Рубрики

Субъект персональных данных - это... Определение, форма согласия и права

Субъект персональных данных - это физлицо, которому характерны индивидуальные сведения, определяющие его как гражданина (косвенно или напрямую). Проверка информации личного характера о человеке может проводиться только с его согласия, которое подтверждается поставленной подписью в специальном документе.

Ключевые понятия

Сложно определить, является ли гражданин оператором, имеющим полномочия сбора и проверки персональных данных (ПД), поэтому рекомендуется ознакомиться с законом № 152 ФЗ, где четко прописана суть понятий, которые являются объектом внимания интересующихся данным процессом:

  • персональные данные;
  • оператор;
  • обработка личных данных.

Частной принято называть любую информацию, относящуюся к определенному индивидууму, именуемому субъектом. Оператором является орган государственной или местной власти, представитель юридической организации или физлицо, занимающееся обработкой ПД субъекта, а также организационными моментами, касающимися конечных целей обработки, состава личных сведений, операций по анализу действий, совершаемых с данными приватного типа.

все данные о человеке

Обработка персональных данных - это действия, представляющие собой анализ сведений о частном лице, проведенные с помощью автоматизированной обработки, для достижения определенного результата. Такими операциями могут быть:

  • хранение;
  • получение;
  • применение;
  • уточнение;
  • изменение;
  • открытие доступа;
  • обновление;
  • блокирование;
  • удаление;
  • обезличивание;
  • блокирование.

Данные личного характера

Закон на федеральном уровне не описывает четкие границы, в рамках которых должен быть сформирован портрет личности. Но, учитывая, что предметом является, как сказано выше, любая информация, принято считать, что персональные данные субъекта - это:

  • день его рождения;
  • его имя, отчество и фамилия;
  • фотография;
  • адрес;
  • электронная почта;
  • телефонный номер;
  • ссылки на собственный сайт или страницу в социальной сети.
конфиденциальная информация

Данный список можно увеличить в несколько раз, добавляя субъективные сведения, идентифицирующие личность как гражданина социального общества. Получая данные подобного типа, каждый становится оператором ПД. Любой, кто размещает на своем ресурсе форму регистрации или обратной связи, становится информационным "проводником".

Категории операторов

В ФЗ № 152 существует разделение, в зависимости от статуса:

  • представитель госучреждений;
  • муниципальные органы власти;
  • юридические и физические лица;
  • ИП.

От категории зависит назначение штрафов за нарушения (юрлица платят большую сумму, нежели физлица).

Вне зависимости от класса операторов, каждому приходилось сталкиваться с обработкой сведений частного типа на основании согласия субъекта персональных данных. Такая процедура практикуется перед оформлением нового сотрудника в компанию, при заполнении специальной формы онлайн-заказа или анкеты на социальных страницах.

В отличие от ИП и физлиц, к организациям, по закону, предъявляются требования повышенного уровня, это касается формирования пакета документов и требований о назначении ответственного, который будет контролировать данный процесс. Самые жесткие рамки по требованиям к соблюдению охраны труда - у властей, которые обладают большими полномочиями и работают с необъятным массивом ПД граждан.

Права субъекта персональных данных

Каждая личность обладает полномочиями и законными правами, которые проверяющий не должен ущемлять или нарушать:

  1. Субъекта должны проинформировать об анализе его персонифицированных характеристик, рассказать о целевом назначении, порядке проведения, ознакомить с названием юрорганизации или именем физлица, занимающихся обработкой личных сведений.
  2. Гражданина обязаны осведомить о периоде времени, в течение которого будет проводиться обработка и дальнейшее хранение информации, о потенциальной ее межведомственной передаче, а также лице, которому было доверена обработка приватных характеристик.
  3. Права субъекта персональных данных предполагают допустимость требования уточнения его ПД, последующее удаление информации, в случае ее неактуальности.
  4. Все полученные оператором сведения о личности (без ее ведома) должны быть удалены, в противном случае законом предусматривается защита ее прав.
  5. Идентификация гражданина происходит в комфортных для обеих сторон условиях. Информация не должна затрагивать ПД других субъектов (особые случаи: когда существуют основания для открытия доступа к таким данным).
  6. Обратная связь в виде запроса субъекта персональных данных должна содержать номер документа (паспорта) обратившегося, информацию о месте, дате и органе его выдачи, сведения и документы, подтверждающие отношения с оператором (дата заключение договора и его номер) либо иные данные, которые могут доказать факт стандартной проверки. Запрос может быть направлен в письменном виде или через интернет, но обязательно с электронной подписью.
  7. Если сведения по онлайн-запросу не были предоставлены, повторное обращение к оператору возможно лишь через 30 дней после первой попытки. Другой период может быть установлен в соответствии с ФЗ или договором, стороной которого является субъект ПД.
  8. Оператор имеет право отказать в повторном обращении субъекту персональных данных. Это знак, что документация не соответствует необходимым условиям, предусмотренным ч. 4,5 ст. 14152 ФЗ. Информационный операционист обязан мотивировать и пояснить свой отказ.
права субъекта ПД

Рассекречивание информации

Не всегда оператор обязан оставлять ПД человека под грифом "секретно", есть ситуации, когда такая информация не считается закрытой, вывод делается в соответствии с ФЗ ст. 22 (часть 2) № 152. Скрытность не требуется, если:

  • происходит обезличивание ПД;
  • ПД являются общедоступными;
  • речь идет только о Ф. И. О. субъектов;
  • наблюдается неоднократное аналогичное действия в виде выдачи пропуска на территорию (или в иных аналогичных целях);
  • информация находится в подписанном договоре, стороной которого выступает субъект ПД;
  • использование персональных данных без согласия субъекта необходимо исключительно для исполнения договоренностей;
  • сведения касаются представителя общественных объединений или религиозных организации.
закрытая информация

Без разрешения

Согласие субъекта на обработку персональных данных требуется не всегда, есть ситуации, когда нет необходимости в личном присутствии гражданина. Такой вариант развития событий предусматривается ФЗ № 152 (ч. 1 ст. 6 от 27.07.2006). Подпись на документе необязательна, если проверка ПД:

  • необходима для реализации международных договоренностей РФ о реадмиссии;
  • проводится на основании ФЗ, где прописывается ее задачи, условия и перечень лиц, характеристики которых подлежат проверке на достоверность;
  • осуществляется как часть исполнения подписанного договора, одной из сторон которого выступает субъект;
  • повлияет на жизненно важные интересы гражданина;
  • нужна в целях достижения научных целей при условии, что взятая информация в последствии будет анонимной;
  • играет важную роль в защите жизнедеятельности субъекта ПД, если получение согласия индивидуума невозможно;
  • считается неотъемлемой частью рабочего процесса журналиста либо в целях достижения открытий в научной, литературной или иной творческой сферах деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
  • затрагивает лиц (в соответствии с ФЗ), подлежащих опубликованию, в том числе тех, кто занимает государственные должности, аналогичные посты государственной гражданской службы, а также характеристики кандидатов на выборные должности государственного или местного масштаба.
распространение информации

Методика оценки ущерба

Вред субъекту персональных данных может нанести третье лицо при несогласованном открытии доступа к его идентификационной информации, в результате чего она подверглась изменениям, распространению, копированию или удалению. Любой случайный доступ расценивается как вторжение в личную жизнь.

Нарушение безопасности доступа к сведениям может выглядеть в виде несогласованного с субъектом:

  • распространения ПД и их обработки, разнящиеся в зависимости от изначальных целей и поставленных сроков (отступление от подписанных в договоре пунктов соглашения является нарушением конфиденциальности);
  • закрытия доступа к ПД или их удаления, отказа в разглашении деталей проверки и анализе данных субъекта (ограничение пространственных возможностей);
  • изменения ПД, временная невозможность их изменения, для субъекта персональных данных это разрушение комплексности его сведений.
заполнение формы

Противоправными действиями также можно назвать получение ПД от посторонних лиц, которые не фигурируют в качестве субъекта, а также действия, подразумевающие определенный результат, характеризующийся с юридической точки зрения, касающийся субъекта ПД или затрагивающие его желания и возможности, на основании только проверки его личных характеристик.

Формы причиняемого вреда

О защите субъекта персональных данных необходимо задумываться, когда были замечены противоправные действия в отношении личной информации, повлекшие следующие виды ущерба:

  • моральный вред - мучения гражданина на психологическом уровне, а также физические мучения, нарушающие не связанные с имуществом права человека либо относящиеся к принадлежащему ему имуществу, либо иные материальные или нематериальные блага;
  • убытки - финансовые потери, которые появились у субъекта, чьи права на конфиденциальность были нарушены, потенциальный финансовый достаток или возможная выручка в денежном эквиваленте не были получены в результате нарушения конфиденциальности.
моральный вред

Оценка органом по защите прав субъектов персональных данных потенциального ущерба происходит при использовании элементов учета последствий:

  • минимальный (низкий) уровень - определяется нарушением комплексности и общности ПД, в том числе открытой их доступности;
  • средний - представляет собой последствия от отклонения от стандартной типологии переработки информации, что также отрицательно влияет на ее целостность и доступность, но в данном случае влечет психологический вред или материальный ущерб;
  • высокий уровень - остальные возможные случаи.

Полноправная защита прав субъектов персональных данных может происходить после правильного проведения оценки времени и анализа действий оператора. Мониторинг производится ответственным уполномоченным лицом в соответствии с методикой и исходя из правомерности указанных мер.

Уполномоченный орган по защите прав

Таким представителем является федеральный орган исполнительной власти, в функции которого входят контроль и надзор за соответствием обработки ПД законам РФ. Его работа - осуществление госконтроля за обработкой личной информации субъекта, которая должна происходить, исходя их требований нормативных актов. Порядок проведения проверок ИП, организаций и других уполномоченных юридических лиц, которые могут осуществлять сбор и обработку ПД, устанавливается Правительством РФ (ФЗ № 16 от 22.02.2017).

защита информации

Уполномоченный по правам субъектов персональных данных анализирует заявления гражданина о соответствии содержания ПД и способов их обработки целям их проверки и анализа и принимает соответствующее решение о том, правомерно ли была проведена процедура. В противном случае решается вопрос о применении соответствующих мер.

Образец согласия на проверку

Текст базового документа, представляющего собой согласие на обработку персонифицированной информации, обязан не нарушать права субъекта персональных данных, а наоборот, защищать их. Соответственно, должны быть прописаны ФЗ № 152 и перечень действий, на которые соглашается гражданин: систематизацию, уточнение, изменение, сбор, использование, передачу ПД. Обязательно необходимо указывать, в каких целях осуществляется сбор данных, например, если такое согласие подписывается в магазине (организации) при покупке или продаже программного обеспечения на имя субъекта, то так должно быть и прописано.

образец согласия

В согласии отдельно выделяется пункт о защите прав субъекта персональных данных, который гарантирует конфиденциальность получаемых сведений, а также общие положения политики сокрытия закрытой информации. Обязательно должен быть перечень видов обрабатываемых данных, например: Ф. И. О., адрес проживания и электронной почты, номер телефона, банковская платежная история и другие важные сведения личного характера.

В некоторых документах прописывается срок действия согласия, другие имеют неограниченный срок. Если есть возможность отозвать подписанное заявление о проверке частных сведений, то в документе это должно быть прописано, а также последствия такого действия.

Превышение полномочий

Все действия, которые работодатель или оператор может совершать с полученными персонифицированными сведениями, прописываются в тексте двухстороннего соглашения. Нередко граждане обращаются с претензиями, что их банковская история стала объектом проверки, но соответствующего документа никто не давал подписывать. Обработка приватной информации без согласия субъекта персональных данных может повлечь ответственность в виде административной или дисциплинарной. В исключительных случаях, когда был нанесен сильный ущерб, возможна уголовная.

подписание согласия

Для определения четких рамок и того, какие жизненные характеристики считаются общедоступными, а какие не выходят за границы индивидуальности и секретности, гражданину необходимо проанализировать документ-согласие и только после этого ставить свою подпись.

Если нет возможности разобраться самому, например, в случае устройства на работу, рекомендуется привлечь квалифицированного юриста. Сведения о том, отбывал ли субъект срок в местах лишения свободы, необходимо предоставлять лишь в том случае, когда должность, на которую человек хочет устроиться, требует отсутствие судимости, при другом положении дел субъект в праве такие данные не предоставлять.

Субъект персональных данных - это гражданин, который имеет право не только на передачу своих личный сведений для обработки и проверки их с определенной целью (покупка, продажа, взятие кредита и др.), но и на защиту предоставляемой информации от ее несанкционированного распространения, уничтожения и нецелевого использования.