Конспект лекций оглавление 1 информационное общество и его безопасность 6
Скачать 4.94 Mb.
|
8.3. Права субъектов персональных данныхСубъект персональных данных обладает правами: - на доступ к своим персональным данным; - возражение против принятия решений исключительно на основании автоматизированной обработки персоналом данных, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы; - обжалование действий или бездействий; - отзыв согласия на обработку персональных данных. Право на доступ к своим персональным данным включает: - получение сведений об операторе, месте его нахождения, наличии у оператора соответствующих персональных данных, а также ознакомление с ними; - получение сведений, касающихся обработки персональных данных; - уточнение своих персональных данных, их блокирование или уничтожение в случае, если эти данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Доступ должен быть предоставлен как лично субъекту персональных данных, так и его законному представителю по обращению или запросу этих лиц. Обращение и запрос могут быть отправлены в электронной форме и подписаны электронной цифровой подписью. Правомочие получения информации, касающейся обработки персональных данных, реализуется субъектом этих данных посредством обращения или запроса. В рамках ответа на обращение или запрос субъект имеет право на ответ, содержащий следующую информацию: - подтверждение факта обработки персональных данных, применяемых оператором; - способы обработки персональных данных, применяемые оператором; - сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; - перечень обрабатываемых персональных данных и источник их получения; - срок обработки персональных данных, в том числе сроки их хранения; - сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. Пользование этим правомочием ограничивается, если: - обработка персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; - обработка проводится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления либо предъявившими субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; - представление персональных данных нарушает конституционные права и свободы других лиц. Право на возражение против принятия решений исключительно на основании автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, заключается в следующем: - получение у оператора разъяснений о порядке принятия таких решений и о их возможных юридических последствиях; - подача заявления о возражении против такого решения; - получение у оператора разъяснений о порядке защиты субъектом своих прав и законных интересов; - получение уведомления от оператора о результатах рассмотрения возражения. Право на обжалование действий или бездействий включает: - обжалование действия или бездействия оператора, нарушающие права и свободы субъекта персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке; - возмещение убытков и компенсации морального вреда в судебном порядке. Право на отзыв согласия на обработку персональных данных заключается в возможности запретить соответствующие действия оператора в отношении своих персональных данных. В этом случае оператор обязан прекратить обработку персональных данных и уничтожить их в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных. 8.4. Обязанности оператора при обработке персональных данныхПри обработке персональных данных на оператора возлагаются следующие обязанности: по соблюдению установленного порядка сбора персональных данных; по обеспечению безопасности; по реагированию на обращения и запросы; по устранению нарушений законодательства; по уведомлению об обработке персональных данных. Обязанности по соблюдению установленного порядка сбора персональных данных заключаются в следующем: - предоставление по просьбе субъекта персональных данных информации, касающейся обработки его персональных данных; - представление в случае получения персональных данных не от субъекта этих данных (за исключением случаев их представления на основании федерального закона или когда они являются общедоступными) субъекту персональных данных до начала их обработки следующей информации, наименование (фамилия, имя, отчество) и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; предполагаемые пользователи персональных данных; установленные законом права субъекта персональных данных. Обязанности по обеспечению безопасности персональных данных включают: - принятие необходимых организационных и технических мер, в том числе связанных с использованием шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий; - использование и хранение биометрических персональных данных вне информационных систем персональных данных только на материальных носителях информации и с применением таких технологий ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. Обязанности по реагированию на обращения и запросы заключаются в следующем: - сообщение субъекту персональных данных или его законному представителю информации о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставление возможности ознакомления с этими данными при обращении или запросе субъекта персональных данных или его законного представителя; - предоставление в письменной форме мотивированного ответа, содержащего ссылку на положения федеральных законов, являющиеся основанием для отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных; - безвозмездное предоставление субъекту персональных данных или его законному представителю возможности ознакомления с персональными данными, относящимися к субъекту персональных данных; - внесение в персональные данные необходимых изменений, уничтожение или блокирование соответствующих персональных данных по представлению субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; - уведомление субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы, о внесенных изменениях и предпринятых мерах; - сообщение в уполномоченный орган по защите прав субъектов персональных данных по его запросу информации, необходимой для осуществления деятельности указанного органа. Обязанности по устранению нарушений законодательства включают: - блокирование персональных данных, относящихся к соответствующему субъекту при обращении или по запросу субъекта персональных данных или его законного представителя в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора; - уточнение персональных данных и снятие с них блокирования на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных; - устранение выявленных нарушений в срок, не превышающий трех дней с даты выявления неправомерных действий с персональными данными, либо уничтожение этих данных; - уведомление субъекта персональных данных или его законного представителя об устранении допущенных нарушений или об уничтожении соответствующих персональных данных; - прекращение обработки персональных данных и уничтожение их в случае достижения цели обработки, а также в случае отзыва субъектом персональных данных согласия на их обработку. Обязанности по уведомлению об обработке персональных данных заключаются в уведомлении уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных до начала их обработки. Обработка персональных данных может осуществляться без уведомления уполномоченного органа по защите персональных данных, если эти данные: - относятся к субъектам персональных данных, связанным с оператором трудовыми отношениями; - получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; - относятся к членам общественного объединения или религиозной организации и обрабатываются соответствующими общественными объединениями или религиозными организациями, действующими в соответствии с законодательством, для достижения целей, предусмотренных их учредительными документами; - являются общедоступными; - включают только фамилии, имена, отчества субъектов персональных данных; - необходимы для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор; - включены в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные для защиты безопасности государства и общественного порядка; - обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке. |