Для реализации своих прав владельцы персональных данных могут обращаться к операторам за следующей информацией.
*статья 14 пункт 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
Имеет смысл рассмотреть перед обращением к оператору, является ли организация оператором, который должен быть зарегистрирован в реестре Роскомнадзора. Заходим на сайт и по названию организации или ее ИНН смотрим результат.
В каких случаях организация не регистрируется как оператор персональных данных:
*Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства
В случае если ваши отношения с оператором не попадают под вышеуказанные исключения, он должен быть в реестре операторов до начала обработки ваших персональных данных. Если его там нет, последствия для оператора персональных данных.
Далее пишем запрос и отправляем заказным письмом юридическому лицу, которому вы хотите предъявить претензии:
Текст запроса
Оператору персональных данных ООО «Рога и копыта»
от Пупкина
паспорт: серия хххх выдан Отделением по району ххххххр. Москве хх, 1ххх г.
адрес для корреспонденции:
Москва, хххх.
З А П Р О С
На основании п.4 ст.14 Федерального Закона от 27.07.2006 года №152 «О персональных данных» прошу в срок установленный ФЗ. № 152 «О персональных данных», предоставить мне как субъекту – обладателю персональных данных доступ к моим персональным данным, находящимся во временном обладании ООО «Рога и копыта», а также следующую информацию:
1) подтверждение факта обработки персональных данных, а также цель такой обработки;
2) сведения об операторе персональных данных;
3) способы обработки персональных данных, применяемые оператором;
4) реализация оператором обязанности по обеспечению безопасности персональных данных;
5) наличие или отсутствие лицензирования по ТЗКИ при защите персональных данных;
6) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
7) перечень обрабатываемых персональных данных и источник их получения;
8) сроки обработки персональных данных, в том числе сроки их хранения;
9) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
«_____»_______________2011 г.
_______________________/ххххх/
Нам должны ответить в течение 30 дней.
После получения ответа или по прошествии 30 дней, если ответ нас не удовлетворил, идем на сайт Роскомнадзора, и формируем заявление. Дублируем заказным письмом в адрес территориального органа Роскомнадзора, который относится к месту вашего проживания.
Заявление в Роскомнадзор:
хх хх 2011 г. мной, субъектом-обладателем персональных данных в адрес оператора ООО «Рога и копыта», во временном обладании которого находятся мои персональные данные, был направлен запрос в письменном виде на предоставление доступа к моим ПД, а также предоставления мне информации предусмотренной п.4 ст.14 ФЗ от 27.07.2006 г. № 152 «О персональных данных». Копия запроса прилагается.
хх.02.2011. я получил ответ от оператора ООО «Рога и копыта» №хх от хх.02.2011. Копия ответа прилагается.
Настоящий ответ не удовлетворил меня по следующим причинам:
1. Доступ к своим персональным данным я не получил.
2. Никакие из запрашиваемых в письменном обращении сведения мне предоставлены не были.
3. Ни на один поставленный в моем обращении вопрос разъяснений я не получил.
(Описываете, что еще вам не ответили)
Заявленной целью обработки ПД оператора ООО «Рога и копыта» является в том числе «обработка персональных данных физических лиц — клиентов ОАО «Рога и копыта» при осуществлении ____(указываете для каких целей обрабатывается).
Из условий договора, на который ссылается в своем ответе оператор ОАО «Рога и копыта» следует, что обрабатывает согласно договору хх.хх.2011 г. Договор № ххх1 от хх.хх.2004. был полностью исполнен.
Отсюда следует, что каких либо договорных отношений с ООО «Рога и копыта» нет и их заключение не предполагается. Заявленная оператором цель обработки ПД «обработка персональных данных физических лиц — клиентов ООО «Рога и копыта» при осуществлении условий выполнения договора» достигнута или не соответствует заявленной.
Считаю действия оператора ООО «Рога и копыта» по обработке моих персональных данных несоответствующими требованиям настоящего Федерального закона «О персональных данных» и нарушающими мои права и свободы.
После изучения ответа оператора на свой запрос считаю дальнейшую переписку с оператором ООО «Рога и копыта» нецелесообразной.
На основании вышеизложенного
ПРОШУ:
1. Оказать содействие в проведении проверки деятельности оператора ПД ООО «Рога и копыта» по обработке моих персональных данных на соответствие действующему законодательству в области персональных данных.
2. Оказать содействие в блокировании и уничтожении моих персональных данных, находящихся во временном обладании оператора – ООО «Рога и копыта» на основании достижения цели их обработки, а также иных выявленных нарушений в ходе проверки.
3. В случае уничтожения персональных данных обязать оператора ООО «Рога и копыта» уведомить меня – субъекта персональных данных о результате в письменном виде.
Ответ прошу выслать на адрес: ххххх
Вы можете включать любые пункты, по которым вы хотите получить дополнительные ответы, или если вам кажется, что действия оператора нарушают законодательство и ваши права.
По результату запроса в Роскомнадзор, вам должен прийти ответ о проведенной проверке и ее результатах.
Ну а по итогам думаем, идти ли дальше или оператор исправил свои ошибки.
*статья 14 пункт 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
Имеет смысл рассмотреть перед обращением к оператору, является ли организация оператором, который должен быть зарегистрирован в реестре Роскомнадзора. Заходим на сайт и по названию организации или ее ИНН смотрим результат.
В каких случаях организация не регистрируется как оператор персональных данных:
*Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства
В случае если ваши отношения с оператором не попадают под вышеуказанные исключения, он должен быть в реестре операторов до начала обработки ваших персональных данных. Если его там нет, последствия для оператора персональных данных.
Далее пишем запрос и отправляем заказным письмом юридическому лицу, которому вы хотите предъявить претензии:
Текст запроса
Оператору персональных данных ООО «Рога и копыта»
от Пупкина
паспорт: серия хххх выдан Отделением по району ххххххр. Москве хх, 1ххх г.
адрес для корреспонденции:
Москва, хххх.
З А П Р О С
На основании п.4 ст.14 Федерального Закона от 27.07.2006 года №152 «О персональных данных» прошу в срок установленный ФЗ. № 152 «О персональных данных», предоставить мне как субъекту – обладателю персональных данных доступ к моим персональным данным, находящимся во временном обладании ООО «Рога и копыта», а также следующую информацию:
1) подтверждение факта обработки персональных данных, а также цель такой обработки;
2) сведения об операторе персональных данных;
3) способы обработки персональных данных, применяемые оператором;
4) реализация оператором обязанности по обеспечению безопасности персональных данных;
5) наличие или отсутствие лицензирования по ТЗКИ при защите персональных данных;
6) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
7) перечень обрабатываемых персональных данных и источник их получения;
8) сроки обработки персональных данных, в том числе сроки их хранения;
9) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
«_____»_______________2011 г.
_______________________/ххххх/
Нам должны ответить в течение 30 дней.
После получения ответа или по прошествии 30 дней, если ответ нас не удовлетворил, идем на сайт Роскомнадзора, и формируем заявление. Дублируем заказным письмом в адрес территориального органа Роскомнадзора, который относится к месту вашего проживания.
Заявление в Роскомнадзор:
хх хх 2011 г. мной, субъектом-обладателем персональных данных в адрес оператора ООО «Рога и копыта», во временном обладании которого находятся мои персональные данные, был направлен запрос в письменном виде на предоставление доступа к моим ПД, а также предоставления мне информации предусмотренной п.4 ст.14 ФЗ от 27.07.2006 г. № 152 «О персональных данных». Копия запроса прилагается.
хх.02.2011. я получил ответ от оператора ООО «Рога и копыта» №хх от хх.02.2011. Копия ответа прилагается.
Настоящий ответ не удовлетворил меня по следующим причинам:
1. Доступ к своим персональным данным я не получил.
2. Никакие из запрашиваемых в письменном обращении сведения мне предоставлены не были.
3. Ни на один поставленный в моем обращении вопрос разъяснений я не получил.
(Описываете, что еще вам не ответили)
Заявленной целью обработки ПД оператора ООО «Рога и копыта» является в том числе «обработка персональных данных физических лиц — клиентов ОАО «Рога и копыта» при осуществлении ____(указываете для каких целей обрабатывается).
Из условий договора, на который ссылается в своем ответе оператор ОАО «Рога и копыта» следует, что обрабатывает согласно договору хх.хх.2011 г. Договор № ххх1 от хх.хх.2004. был полностью исполнен.
Отсюда следует, что каких либо договорных отношений с ООО «Рога и копыта» нет и их заключение не предполагается. Заявленная оператором цель обработки ПД «обработка персональных данных физических лиц — клиентов ООО «Рога и копыта» при осуществлении условий выполнения договора» достигнута или не соответствует заявленной.
Считаю действия оператора ООО «Рога и копыта» по обработке моих персональных данных несоответствующими требованиям настоящего Федерального закона «О персональных данных» и нарушающими мои права и свободы.
После изучения ответа оператора на свой запрос считаю дальнейшую переписку с оператором ООО «Рога и копыта» нецелесообразной.
На основании вышеизложенного
ПРОШУ:
1. Оказать содействие в проведении проверки деятельности оператора ПД ООО «Рога и копыта» по обработке моих персональных данных на соответствие действующему законодательству в области персональных данных.
2. Оказать содействие в блокировании и уничтожении моих персональных данных, находящихся во временном обладании оператора – ООО «Рога и копыта» на основании достижения цели их обработки, а также иных выявленных нарушений в ходе проверки.
3. В случае уничтожения персональных данных обязать оператора ООО «Рога и копыта» уведомить меня – субъекта персональных данных о результате в письменном виде.
Ответ прошу выслать на адрес: ххххх
Вы можете включать любые пункты, по которым вы хотите получить дополнительные ответы, или если вам кажется, что действия оператора нарушают законодательство и ваши права.
По результату запроса в Роскомнадзор, вам должен прийти ответ о проведенной проверке и ее результатах.
Ну а по итогам думаем, идти ли дальше или оператор исправил свои ошибки.
Что дает обычному человеку Федеральный Закон №152 О персональных данных?
Об операторах персональных данных написано довольно много статей.
Операторы очень расстроены, что им приходится тратить средства на защиту персональной информации, что им всем тяжело живется и вообще все очень плохо.
С другой стороны есть сами владельцы персональных данных, и я предлагаю рассмотреть тему именно с этой стороны. Что же дает владельцу персональных данных ФЗ № 152 и каким способом он может защитить свои законные интересы?
В данном случае разговор пойдет о коммерческих организациях, вопрос относительно государственных органов – тема отдельной статьи.
Сбор и обработка персональных данных юридическими лицами – практика распространенная. Кто-то включает персональные данные в договора, кто-то собирает персональные данные для программ лояльности, кто-то собирает для проведения обзвона с целью предложить свои самые современные пылесосы. У каждого свои цели. И это прекрасно, пока не доставляет неудобств людям.
Если у организации недостаточно денег на средства защиты, экспертов, желания – это трудности конкретной организации. Нет денег на средства защиты, ну так пишите на бумаге, но с разрешения владельца. Если интернет-магазин не может обеспечить безопасность информации о заказах, значит не надо хранить эти заказы.
Данная статья позволяет разобраться владельцу персональных данных, каким способом он может заставить оператора персональных данных прекратить нарушать его права.
Основной посыл в законе о персональных данных: информация, содержащая любые персональные данные*, не принадлежит никому кроме самого владельца, и если какая-либо компания хочет их получить, она должна обосновать это желание и получить разрешение от владельца, либо иметь на обработку законные основания. Кроме того, такая компания должна обеспечить безопасность этой информации.
*статья 2. Пункт 1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Разрешение может быть дано как в виде отдельного документа, содержащего подпись владельца, так и в рамках какого-либо договора: на оказание услуг, трудового договора или других форм. Существуют и исключения, когда письменного разрешения не требуется, они указанны в статье 6 федерального закона. Если организация не попадает под пункты, где не требуется разрешения, и письменного разрешения также не имеет, то оператор обязан уничтожить персональные данные в срок, не превышающий 7 дней, (статья 20 пункт 3) и уведомить об этом владельца персональных данных.
Ваши персональные данные могут обрабатывать только для четко определенных целей, никто может их обрабатывать просто так**. Если вам при получении карты постоянного покупателя предлагают указать ваши паспортные данные, наличие недвижимости и счетов в банке, то это избыточная информация, которая не требуется для оказания услуги, и сбор такой информации является незаконным. При этом вам не могут отказать в выдаче карты, если вы не укажете, сколько стоит ваша квартира в этой анкете.
**Статья 1 пункт 3 обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Если какая-либо организация обрабатывает ваши персональные данные, вы имеете право запросить у оператора персональных данных информацию***, касающуюся обработки персональных данных, что указанно в статье 7.
***статья 14 пункт 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
Ответ по данному запросу оператор обязан переставить в 30-дневный срок.
Если вам, например, позвонили коллекторы и требуют от вас какие-либо выплаты, не надо с ними ругаться, стоит аккуратно записать из какой организации и кто звонит. После этого следует отправить заказным письмом запрос в эту организацию. В письме необходимо запросить основание обработки, цели обработки и состав, указанный в пункте 7 статьи 14 ФЗ.
Если в течение 30 дней вам не пришел ответ, смело пишите заявление в Роскомнадзор, заодно проверив, числится ли коллектор в реестре операторов персональных данных.
Вот пример последствий для оператора персональных данных по обращению владельца:
Случай из жизни: меня в очередной раз расстроил мой интернет-провайдер своим качеством обслуживания, и я решил посмотреть насколько законно он обрабатывает мои персональные данные. Написав и распечатав письмо с запросом информации из статьи 14, я сходил к ним и отдал под роспись секретарю вместе с претензией на качество обслуживания. На следующий день руководитель технической поддержки (до этого мне так и не удалось с ним поговорить, не переключали) с радостью сообщил, что они все починили, дал мне свои контакты с просьбой звонить если что то будет не так ему лично. Интернет с тех пор работает отлично.
Еще один пример нарушения со стороны оператора персональных данных: после покупки машины в автосалоне по почте пришло письмо от производителя из Германии, в котором говорилось, что я приобрел машину такой-то марки с просьбой оценить качество обслуживания их дилера. При заключении договора в тексте договора не было нигде описано, что я разрешаю обрабатывать свои данные, тем более передавать их кому-либо.
Оператор не уничтожил мои персональные данные после достижения целей обработки (договор исполнен), осуществил трансграничную передачу этих данных и продолжает обрабатывать их в своих информационных системах, без какого-либо основания (приходят СМС с информацией об акциях).
Если статья будет интересна читателям, на последнем примере нарушения выложу формы обращения и пошаговую инструкцию по организации запросов к операторам персональных данных, запросов в Роскомнадзор, расскажу, куда можно обратиться помимо Роскомнадзора, и на какие статьи законодательства ссылаться.
Операторы очень расстроены, что им приходится тратить средства на защиту персональной информации, что им всем тяжело живется и вообще все очень плохо.
С другой стороны есть сами владельцы персональных данных, и я предлагаю рассмотреть тему именно с этой стороны. Что же дает владельцу персональных данных ФЗ № 152 и каким способом он может защитить свои законные интересы?
В данном случае разговор пойдет о коммерческих организациях, вопрос относительно государственных органов – тема отдельной статьи.
Сбор и обработка персональных данных юридическими лицами – практика распространенная. Кто-то включает персональные данные в договора, кто-то собирает персональные данные для программ лояльности, кто-то собирает для проведения обзвона с целью предложить свои самые современные пылесосы. У каждого свои цели. И это прекрасно, пока не доставляет неудобств людям.
Если у организации недостаточно денег на средства защиты, экспертов, желания – это трудности конкретной организации. Нет денег на средства защиты, ну так пишите на бумаге, но с разрешения владельца. Если интернет-магазин не может обеспечить безопасность информации о заказах, значит не надо хранить эти заказы.
Данная статья позволяет разобраться владельцу персональных данных, каким способом он может заставить оператора персональных данных прекратить нарушать его права.
Основной посыл в законе о персональных данных: информация, содержащая любые персональные данные*, не принадлежит никому кроме самого владельца, и если какая-либо компания хочет их получить, она должна обосновать это желание и получить разрешение от владельца, либо иметь на обработку законные основания. Кроме того, такая компания должна обеспечить безопасность этой информации.
*статья 2. Пункт 1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Разрешение может быть дано как в виде отдельного документа, содержащего подпись владельца, так и в рамках какого-либо договора: на оказание услуг, трудового договора или других форм. Существуют и исключения, когда письменного разрешения не требуется, они указанны в статье 6 федерального закона. Если организация не попадает под пункты, где не требуется разрешения, и письменного разрешения также не имеет, то оператор обязан уничтожить персональные данные в срок, не превышающий 7 дней, (статья 20 пункт 3) и уведомить об этом владельца персональных данных.
Ваши персональные данные могут обрабатывать только для четко определенных целей, никто может их обрабатывать просто так**. Если вам при получении карты постоянного покупателя предлагают указать ваши паспортные данные, наличие недвижимости и счетов в банке, то это избыточная информация, которая не требуется для оказания услуги, и сбор такой информации является незаконным. При этом вам не могут отказать в выдаче карты, если вы не укажете, сколько стоит ваша квартира в этой анкете.
**Статья 1 пункт 3 обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Если какая-либо организация обрабатывает ваши персональные данные, вы имеете право запросить у оператора персональных данных информацию***, касающуюся обработки персональных данных, что указанно в статье 7.
***статья 14 пункт 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
Ответ по данному запросу оператор обязан переставить в 30-дневный срок.
Если вам, например, позвонили коллекторы и требуют от вас какие-либо выплаты, не надо с ними ругаться, стоит аккуратно записать из какой организации и кто звонит. После этого следует отправить заказным письмом запрос в эту организацию. В письме необходимо запросить основание обработки, цели обработки и состав, указанный в пункте 7 статьи 14 ФЗ.
Если в течение 30 дней вам не пришел ответ, смело пишите заявление в Роскомнадзор, заодно проверив, числится ли коллектор в реестре операторов персональных данных.
Вот пример последствий для оператора персональных данных по обращению владельца:
Случай из жизни: меня в очередной раз расстроил мой интернет-провайдер своим качеством обслуживания, и я решил посмотреть насколько законно он обрабатывает мои персональные данные. Написав и распечатав письмо с запросом информации из статьи 14, я сходил к ним и отдал под роспись секретарю вместе с претензией на качество обслуживания. На следующий день руководитель технической поддержки (до этого мне так и не удалось с ним поговорить, не переключали) с радостью сообщил, что они все починили, дал мне свои контакты с просьбой звонить если что то будет не так ему лично. Интернет с тех пор работает отлично.
Еще один пример нарушения со стороны оператора персональных данных: после покупки машины в автосалоне по почте пришло письмо от производителя из Германии, в котором говорилось, что я приобрел машину такой-то марки с просьбой оценить качество обслуживания их дилера. При заключении договора в тексте договора не было нигде описано, что я разрешаю обрабатывать свои данные, тем более передавать их кому-либо.
Оператор не уничтожил мои персональные данные после достижения целей обработки (договор исполнен), осуществил трансграничную передачу этих данных и продолжает обрабатывать их в своих информационных системах, без какого-либо основания (приходят СМС с информацией об акциях).
Если статья будет интересна читателям, на последнем примере нарушения выложу формы обращения и пошаговую инструкцию по организации запросов к операторам персональных данных, запросов в Роскомнадзор, расскажу, куда можно обратиться помимо Роскомнадзора, и на какие статьи законодательства ссылаться.
Сертификация средств защиты персональных данных: революция или эволюция? Защита // А.С.Марков, М.Ю.Никулин, В.Л.Цирлов / информации. Инсайд. - 2008. - №5.
Проблемы и решения по защите персональных данных в информационных системах персональных данных // А.Марков и Б.Сухинин / Улан-Уде: ВСГТУ (ТиПВСИТ-2009, 20-27 июля) . - 2009. - Ч.II. - C.241-244.
Защита персональных данных: откладывать больше нельзя / CNews.ru. - 2009. - 15 мая. // В.Левцов, И.Новиков
Персональные данные. Будни банковской безопасности / Интеллектуальный банк. - 2009 - 13 июля. // Е.Царев
Защита персональных данных в кредитно-финансовых организациях / Интеллектуальный банк. - 2009. - 13 июля. // В.Сердюк
Обработка персональных данных в информационных системах: как обеспечить безопасность Connect! Мир // А.Бажанов, И.Назаров, Ю.Язов / Связи. - 2009. - №1.
Постатейный комментарий к Федеральному закону "О персональных данных" ЮД "Юстицинформ". - 2007. - 65с. // М.И.Петров /
Обработка персональных данных в медицинских организациях / PCWeek/RE. - 2009. - 6 октября. // А.Столбов
Как защитить персональные данные. Подборка статей LETA IT-company // О.Губка, Н.Зенин, Н.Конопкин В. Левцов, И.Новиков, Е.Царев / www.leta.ru. - 2009. - октябрь.
Обеспечение гарантированной анонимности персональных данных с использованием биометрического профиля пользователя А.Иванов, И.Назаров, / Информация и Безопасность. - 2009. - №1. // Ю.Язов, Е.Остроухова
Защита персональных данных: если наступит завтра А.Сабанов, / cnews.ru. - 2009. - ноябрь. // Н.Комарова, О.Плотников
Рекомендации по выполнению требований Федерального закона №152-ФЗ “О персональных данных“ www.leta.ru. - 2010. - C. 80. // LETA IT-company /
Почему не заработал закон "О персональных данных"? / Финансовые известия. - 2010 - 22.04.2010 // М.Ю.Емельянников
Защита конфиденциальности персональных данных с помощью обезличивания Вестник АГТУ. - 2010. - №2. // И.Ю.Кучин /
Лицензирование как продукт осознанной необходимости: Лицензирование деятельности операторов персональных данных Защита // И.Шахалов / информации. Инсайд. - 2010. - 2.
Защита персональных данных: пригодится ли нам британский опыт? cnews.ru. - 2010 - июль // А.Волков, Е.Царев /
Двадцать популярных заблуждений операторов персональных данных fz152.ru. - 2010. - часть 1, 2. // П.Шмелев /
Процедура обезличивания персональных данных Е. А.Саксонов, Р. / Наука и образование: электронное научно-техническое издание. - // В.Шередин 2011 - №3 (март).
О подходах по минимизации выполнения требований закона «О персональных данных» ИСПДн.ру. - 2011. - июль. // В.Омаров /
Шмелев Павел Владимирович