Конференция The Moscow Times

28 февраля 2012

Изменения в Федеральный закон от 27 июля

2006 г. №152-ФЗ «О персональных данных»

Анастасия Лемыш Юрист | CMS, Россия

Ключевые вопросы:

1. Обработка персональных данных (понятие, виды);

2. Условия обработки;

3. Операторы и «обработчики»;

4. Взаимодействие субъектов персональных данных и

операторов;

5. Обеспечение оператором защиты персональных данных.

1.1. Изменено определение термина

«персональные данные»

(исключён конкретный перечень информации)

Персональные данные (ПДн) – любая информация, относящаяся к

прямо или косвенно определенному или определяемому

физическому лицу (субъекту персональных данных) (ст. 3 152-ФЗ)

Любая

информация

относящаяся

Может быть идентифицировано

с использованием

разумно доступных средств

Текстовая, графическая,

биометрическая, фотографическая,

акустическая, цифровая …

1.2. Уточнено понятие «обработка ПДн»

Обработка

ПДн

любое действие или

совокупность действий

с использованием

средств автоматизации

без использования

средств автоматизации

1.3. Расширен перечень действий с ПДн

Обработка

ПДн

уточнение

блокиро-

вание

удаление

уничтожение

передача

извлечение

хранение накопление

использо-

вание

сбор запись система-

тизация

обезличи-

вание

обновление изменение распростра-

нение

предоста-

вление доступ

2.1. Изменены сроки хранения ПДн

Цели обработки

Договор Закон

Срок хранения ПДн

2.2. Изменены условия обработки ПДн

Обработка ПДн

Без согласия

субъекта

Согласие

субъекта

Только в случаях,

установленных

законом

форма согласия

любая, позволяющая

подтвердить

факт получения

письменная форма:

(спец. категории ПДн,

биометрические ПДн,

трансграничная передача

в «ненадежные» страны)

2.3. Введены дополнительные случаи, когда

согласие на обработку ПДн не требуется (1)

осуществление правосудия;

законные интересы и общественно значимые цели:

• осуществление прав и законных интересов оператора или

третьих лиц;

• достижение общественно значимых целей;

Условие: не нарушаются права и свободы СПД;

2.3. Введены дополнительные случаи, когда

согласие на обработку ПДн не требуется (2)

предоставление государственной или муниципальной

услуги;

договорные отношения (сфера действия расширена):

• исполнение договора:

субъект ПДн – сторона, выгодоприобретатель или поручитель по договору;

• заключение договора:

по инициативе субъекта ПДн;

субъект ПДн – выгодоприобретатель

или поручитель по договору;

2.4. Введены дополнительные случаи

обработки специальных категорий ПДн без

письменного согласия субъекта ПДн

обработка в соответствии с законодательством в таких

сферах:

• о государственной социальной помощи;

• трудовое законодательство;

• пенсионное законодательство;

• законодательство об обязательных видах

страхования, страховое законодательство;

обработка в целях устройства в семьи детей-сирот.

3.1. Разграничены понятия «оператор» и

«лицо, осуществляющее обработку ПДн по

поручению оператора ПДн» («обработчик»)

Оператор

Определяет:

• цели обработки ПДн

• состав ПДн

• действия с ПДн

Несёт ответственность перед

субъектом ПДн

«Обработчик»

Осуществляет обработку ПДн

на основании поручения

оператора

Несёт ответственность перед

оператором

Не должен получать согласия

субъекта ПДн

4.1. Изменен порядок взаимодействия

субъектов ПДн и операторов

изменены требования к запросу, направляемому

субъектом ПДн – оператору;

увеличен срок реагирования оператора на запросы

субъекта ПДн о предоставлении информации (30 дней);

установлен срок повторного обращения субъекта ПДн к

оператору (не менее 30 дней).

5.1. Изменен порядок организации оператором

обработки и защиты ПДн

назначение ответственного за организацию обработки ПДн;

разработка и политики и локальных актов по защите ПДн;

применение правовых, организационных и технических мер по

обеспечению безопасности ПДн;

внутренний контроль и (или) аудит соответствия обработки ПДн;

оценка вреда, который может быть причинён субъектам ПДн;

ознакомление работников с положениями законодательства.

5.2. Действие закона во времени

Действие изменений, внесённых в закон,

распространяется на правоотношения, возникшие с 1

июля 2011 года

Операторы, осуществлявшие обработку ПДн до 1 июля

2011 года, обязаны подать уведомление в Роскомнадзор

до 1 января 2013 года

Анастасия Лемыш Юрист

CMS, Россия

T: +7 495 786 3076 E: anastasiya.lemysh@cmslegal.ru

CMS, Россия

Гоголевский бульвар, д.11

119019 Москва

Т +7 495 786 4000

Ф +7 495 786 4001

www.cmslegal.ru