сейф или нужно что-то еще. Ответьте пожалуйста. Заранее спасибо.
-
Губенко Андрей Семенович
Руководитель
Оператор обязан принять необходимые организационные и технические меры для защиты персональных данных. Под организационными мерами подразумевается:
- разработка Положения (инструкции) об обработке персональных данных;
- утверждение перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- издание документа, устанавливающего порядок хранения и использования персональных данных;
- разработка мер по исключению несанкционированного, в том числе случайного доступа к персональным данным и т.д.
Для технической защиты Вам необходимо приобрести необходимое оборудование в зависимости от классификации информационных систем. Эти вопросы находятся в компетенции Федеральной службы по техническому и экспортному контролю (ФСТЭК). Постановлениями Правительства РФ утверждены «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687 и «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17.11.2007 № 781.
-
Уважаемый Андрей Семенович!
Каждое предприятие хранит персональные данные своих сотрудников: ФИО, адрес проживания, контактные телефоны и т.д. Справедливо ли сказать, что данный федеральный закон касается всех и всем без исключения юридическим лицам следует направлять уведомление о внесении в Реестр операторов, осуществляющих обработку персональных данных?
-
Губенко Андрей Семенович
Руководитель
Да вы правы, фактически ФЗ «О персональных данных» касается всех предприятий, имеющих в штате работников, ведь ими как минимум обрабатываются и хранятся персональные данные сотрудников, которых с оператором связывают трудовые отношения, в этом случае закон позволяет не направлять уведомление о намерении осуществлять обработку персональных данных. Руководители сами определяют необходимость направления уведомления. Частью 2 статьи 22 закона определены условия обработки персональных данных, при которых оператор не обязан направить уведомление для внесения в реестр. Однако хочу отметить, что если в дальнейшем будет установлено, что оператор обрабатывает категории персональных данных, не установленные ч. 2 ст. 22 закона, за это предусмотрена административная ответственность.
-
Андрей Семенович, здравствуйте! В последнее время судебные приставы очень активно стали запрашивать у фирм, оказывающих услуги связи, информацию о персональных данных (номера счетов, номера телефонов и т.п.) абонентов, на которых у приставов заведены исполнительные производства. Правомерны ли действия приставов и что делать таким абонентам и фирмам, планирует ли Роскомнадзор предпринять какие-то действия для разрешения этой проблемы?
-
Губенко Андрей Семенович
Руководитель
Согласно закону, предоставление информации о персональных данных третьему лицу должно представляться с согласия гражданина. Если это не предусмотрено другими Федеральными законами, в которых оговорено, что персональные данные могут быть переданы без согласия. Федеральный закон от 02.10. 2007 №299-ФЗ «Об исполнительном производстве» наделяет пристава – исполнителя полномочиями по сбору информации о личности и имущественном положении граждан, с правом получения любой информации для исполнения своих обязанностей (например: запрашивать различные органы об имущественном состоянии должников и т.д.) При этом указанный закон не конкретизирует действия судебного пристава-исполнителя по сбору персональных данных. В настоящее время в Госдуму внесён законопроект, представляющий судебным приставам – исполнителям широкое право доступа к персональным данным. Поскольку законопроект не обрёл статус закона и не вступил в силу, судебные приставы – исполнители должны руководствоваться действующим законом «Об исполнительном производстве».
-
Законопроект № 385392-5
Согласно ч.8 ст.29 Законопроекта ФОМС является единым оператором ПДн в рамках системы ОМС - все остальные обработчики.
Согласно ч.1 ст.19 ЗоПД все бремя защиты лежит на операторе.
Вопрос: Почему в Законопроекте на ФОМС возлагается лишь "29.8.12 обеспечивает в пределах своей компетенции защиту сведений, составляющих информацию ограниченного доступа"? Есть ли у Роскомнадзора или Минкомсвязи предложения по приведению этого пункта в соответствие с ЗоПД?
-
Губенко Андрей Семенович
Руководитель
Юридическим лицом (оператором по обработке персональных данных) в данном случае выступает ФОМС. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Комментировать тот или иной законопроект не входит в нашу компетенцию.
-
В любой поликлинике есть комната "Регистратура" с тысячами амбулаторных карт, ведение которых обязательно в соответствии с законодательством РФ. Разъясните, пожалуйста, шаг за шагом, действия главврача по "вхождению в соответствие с законом № 152". Спасибо.
-
Губенко Андрей Семенович
Руководитель
Главным врачом и медицинским персоналом должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются главным врачом. Например: должен быть перечень лиц, допущенных к обработке амбулаторных карт; лица, осуществляющие обработку персональных данных (амбулаторных карт) должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки (формирование амбулаторных карт, выдача, хранение). Главный врач и медицинский персонал, получающий доступ к персональным данным, должны обеспечивать конфиденциальность таких данных. Федеральным законом от 22.07.1993 № 5487-1«Основы законодательства Российской Федерации об охране здоровья граждан» и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных (гражданином) своих персональных данных в целях защиты здоровья.
-
Андрей Семенович, скажите, с развитием рыночных отношений и усилением конкуренции получила распространение "активная" реклама по телефону, спам на e-mail. При этом персональные данные зачастую берутся из нелегальных источников, предусмотрена ли какая-либо ответственность за использование ПД рекламными агентствами?
-
Губенко Андрей Семенович
Руководитель
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных. Отсутствие такого согласия является нарушением прав гражданина. Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
-
1. Почему вы рассылаете как спам уведомления с категорическим утверждением, что наша организация является оператором, обрабатывающим ПД (исх. №25-пд-1066 от 27.11.2009 подписан зам. руководителя управления Роскомнадзора по Приморскому раю Э.Ю. Шутовым, исполнитель Г.А. Кожемяка)в котором Вы настаиваете в необходимости предоставления письменного уведомления об обработке ПД.А как же п.1-7 ч.2 ст. 22 ФЗ №152 "О персональных данных" что некоторые организации вправе осуществлять обработку ПД без уведомления уполномоченного органа по защите прав субъектов ПД.
2. Когда появятся измененные ФСТЭК руководящие документы касающиеся ПД.(методики и т.д.)
-
Губенко Андрей Семенович
Руководитель
1. Управление Роскомнадзора по Приморскому является уполномоченным органом по защите прав субъекта персональных данных. Для формирования Реестра операторов, осуществляющих обработку персональных данных Управление направляет информационные письма операторам. В соответствии с ч. 4 ст. 20 Федерального закона «О персональных данных» Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течении 7 рабочих дней с даты получения такого запроса. Организация получившая наше информационное письмо должна направить уведомление об обработке персональных данных для внесения в реестр или, если юридическое лицо вправе обрабатывать персональные данные в соответствии с ч. 2 ст. 22 Федерального закона «О персональных данных» без уведомления - направляет соответствующий ответ.
Непредставление сведений в государственный орган, представление которых предусмотрено законом и необходимо для осуществление этим органом его законной деятельности влечёт административное наказание по статье 19.7 КоАП.
2.Информацией об изменениях руководящих документов ФСТЭК, касающихся персональных данных мы не обладаем. Это находится в компетенции данной службы.
-
А как быть с социальными сетями в интернете? К примеру, "В контакте". Там люди оставляют свою персональную информацию, причем добровльно. Имеет ли право владелец ресурса использовать ее или другие пользователи использовать ее в своих целях? Ведь по сути, выкладывая о себе личные данные, пользователь соглашается с их распространением и использованием другими лицами. Или нет?
-
По логике закона и вахтеры, записывающие имена и фамилии, тоже являются операторами персональных данных?
-
Губенко Андрей Семенович
Руководитель
Федеральный закон "О персональных данных" определяет понятие оператора как государственного органа, муниципального органа, юридического или физического лица, организующего и (или) осуществляющего обработку персональных данных, а также определяющего цели и содержание обработки персональных данных (часть 2 статьи 3 Федерального закона). Вахтер не является оператором, в данном случае оператором является его работодатель, который и несет ответственность за обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
-
Добрый день! Получается, уведомление нужно подать в срок до 1 января? А что будет,если я не подам вовремя? И есть ли где-то исчерпывающий список орагнизаций/учреждений, которые попадают под понятие "оператор персональных данных"?
-
Губенко Андрей Семенович
Руководитель
Не позднее 1 января 2011 года должны быть приведены в соответствие с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона (часть 3 статьи 25 Федерального закона), а уведомление об обработке персональных данных, предусмотренное частью 3 статьи 22 настоящего закона, необходимо было представить не позднее 1 января 2008 года. Но и сейчас еще можно подать в Управление Роскомнадзора по Приморскому краю уведомление для внесения в Реестр операторов, осуществляющих обработку персональных данных.
В сети Интернет размещен портал персональных данных, на котором есть электронная форма подачи уведомления http://rsoc.ru/personal-data/portal или http://25.rsoc.ru/directions/control.
Исчерпывающего списка организаций/учреждений, которые подпадают под понятие «оператор персональных данных» не существует. Федеральный закон "О персональных данных" определяет понятие оператора как государственного органа, муниципального органа, юридического или физического лица, организующего и (или) осуществляющего обработку персональных данных, а также определяющего цели и содержание обработки персональных данных (часть 2 статьи 3 Федерального закона).
В силу статьи 24 настоящего закона лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность (в том числе за непредставление уведомления об обработке персональных данных уполномоченному лицу).
