Presentation on Personal Data Protection in Russia at Moscow Times Conference
1. Изменения в Федеральный закон от 27 июля
2006 г. №152-ФЗ «О персональных данных»
Анастасия Лемыш
Юрист | CMS, Россия
Конференция The Moscow Times
28 февраля 2012
2. Ключевые вопросы:
1. Обработка персональных данных (понятие, виды);
2. Условия обработки;
3. Операторы и «обработчики»;
4. Взаимодействие субъектов персональных данных и
операторов;
5. Обеспечение оператором защиты персональных данных.
3. 1.1. Изменено определение термина
«персональные данные»
(исключён конкретный перечень информации)
Персональные данные (ПДн) – любая информация, относящаяся к
прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных) (ст. 3 152-ФЗ)
Текстовая, графическая, Может быть идентифицировано
биометрическая, фотографическая, с использованием
акустическая, цифровая … разумно доступных средств
относящаяся
Любая
информация
4. 1.2. Уточнено понятие «обработка ПДн»
Обработка
ПДн
любое действие или
совокупность действий
с использованием без использования
средств автоматизации средств автоматизации
5. 1.3. Расширен перечень действий с ПДн
система-
сбор запись накопление хранение
тизация
уничтожение извлечение
Обработка
блокиро- ПДн использо-
вание вание
уточнение обезличи-
удаление передача
вание
распростра- предоста-
обновление изменение доступ
нение вление
6. 2.1. Изменены сроки хранения ПДн
Цели обработки
Срок хранения ПДн
Закон Договор
7. 2.2. Изменены условия обработки ПДн
Обработка ПДн
Согласие Без согласия
субъекта субъекта
форма согласия
Только в случаях,
установленных
письменная форма: любая, позволяющая законом
(спец. категории ПДн, подтвердить
биометрические ПДн, факт получения
трансграничная передача
в «ненадежные» страны)
8. 2.3. Введены дополнительные случаи, когда
согласие на обработку ПДн не требуется (1)
осуществление правосудия;
законные интересы и общественно значимые цели:
• осуществление прав и законных интересов оператора или
третьих лиц;
• достижение общественно значимых целей;
Условие: не нарушаются права и свободы СПД;
9. 2.3. Введены дополнительные случаи, когда
согласие на обработку ПДн не требуется (2)
предоставление государственной или муниципальной
услуги;
договорные отношения (сфера действия расширена):
• исполнение договора:
субъект ПДн – сторона, выгодоприобретатель или поручитель по
договору;
• заключение договора:
по инициативе субъекта ПДн;
субъект ПДн – выгодоприобретатель
или поручитель по договору;
10. 2.4. Введены дополнительные случаи
обработки специальных категорий ПДн без
письменного согласия субъекта ПДн
обработка в соответствии с законодательством в таких
сферах:
• о государственной социальной помощи;
• трудовое законодательство;
• пенсионное законодательство;
• законодательство об обязательных видах
страхования, страховое законодательство;
обработка в целях устройства в семьи детей-сирот.
11. 3.1. Разграничены понятия «оператор» и
«лицо, осуществляющее обработку ПДн по
поручению оператора ПДн» («обработчик»)
Оператор «Обработчик»
Определяет: Осуществляет обработку ПДн
• цели обработки ПДн на основании поручения
• состав ПДн оператора
• действия с ПДн Несёт ответственность перед
Несёт ответственность перед оператором
субъектом ПДн Не должен получать согласия
субъекта ПДн
12. 4.1. Изменен порядок взаимодействия
субъектов ПДн и операторов
изменены требования к запросу, направляемому
субъектом ПДн – оператору;
увеличен срок реагирования оператора на запросы
субъекта ПДн о предоставлении информации (30 дней);
установлен срок повторного обращения субъекта ПДн к
оператору (не менее 30 дней).
13. 5.1. Изменен порядок организации оператором
обработки и защиты ПДн
назначение ответственного за организацию обработки ПДн;
разработка и политики и локальных актов по защите ПДн;
применение правовых, организационных и технических мер по
обеспечению безопасности ПДн;
внутренний контроль и (или) аудит соответствия обработки ПДн;
оценка вреда, который может быть причинён субъектам ПДн;
ознакомление работников с положениями законодательства.
14. 5.2. Действие закона во времени
Действие изменений, внесённых в закон,
распространяется на правоотношения, возникшие с 1
июля 2011 года
Операторы, осуществлявшие обработку ПДн до 1 июля
2011 года, обязаны подать уведомление в Роскомнадзор
до 1 января 2013 года
15. Анастасия Лемыш
Юрист
CMS, Россия
T: +7 495 786 3076
E: anastasiya.lemysh@cmslegal.ru
CMS, Россия
Гоголевский бульвар, д.11
119019 Москва
Т +7 495 786 4000
Ф +7 495 786 4001
www.cmslegal.ru