Служба Охраны и Безопасности «ГАУР»

 

Памятка: Что дает обычному человеку Федеральный Закон №152 О персональных данных?




б операторах персональных данных написано довольно много статей.
Операторы очень расстроены, что им приходится тратить средства на защиту персональной информации, что им всем тяжело живется и вообще все очень плохо.
С другой стороны есть сами владельцы персональных данных, и я предлагаю рассмотреть тему именно с этой стороны. Что же дает владельцу персональных данных ФЗ № 152 и каким способом он может защитить свои законные интересы?


В данном случае разговор пойдет о коммерческих организациях, вопрос относительно государственных органов – тема отдельной статьи.

Сбор и обработка персональных данных юридическими лицами – практика распространенная. Кто-то включает персональные данные в договора, кто-то собирает персональные данные для программ лояльности, кто-то собирает для проведения обзвона с целью предложить свои самые современные пылесосы. У каждого свои цели. И это прекрасно, пока не доставляет неудобств людям.
Если у организации недостаточно денег на средства защиты, экспертов, желания – это трудности конкретной организации. Нет денег на средства защиты, ну так пишите на бумаге, но с разрешения владельца. Если интернет-магазин не может обеспечить безопасность информации о заказах, значит не надо хранить эти заказы.
Данная статья позволяет разобраться владельцу персональных данных, каким способом он может заставить оператора персональных данных прекратить нарушать его права.

Основной посыл в законе о персональных данных: информация, содержащая любые персональные данные*, не принадлежит никому кроме самого владельца, и если какая-либо компания хочет их получить, она должна обосновать это желание и получить разрешение от владельца, либо иметь на обработку законные основания. Кроме того, такая компания должна обеспечить безопасность этой информации.

*статья 2. Пункт 1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Разрешение может быть дано как в виде отдельного документа, содержащего подпись владельца, так и в рамках какого-либо договора: на оказание услуг, трудового договора или других форм. Существуют и исключения, когда письменного разрешения не требуется, они указанны в статье 6 федерального закона. Если организация не попадает под пункты, где не требуется разрешения, и письменного разрешения также не имеет, то оператор обязан уничтожить персональные данные в срок, не превышающий 7 дней, (статья 20 пункт 3) и уведомить об этом владельца персональных данных.

Ваши персональные данные могут обрабатывать только для четко определенных целей, никто может их обрабатывать просто так**. Если вам при получении карты постоянного покупателя предлагают указать ваши паспортные данные, наличие недвижимости и счетов в банке, то это избыточная информация, которая не требуется для оказания услуги, и сбор такой информации является незаконным. При этом вам не могут отказать в выдаче карты, если вы не укажете, сколько стоит ваша квартира в этой анкете.

**Статья 1 пункт 3 обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Если какая-либо организация обрабатывает ваши персональные данные, вы имеете право запросить у оператора персональных данных информацию***, касающуюся обработки персональных данных, что указанно в статье 7.

***статья 14 пункт 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1. подтверждение факта обработки персональных данных оператором;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые оператором способы обработки персональных данных;
4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10. иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Ответ по данному запросу оператор обязан переставить в 30-дневный срок.
Если вам, например, позвонили коллекторы и требуют от вас какие-либо выплаты, не надо с ними ругаться, стоит аккуратно записать из какой организации и кто звонит. После этого следует отправить заказным письмом запрос в эту организацию. В письме необходимо запросить основание обработки, цели обработки и состав, указанный в пункте 7 статьи 14 ФЗ.
Если в течение 30 дней вам не пришел ответ, смело пишите заявление в Роскомнадзор, заодно проверив, числится ли коллектор в реестре операторов персональных данных.

Вот пример последствий для оператора персональных данных по обращению владельца:

Случай из жизни: меня в очередной раз расстроил мой интернет-провайдер своим качеством обслуживания, и я решил посмотреть насколько законно он обрабатывает мои персональные данные. Написав и распечатав письмо с запросом информации из статьи 14, я сходил к ним и отдал под роспись секретарю вместе с претензией на качество обслуживания. На следующий день руководитель технической поддержки (до этого мне так и не удалось с ним поговорить, не переключали) с радостью сообщил, что они все починили, дал мне свои контакты с просьбой звонить если что то будет не так ему лично. Интернет с тех пор работает отлично.

Еще один пример нарушения со стороны оператора персональных данных: после покупки машины в автосалоне по почте пришло письмо от производителя из Германии, в котором говорилось, что я приобрел машину такой-то марки с просьбой оценить качество обслуживания их дилера. При заключении договора в тексте договора не было нигде описано, что я разрешаю обрабатывать свои данные, тем более передавать их кому-либо.
Оператор не уничтожил мои персональные данные после достижения целей обработки (договор исполнен), осуществил трансграничную передачу этих данных и продолжает обрабатывать их в своих информационных системах, без какого-либо основания (приходят СМС с информацией об акциях).

Если статья будет интересна читателям, на последнем примере нарушения выложу формы обращения и пошаговую инструкцию по организации запросов к операторам персональных данных, запросов в Роскомнадзор, расскажу, куда можно обратиться помимо Роскомнадзора, и на какие статьи законодательства ссылаться.



Создан 27 апр 2014



МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ Журнал Частный Охранник Национальный портал по охране и безопасности ГЕПАРД – правовая помощь «ПРАВО НА ОРУЖИЕ» - общероссийская общественная организация по повышению оружейной культуры ОФИЦЕРЫ РОССИИ «Безопасное Отечество» - содействия защите прав граждан и безопасности общества НСБ ПРОФСОЮЗ ВООРУЖЁН значит ЗАЩИЩЁН !  CABIS - консалтинговое агентство деловой разведки и безопасности Турагентство «Eligma» - Отдых, туризм, путешествие Яндекс цитирования