Субъект персональных данных: кто это такой и какие права имеет по российскому законодательству

Кто относится к субъектам персональных данных

При определении того, что относится к субъектам персональных данных, операторы обычно выделяют различные категории в зависимости от характера взаимоотношений:

Основные категории субъектов персональных данных:

• Сотрудники организации — действующие работники, бывшие сотрудники, кандидаты на трудоустройство
• Клиенты и покупатели — физические лица, заключающие договоры или пользующиеся услугами
• Контрагенты — индивидуальные предприниматели, представители юридических лиц
• Посетители — лица, находящиеся на территории организации и попадающие в поле зрения систем видеонаблюдения
• Участники мероприятий — лица, принимающие участие в конференциях, семинарах, акциях

Специальные категории субъектов

Для целей определения уровня защищенности информационных систем персональных данных, законодательство выделяет две основные категории субъектов:

1. Лица, не являющиеся сотрудниками организации — клиенты, контрагенты, посетители
2. Лица, связанные с организацией трудовыми отношениями — работники, включая внештатных сотрудников

Дополнительно учитывается количественный критерий — менее или более 100 000 субъектов персональных данных.

Права субъектов персональных данных

Российское законодательство наделяет субъектов персональных данных широким спектром прав, закрепленных в главе 3 закона 152-ФЗ. Кто относится к субъектам персональных данных автоматически получает следующие права:

Право на информацию об обработке персональных данных включает получение сведений о:

• Подтверждении факта обработки персональных данных оператором
• Правовых основаниях и целях обработки
• Применяемых способах обработки персональных данных
• Наименовании и местонахождении оператора
• Сроках обработки и хранения данных
• Информации о трансграничной передаче данных

Право на доступ к своим персональным данным предоставляет возможность:

• Получить информацию о наличии персональных данных
• Ознакомиться с обрабатываемыми данными
• Требовать уточнения неточных данных
• Требовать блокирования или уничтожения данных при нарушениях

Специальные права субъектов персональных данных

Право на отказ от автоматизированной обработки защищает субъектов от решений, принимаемых исключительно на основе автоматизированной обработки данных, если такие решения порождают юридические последствия.

Право на отказ от рекламы и политической агитации позволяет субъекту требовать прекращения обработки его персональных данных в маркетинговых целях.

Право на защиту и обжалование включает возможность:

• Обжаловать действия оператора в Роскомнадзоре или суде
• Требовать возмещения материального ущерба
• Получить компенсацию морального вреда

Право на отзыв согласия

Одним из ключевых прав субъекта является возможность отозвать согласие на обработку персональных данных. При этом оператор вправе продолжить обработку данных при наличии иных законных оснований, предусмотренных статьей 6 закона 152-ФЗ.

Обязанности операторов перед субъектами персональных данных

Операторы персональных данных несут множество обязанностей перед субъектами, главными из которых являются:

При сборе персональных данных оператор обязан:

• Предоставить субъекту информацию о целях и правовых основаниях обработки
• Получить согласие субъекта (при необходимости)
• Сообщить о сроках обработки и хранения данных
• Уведомить о правах субъекта персональных данных

Обеспечение безопасности данных включает:

• Назначение ответственного за организацию обработки персональных данных
• Разработку политики обработки персональных данных
• Применение технических и организационных мер защиты
• Ограничение доступа к персональным данным

Обязанности при обращениях субъектов

При получении запросов от субъектов персональных данных оператор обязан:

• Предоставить информацию о наличии и содержании персональных данных в течение 30 дней
• Внести изменения в персональные данные в течение 7 рабочих дней при подтверждении их неточности
• Уничтожить данные в течение 7 рабочих дней, если они получены незаконно или не нужны для заявленных целей
• Уведомить третьих лиц о внесенных изменениях или уничтожении данных

Организация работы с субъектами персональных данных

Для эффективного взаимодействия с субъектами персональных данных бизнесу следует:

Провести инвентаризацию обрабатываемых данных:

• Определить все категории субъектов персональных данных в организации
• Составить перечень обрабатываемых персональных данных для каждой категории
• Установить правовые основания для обработки данных каждой категории
• Определить сроки обработки и хранения данных

Назначить ответственных лиц:

• Назначить ответственного за организацию обработки персональных данных
• Определить сотрудников, имеющих доступ к персональным данным
• Провести обучение персонала требованиям законодательства
• Организовать контроль за соблюдением требований 152-ФЗ

Документооборот и локальные акты при работе с субъектами персональных данных

Разработать необходимые документы:

• Политику обработки персональных данных
• Положение об обработке и защите персональных данных работников
• Согласия на обработку персональных данных
• Инструкции по работе с персональными данными

Организовать процедуры реагирования на запросы:

• Создать порядок приема и обработки обращений субъектов
• Установить сроки и процедуры рассмотрения запросов
• Подготовить шаблоны ответов на типовые обращения
• Вести журнал учета обращений субъектов персональных данных

Меры безопасности

Технические меры защиты включают:

• Использование средств антивирусной защиты
• Применение системы разграничения доступа
• Резервное копирование персональных данных
• Контроль целостности персональных данных

Организационные меры предусматривают:

• Ограничение состава лиц, имеющих доступ к персональным данным
• Учет и хранение носителей информации с персональными данными
• Контроль за действиями с персональными данными
• Обучение сотрудников требованиям законодательства

Пример согласия на обработку персональных данных

Согласие на обработку персональных данных должно содержать следующие обязательные элементы:

 

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Я, _____________________ (Ф.И.О. полностью)

Паспорт серия _______ № _________, выдан _________________

                                    (кем и когда выдан)

Адрес регистрации: _____________________________________

 

действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, даю согласие ООО «_____________» (ИНН ____________, ОГРН ____________, адрес: ___________________) на обработку моих персональных данных на следующих условиях:

 

1. Перечень персональных данных, на обработку которых дается согласие:

— фамилия, имя, отчество

— дата и место рождения  

— паспортные данные (серия, номер, дата выдачи, орган, выдавший документ)

— адрес регистрации и фактического проживания

— контактный телефон, адрес электронной почты

— [другие данные в зависимости от целей обработки]

 

2. Цель обработки персональных данных: 

[указать конкретную цель, например: «для исполнения договора оказания услуг»]

 

3. Перечень действий с персональными данными:

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.

 

4. Срок действия согласия: до достижения цели обработки персональных данных либо до отзыва настоящего согласия.

 

5. Согласие может быть отозвано путем направления письменного заявления по адресу оператора.

 

Дата: __________ Подпись: _____________ Расшифровка подписи: _____________

 

Особенности оформления согласия

При составлении согласия важно учитывать:

• Конкретность целей — избегать общих формулировок типа «для повышения качества обслуживания»
• Соответствие перечня данных целям — не запрашивать избыточную информацию
• Четкие сроки действия — указать конкретный срок или условия прекращения обработки
• Способ отзыва согласия — обязательно указать порядок отзыва согласия