Информационно-правовой статус оператора обработки персональных данных

Статутным информационным правам субъекта персональных данных корреспондируют статутные информационные обязанности оператора. Их можно условно разделить на 5 групп. 1. Статутные информационные обязанности оператора при сборе персональных данных.

В процессе сбора информации оператор обязан предоставить субъекту персональных данных по его просьбе всю необходимую информацию, касающуюся целей, способов таких действий, а также сведения, предусмотренные ч. 4 ст. 14 Федерального закона «О персональных данных». Если персональные данные были получены не от субъекта персональных данных, оператор до начала их обработки обязан предоставить последнему следующую информацию:

• — наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
• — цель обработки персональных данных и ее правовое основание;
• — предполагаемые пользователи персональных данных;
• — установленные законом права субъекта персональных данных.

В случаях, когда федеральным законом установлена обязанность предоставления персональных данных, оператор обязан разъяснить лицу юридические последствия отказа в предоставлении таких сведений.

2. Статутные информационные обязанности оператора по обеспечению безопасности персональных данных при их обработке.

При обработке персональных данных оператор обязан принимать необходимые организационные и технические меры для защиты информации от неправомерного или случайного доступа к ней, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Правительство РФ устанавливает необходимые требования к обеспечению безопасности персональных данных при их обработке в государственных информационных системах.

В настоящее время постановлением Правительства РФ от 1 ноября 2012 г. № 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных, согласно которым безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с ч. 5 ст. 19 Федерального закона «О персональных данных». Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и ФСБ России в пределах их полномочий.

Использование и хранение биометрических персональных данных вне информационных систем персональных данных осуществляется только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

3. Статутные информационные обязанности оператора при непосредственном обращении к нему либо при получении запроса субъекта персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя.

В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

4. Статутные информационные обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных.

В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. Обязанность оператора уведомлять об обработке персональных данных уполномоченный орган по защите прав субъектов персональных данных.

Такое уведомление в соответствии с информационным законодательством должно быть подписано уполномоченным лицом или направлено в электронной форме. Приказом Роскомнадзора от 19 августа 2011 г. № 706 утверждены Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных. Согласно действующему законодательству уведомление должно содержать следующие сведения:

• — наименование (фамилия, имя, отчество), адрес оператора;
• — цель обработки персональных данных;
• — категории персональных данных;
• — категории субъектов, персональные данные которых обрабатываются;
• — правовое основание обработки персональных данных;
• — перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
• — описание мер, предусмотренных ст. 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
• — фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
• — дата начала обработки персональных данных;
• — срок или условие прекращения обработки персональных данных;
• — сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• — сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Уполномоченный орган по защите прав субъектов персональных данных в течение 30 дней с даты поступления уведомления вносит данные сведения в специальный реестр операторов. Сведения, содержащиеся в реестре операторов, являются общедоступными, за исключением информации о средствах обеспечения безопасности персональных данных при их обработке.