возможно ли собирать в отношении абонентов персональных данных составляющие специальную категорию

Статья 10. Специальные категории персональных данных

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

Источник

Кратко и доступно: что такое персональные данные, их хранение и обработка

Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.

Что относится к персональным данным

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.

Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.

То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.

Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Источник

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

Руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»

специально для ГАРАНТ.РУ

Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных. Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

На что еще важно обратить внимание до сбора персональных данных?

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

***

1 С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы.

Источник

Политика «Обработка персональных данных» в ПАО «МТС»

1. ИНФОРМАЦИЯ О ДОКУМЕНТЕ

2. ОТВЕТСТВЕННОСТЬ И ОБЛАСТЬ ПРИМЕНЕНИЯ

Настоящий документ регламентирует деятельность следующих подразделений и должностных лиц, включая исполняющих роли:

3. ОПРЕДЕЛЕНИЯ ТЕРМИНОВ И СОКРАЩЕНИЙ

3.1. Определения терминов и сокращений

3.2. Теги к документу

4. ОБЩИЕ ПОЛОЖЕНИЯ

4.1. Деятельность Публичного акционерного общества «Мобильные ТелеСистемы» (далее по тексту – ПАО «МТС», Оператор) в соответствии с настоящей Политикой «Обработка персональных данных ПАО «МТС» (далее по тексту – Политика), прежде всего, преследует своей целью обеспечение защиты прав и свобод субъектов ПДн при обработке их ПДн, в том числе, защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

4.2. Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – Закон № 152-ФЗ), а также иными подзаконными нормативно-правовыми актами в сфере персональных данных.

4.3. Положения Политики действуют в отношении всех ПДн, обрабатываемых Оператором, и являются основой для организации работы по обработке ПДн в ПАО «МТС», в том числе, для разработки иных внутренних нормативных документов, регламентирующих процесс обработки персональных данных в ПАО «МТС». Политика распространяет свое действие на обрабатываемые Оператором ПДн, которые были получены как до, так и после ввода в действие настоящей Политики. Порядок обработки ПДн в ПАО «МТС» регулируется настоящей Политикой в соответствии с требованиями действующего законодательства РФ в области ПДн и отраслевого законодательства Российской Федерации, если в нем установлен порядок обработки ПДн.

4.4. Настоящая Политика распространяется на все процессы ПАО «МТС», связанные с обработкой ПДн субъектов, и обязательна для применения всеми работниками ПАО «МТС», осуществляющими обработку ПДн в силу своих должностных обязанностей.

4.5. В соответствии с пунктом 2 части 2 статьи 1 Закона № 152-ФЗ обращение с документами, переданными на хранение в соответствии с законодательством об архивном деле в Российской Федерации, не регулируется настоящей Политикой.

4.6. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством РФ. Если международным договором РФ установлены иные правила чем те, которые предусмотрены Законом № 152-ФЗ, то ПАО «МТС» применяет правила международного договора.

5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка ПДн в ПАО «МТС» осуществляется на основе следующих принципов:

6. ПОНЯТИЕ, СОСТАВ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. В рамках настоящей Политики под персональными данными понимается любая информация, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

ПДн являются информацией ограниченного доступа (конфиденциального характера) в соответствии с законодательством РФ. ПДн могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается отраслевыми федеральными законами, в частности, о коммерческой тайне (коммерческая тайна), о связи (сведения об абоненте и тайна связи), о банках (банковская тайна), об архивном деле и другими.

6.2. ПАО «МТС» в рамках своей деятельности вправе осуществлять обработку специальных категорий ПДн, включая сведения о судимости, только в случаях, прямо предусмотренных действующим законодательством Российской Федерации в сфере ПДн и (или) при наличии правовых оснований.

6.3. ПАО «МТС» в рамках своей деятельности вправе осуществлять обработку биометрических ПДн для установления личности субъекта ПДн, только при наличии его письменного согласия, за исключением случаев обработки биометрических ПДн, предусмотренных частью 2 статьи 11 Закона № 152-ФЗ. Форма и порядок получения письменного согласия должен соответствовать требованиям части 4 статьи 9 Закона № 152-ФЗ.

6.4. ПАО «МТС» в рамках своей деятельности вправе осуществлять обработку ПДн, разрешенных субъектом ПДн для распространения, в форме и порядке, предусмотренном положениями статьи 10.1 Закона № 152-ФЗ, с учетом установленных субъектом ПДн запретов и ограничений.

6.5. ПАО «МТС» осуществляет обработку ПДн следующих категорий субъектов персональных данных:

7. ИСТОЧНИКИ ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Получение ПДн в ПАО «МТС» организуется таким способом, чтобы не нарушить конфиденциальность собираемых ПДн.

7.2. Обрабатываемые ПАО «МТС» персональные данные могут быть получены, как непосредственно от субъекта ПДн, так и от иных третьих лиц, являющихся контрагентами ПАО «МТС».

7.3. При получении ПДн непосредственно от субъекта ПДн, ПАО «МТС» обязуется обеспечить наличие правовых оснований, предусмотренных действующим законодательством Российской Федерации в сфере персональных данных. В случаях, когда правовым основанием обработки ПДн является согласие субъекта ПДн, такое согласие может быть получено в любой форме, позволяющей подтвердить факт его получения, однако такое согласие должно отвечать требованиям конкретности, информированности и сознательности. В случаях, прямо предусмотренных федеральным законом обработка персональных данных допускается только при наличии письменного согласия субъекта ПДн, форма и порядок получения, которого должны соответствовать требованиям части 4 статьи 9 Закона № 152-ФЗ.

7.3. В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.

7.4. При получении ПДн не от субъекта ПДн, ПАО «МТС», до начала обработки таких ПДн, обязуется предоставить субъекту ПДн следующую информацию:

7.5. ПАО «МТС» освобождается от обязанности информирования субъекта ПДн о получении ПДн от третьих лиц, в следующих случаях:

7.6. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации должны осуществляться в ПАО «МТС» с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом № 152-ФЗ.

8. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.2. Автоматизированная обработка ПДн должна осуществляться в ИСПДн ПАО «МТС» в строгом соответствии с настоящей Политикой.

Автоматизированная обработка персональных данных производится с помощью средств вычислительной техники, как установленных локально, так и объединенных в ИСПДн.

Доступ к ИСПДн предоставляется уполномоченным работникам только для исполнения ими своих функций и должностных обязанностей.

При автоматизированной обработке, персональные данные содержатся на машинных носителях персональных данных. Фиксация персональных данных на машинном носителе производится с использованием средств вычислительной техники (копирование персональных данных на любой съемный или несъемный машинный носитель, ввод персональных данных в базу данных и т.п.).

8.3. Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков) и иным способом.

8.4. При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее – типовая форма), необходимо выполнять следующие условия:

a) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:

c) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;

d) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

8.5. Лица, осуществляющие обработку ПДн без использования средств автоматизации (работники ПАО «МТС» и другие лица, осуществляющие обработку ПДн по поручению ПАО «МТС»), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется ПАО «МТС» без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также нормативными документами ПАО «МТС».

8.6. При сохранении ПДн на материальных носителях (в т.ч. машинных носителях) не допускается сохранение на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн следует использоваться отдельный материальный носитель.

8.7. ПАО «МТС» вправе принимать решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его ПДн, только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

8.8. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн. ПАО «МТС» обязано немедленно прекратить по требованию субъекта ПДн обработку его ПДн в вышеуказанных целях.

9. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. ПАО «МТС» является оператором ПДн, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

9.2. Обработка ПДн субъектов ПДн осуществляется в ПАО «МТС» в следующих целях:

10. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. ПАО «МТС» в процессе своей деятельности обязано обеспечивать конфиденциальность обрабатываемых ПДн, в частности ПАО «МТС» обязуется не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации.

11. ПЕРЕДАЧА И ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Обработка ПДн в ПАО «МТС» может осуществляться:

11.2. Обработка ПДн другими лицами может осуществляться на основании соответствующего договора с ПАО «МТС», в котором содержится поручение на обработку ПДн с согласия субъекта персональных данных, если иное не предусмотрено Законом № 152-ФЗ. В поручении должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона № 152-ФЗ.

11.3. При передаче ПДн третьей стороне должны выполняться следующие условия:

11.4. ПАО «МТС» в процессе своей деятельности вправе осуществлять трансграничную передачу ПДн. Трансграничная передача ПДн на территорию иностранных государств может осуществляться ПАО «МТС» в соответствии с положениями статьи 12 Закона № 152-ФЗ. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться со стороны ПАО «МТС» в следующих случаях:

11.5. В целях информационного обеспечения в ПАО «МТС» могут создаваться общедоступные источники данных (в том числе специализированные справочники, телефонные, адресные книги и др.), содержащие ПДн, к которым с письменного согласия субъекта ПДн может предоставляться доступ неограниченному кругу лиц. Сведения о субъекте ПДн могут быть в любое время исключены ПАО «МТС» из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

12. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ

12.1 ПАО «МТС» в рамках своей деятельности может осуществлять распространение персональных данных субъектов ПДн, только при наличии соответствующего согласия субъекта ПДн и в строгом соответствии с требованиями статьи 10.1 Закона № 152-ФЗ.

12.2. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, должно оформляться отдельно от иных согласий субъекта ПДн на обработку его ПДн. ПАО «МТС» обязуется обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.

12.3. Форма и содержание согласия на обработку ПДн, разрешенных субъектом ПДн для распространения должны соответствовать требованиям, которые установлены уполномоченным органом по защите прав субъектов ПДн в отношении такого согласия. Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.

12.4. В согласии на обработку ПДн, разрешенных субъектом персональных данных для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц.

12.5. ПАО «МТС» обязуется в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.

12.6. ПАО «МТС» обязуется прекратить передачу (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, в случае поступления от субъекта ПДн соответствующего требования. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению.

13. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Субъект ПДн имеет право:

13.2. Для реализации своего права на получение информации касающейся обработки его ПДн, субъект ПДн, или его представитель, должен обратиться в ПАО «МТС», по реквизитам, указанным в разделе 18 настоящей Политики, с письменным заявлением, которое должно содержать:

В рамках действующего законодательства РФ в сфере ПДн, ПАО «МТС» обязуется предоставить субъекту ПДн по его запросу, следующую информацию:

13.4. Субъект ПДн, в целях уточнения и актуализации своих ПДн, обязан своевременно представлять ПАО «МТС» информацию об изменении своих ПДн.

14. СРОКИ ОБРАБОТКИ (ХРАНЕНИЯ) ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Порядок хранения ПДн, обрабатываемых в ПАО «МТС», определяется нормативными документами ПАО «МТС» в соответствии с положениями Закона № 152-ФЗ.

14.2. Сроки обработки (хранения) ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и нормативными документами ПАО «МТС».

14.3. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом или нормативными документами ПАО «МТС». Хранение ПДн после истечения срока хранения допускается только после их обезличивания.

15. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПОРЯДОК РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

15.1. В случаях, прямо предусмотренных статьей 14 Закона № 152-ФЗ, ПАО «МТС» сообщает субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя.

15.2. В рамках реализации требований Закона № 152-ФЗ, ПАО «МТС» на безвозмездной основе представляет субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, ПАО «МТС» вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ПАО «МТС» уничтожает такие ПДн. При этом ПАО «МТС» обязуется уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

15.3. В случае подтверждения факта неточности ПДн, ПАО «МТС» на основании сведений, представленных субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов ПДн, обязуется уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.

15.4. ПАО «МТС» также прекращает обработку ПДн или обеспечивает прекращение обработки ПДн лицом, действующим по его поручению:

ПАО «МТС» обязано уничтожить ПДн или обеспечить их уничтожение, если обработка ПДн осуществляется другим лицом, действующим по поручению ПАО «МТС», в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн.

В случае отсутствия возможности уничтожения ПДн в течение указанного срока ПАО «МТС» осуществляет блокирование таких ПДн или обеспечивает их блокирование, если обработка ПДн осуществляется другим лицом, действующим по поручению ПАО «МТС», и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

16. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

16.1. При обработке ПДн ПАО «МТС» принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

16.2. Обеспечение безопасности ПДн осуществляется в рамках установления в ПАО «МТС» режима безопасности информации конфиденциального характера.

16.3. Обеспечение безопасности ПДн, в частности, достигается:

16.4. Обеспечение безопасности тайны связи и сведений об абонентах при обработке информации в системах и сетях связи осуществляется в соответствии с требованиями законодательства Российской Федерации о связи, а также международного законодательства по межоператорскому взаимодействию.

16.5. Обеспечение безопасности ПДн, обрабатываемых в информационных системах при обеспечении оперативно-розыскных мероприятий, осуществляется в соответствии с законодательством РФ об оперативно-розыскной деятельности.

16.7. Обеспечение безопасности ПДн при трансграничной обработке ПДн осуществляется в соответствии с требованиями и рекомендациями международных правовых актов по обеспечению безопасности ПДн, международных стандартов по информационной безопасности и законодательства стран, на территории которых обрабатываются ПДн.

16.8. Использование и хранение биометрических ПДн вне ИСПДн осуществляется только с применением материальных носителей информации и технологии хранения, которые обеспечивают защиту биометрических ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения.

16.9. Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с требованиями подзаконных нормативных правовых актов РФ и нормативными документами ПАО «МТС» по работе с материальными носителями информации.

17. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

17.1 ПАО «МТС» и/или работники ПАО «МТС», виновные в нарушении требований законодательства РФ в области ПДн, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.

17.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации.

18. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

18.1. Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайте ПАО «МТС» по адресу: www.mts.ru.

18.2. Настоящая Политика подлежит пересмотру в соответствии с нормативными документами ПАО «МТС».

Источник