Что относится к специальным категориям персональных данных
Перейти к содержимому

Что относится к специальным категориям персональных данных

  • автор:

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

Информация об изменениях:

Пункт 2 изменен с 1 марта 2021 г. — Федеральный закон от 30 декабря 2020 г. N 519-ФЗ

2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;

Информация об изменениях:

Федеральным законом от 25 ноября 2009 г. N 266-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 2.1

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

Информация об изменениях:

Федеральным законом от 27 июля 2010 г. N 204-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 2.2

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;

Информация об изменениях:

Федеральным законом от 21 июля 2014 г. N 216-ФЗ в пункт 2.3 части 2 статьи 10 настоящего Федерального закона внесены изменения, вступающие в силу с 1 января 2015 г.

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 3 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 6 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 7 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Информация об изменениях:

Федеральным законом от 23 июля 2013 г. N 205-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 7.1

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 8 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

8) обработка персональных данных осуществляется в соответствии с страховым законодательством;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 9, распространяющимся на правоотношения, возникшие с 1 июля 2011 г.

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

Информация об изменениях:

Федеральным законом от 4 июня 2014 г. N 142-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 10, вступающим в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

Информация об изменениях:

Часть 2.1 изменена с 2 июля 2021 г. — Федеральный закон от 2 июля 2021 г. N 331-ФЗ

2.1. Обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ в часть 4 статьи 10 настоящего Федерального закона внесены изменения, распространяющиеся на правоотношения, возникшие с 1 июля 2011 г.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

Согласие субъекта персональных данных на обработку его персональных данных Статья 10.1. >>
Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
Содержание
Закон «О персональных данных»

Что относится к специальным категориям персональных данных

style=»max-height: 50vh;»>

Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных». В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.

style=»max-height: 50vh;»>

Статья 10. Специальные категории персональных данных

Комментарий к статье 10

1. Комментируемая статья регламентирует правовой статус особой разновидности персональных данных — «чувствительных» данных или, по терминологии российского законодательства, «специальной категории персональных данных». В соответствии с ч. 1 комментируемой статьи особый правовой режим имеют данные, «касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни». Данный перечень не является закрытым и пополняется все новыми основаниями, многие из которых — следствие лоббирования со стороны операторов, осуществляющих деятельность в соответствующей сфере, что все более превращает этот перечень в «лоскутное одеяло».
Придание специальным категориям персональных данных особого статуса обусловлено возможностью наступления особо негативных последствий для субъекта при их разглашении или ином несанкционированном использовании. Такие последствия могут выражаться не только в рисках для жизни и здоровья лица, но и в дискриминации, невозможности реализации базовых конституционных прав на труд, образование, свободу совести, проведение собраний и т.п.
2. Специальные категории персональных данных, так же как и обычные персональные данные, могут обрабатываться лишь при наличии на то конкретного правового основания. Однако перечень и количество таких оснований отличаются от тех, которые указаны в ч. 1 ст. 6 Закона о персональных данных (13 оснований для специальных категорий персональных данных, 11 — для обычных). При этом по общему правилу обработка специальных категорий данных должна быть незамедлительно прекращена при отпадении обстоятельств, которые выступали в качестве ее легитимирующего основания. Иное может быть установлено только федеральным законом, но не иным нормативным правовым актом (см. ч. 4 комментируемой статьи).
3. Несмотря на формально большее количество оснований для обработки данных в отсутствие согласия их субъекта применительно к специальным категориям по существу сфера их применения , чем в случае с «обычными» персональными данными, за счет:
а) отсутствия ряда специальных оснований (в связи с заключением/исполнением договора; для осуществления прав и законных интересов оператора; для осуществления деятельности СМИ, а также литературной и творческой деятельности; для статистических и иных исследовательских целей);
б) более детальной конкретизации статуса операторов и целей обработки специальных категорий данных (международные договоры сведены только к реадмиссии; осуществление обработки для целей исполнения закона конкретизировано определенными сферами деятельности).
Для всех остальных целей обработки данных должно быть получено согласие их субъекта, которое может быть только письменным.
Подробное сопоставление оснований для обработки обычных и персональных данных специальных категорий в соответствии с Законом о персональных данных см. в следующей таблице:

N «Обычные» персональные данные Специальные категории персональных данных
1. С согласия субъекта (п. 1 ч. 1 ст. 6) С согласия субъекта в письменной форме (п. 1 ч. 2 ст. 10)
2. Обработка персональных данных необходима для достижения целей международного договора (п. 2 ч. 1 ст. 6) В связи с реализацией международных договоров Российской Федерации о реадмиссии (п. 2.1 ч. 2 ст. 10)
3. Обработка персональных данных необходима для достижения целей, предусмотренных законом (п. 2 ч. 1 ст. 6) Обработка персональных данных осуществляется в соответствии: — с Федеральным законом «О Всероссийской переписи населения» (п. 2.2. ч. 2 ст. 10); — законодательством о государственной социальной помощи, трудовым и пенсионным законодательством РФ (п. 2.3. ч. 2 ст. 10); — законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительном законодательстве РФ (п. 7 ч. 2 ст. 10); — законодательством об обязательных видах страхования, страховым законодательством (п. 8 ч. 2 ст. 10); — законодательством РФ о гражданстве (п. 10 ч. 2 ст. 10)
4. Для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6) (частный случай данного основания — «для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг» (п. 4 ч. 1 ст. 6)) Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну (п. 4 ч. 2 ст. 10); обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется надлежащими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных (п. 5 ч. 2 ст. 10); обработка полученных в установленных законодательством РФ случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора (п. 7.1 ч. 2 ст. 10); обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан (п. 9 ч. 2 ст. 10)
5. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве (п. 3 ч. 1 ст. 6) Обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно в связи с осуществлением правосудия (п. 6 ч. 2 ст. 10); обработка персональных данных осуществляется в соответствии с законодательством РФ об исполнительном производстве; уголовно-исполнительным законодательством РФ (п. 7 ч. 2 ст. 10)
6. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6) Нет аналогов
7. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п. 6 ч. 1 ст. 6) Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, если получение согласия субъекта персональных данных невозможно (п. 3 ч. 2 ст. 10)
8. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей, при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6) Нет аналогов
9. Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности, при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (п. 8 ч. 1 ст. 6) Нет аналогов
10. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных (п. 9 ч. 1 ст. 6) Нет аналогов
11. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (п. 10 ч. 1 ст. 6) Персональные данные сделаны общедоступными субъектом персональных данных (п. 2 ч. 2 ст. 10)
12. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом (п. 11 ч. 1 ст. 6) Нет аналогов

4. Согласие субъекта персональных данных может легитимировать обработку любых видов специальных категорий таких данных любым способом (за исключением требований локализации, см. ч. 5 ст. 18 Закона о персональных данных и комментарий к ней), при условии (а) соответствия такого согласия требованиям ст. 9 настоящего Закона и (б) письменной формы такого согласия, к которой приравнивается согласие, подписанное электронной подписью. Последнее требование отличает согласие на обработку специальных категорий данных от согласия на обработку обычных персональных данных, которое может быть дано и в иных формах (в частности, в устной).
Следует отметить, что право на дачу информированного согласия на медицинское вмешательство, а следовательно, и на дачу согласия на обработку необходимых для этого персональных данных специальных категорий по общему правилу возникает у лица с 15 лет (ч. 2 ст. 54 Федерального закона от 21 ноября 2011 г. N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», далее — Закон об охране здоровья граждан). В остальных случаях согласие на обработку соответствующих данных дает его законный представитель.
5. Обработка персональных данных специальных категорий допустима для целей реализации соглашений о реадмиссии, под которой понимается передача компетентными органами одного государства и прием компетентными органами другого государства в порядке, на условиях и в целях, которые предусмотрены соглашением о реадмиссии, лиц, въехавших или находящихся на территории государства в нарушение законодательства этого государства, по вопросам въезда, выезда и пребывания иностранных граждан и лиц без гражданства. Реадмиссия не является видом наказания (в отличие от административного выдворения) и реализуется во внесудебном порядке: решения о ней принимаются и исполняются ФМС России. В Российской Федерации данная процедура получила правовое развитие в 2003 г., с момента подписания межправительственного Соглашения с Литовской Республикой о реадмиссии. В настоящее время Российская Федерация участвует в 17 подобного рода международных соглашениях. Например, заключены международные соглашения о реадмиссии с такими странами, как Вьетнам (2008 г.), Швейцария (2009 г.), Армения (2010 г.), Турция (2011 г.), Украина (2012 г.), Казахстан (2012 г.), Беларусь (2013 г.), Монголия (2014 г.), Сербия (2014 г.), Босния и Герцеговина (2015 г.) и др. .
———————————
Семенова А.В. Административно-правовое регулирование реадмиссии в Российской Федерации // Административное право и процесс. 2016. N 3. С. 44 — 46.

6. Обработка персональных данных специальных категорий допускается во исполнение положений Федерального закона от 25 января 2002 г. N 8-ФЗ «О Всероссийской переписи населения», которая осуществляется в целях формирования официальной статистической информации о демографических, экономических и социальных процессах. Исчерпывающий перечень персональных данных, которые могут собираться и обрабатываться в этой связи, содержится в п. 1 ст. 6 указанного Закона. Помимо стандартных персональных данных (пол, возраст, состояние в браке, сведения об образовании, владение языками, количество детей, место рождения, место жительства и пр.) в этот перечень включено указание национальной принадлежности, которая в соответствии с ч. 1 ст. 10 Закона о персональных данных относится к специальной категории персональных данных. Данные сведения предоставляются на добровольной основе, так как в соответствии с ч. 1 ст. 26 Конституции РФ «каждый вправе определять и указывать свою национальную принадлежность. Никто не может быть принужден к определению и указанию своей национальной принадлежности».
7. Специальные категории персональных данных могут обрабатываться в соответствии с трудовым законодательством. При этом необходимо учитывать, что п. 4 ст. 86 ТК РФ устанавливает общий запрет на обработку таких данных работодателем, за исключением случаев, предусмотренных федеральным законом. Так, например, информация о состоянии здоровья работника по общему правилу может быть запрошена только в той части, в которой она относится к вопросу о возможности выполнения работником трудовой функции (ст. 88 ТК РФ). В принципе не исключена обработка работодателем персональных данных специальных категорий при наличии оснований, указанных в ч. 2 ст. 10 Закона о персональных данных (общедоступный характер таких данных; обработка для целей защиты жизненно важных интересов работника). Согласие работника в письменной форме также может служить таким основанием при условии его соответствия требованиям ст. 9 Закона о персональных данных, а также соответствия обработки работодателем таких персональных данных общим принципам, указанным в ст. 5 настоящего Закона (соответствие определенной цели, отсутствие избыточности, недопустимость обработки совместно с персональными данными из иных баз данных с несовместимыми целями и т.д.).
Трудовое законодательство устанавливает дополнительные гарантии защиты прав работников от несправедливых условий трудового договора, в частности недопустимость отказа работников от своего права на сохранение и защиту тайны (п. 9 ст. 86 ТК РФ). При этом в соответствии со ст. 9 ТК РФ коллективные и трудовые договоры, соглашения не могут содержать условия, ограничивающие права или снижающие уровень гарантий работников по сравнению с установленными трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права. Если такие условия включены в коллективный договор, соглашение или трудовой договор, то они не подлежат применению.
8. Указание в п. 2.3 ч. 2 комментируемой статьи о возможности обработки специальных категорий персональных данных без согласия субъекта для целей, предусмотренных законодательством о государственной социальной помощи, а также для целей пенсионного законодательства связано с тем, что назначение такой социальной помощи и некоторых видов пенсий (например, по инвалидности) вызвано необходимостью получения и обработки данных о состоянии здоровья гражданина, претендующего на их получение. Кроме того, данное основание обеспечивает возможность межведомственного обмена такими данными. Так, в соответствии со ст. 6.4 Федерального закона от 17 июля 1999 г. N 178-ФЗ «О государственной социальной помощи» создается Федеральный регистр лиц, имеющих право на получение государственной социальной помощи. Органы исполнительной власти субъектов РФ в установленном порядке передают персональные данные, необходимые для ведения Федерального регистра лиц, имеющих право на получение государственной социальной помощи, в орган, уполномоченный осуществлять ведение указанного Регистра, данные которого, в свою очередь, предоставляются органам исполнительной власти субъектов РФ безвозмездно.
9. Обработка специальных категорий персональных данных может осуществляться без согласия субъекта, если она необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, а получение согласия субъекта персональных данных невозможно. В отличие от схожего положения, применяющегося к обработке обычных персональных данных (п. 6 ч. 1 ст. 6), рассматриваемая норма допускает обработку персональных данных также в тех случаях, когда речь идет о необходимости защиты жизненно важных интересов других лиц. Такая ситуация может возникнуть, в частности, при необходимости обработки данных о группе крови и определенных заболеваниях родителей для спасения жизни ребенка, который попал в аварию вместе с погибшими или находящимися в тяжелом состоянии родителями, в связи с чем последние не могут дать согласия на такую обработку.
10. В соответствии с п. 4 ч. 2 комментируемой статьи обработка специальных категорий персональных данных может осуществляться без согласия субъекта лицом, обязанным соблюдать врачебную тайну, в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг. К лицам, обязанным соблюдать врачебную тайну, в соответствии со ст. 73 Закона об охране здоровья граждан относятся: медицинские работники, в том числе лечащий врач, а также фармацевты. Перечень целей обработки таких данных указанными лицами также исчерпывающий и сопряжен с медицинским вмешательством в отношении пациента.
— Под медико-профилактическими целями могут пониматься действия, направленные на сохранение и укрепление здоровья и включающие в себя формирование здорового образа жизни, предупреждение возникновения и (или) распространения заболеваний, их раннее выявление, выявление причин и условий их возникновения и развития, а также направленные на устранение вредного влияния на здоровье человека факторов среды его обитания (п. 6 ст. 2 Закона об охране здоровья граждан).
— Под диагнозом понимается заключение о сущности болезни и состоянии пациента, выраженное в принятой медицинской терминологии и основанное на всестороннем систематическом изучении пациента. Процесс установления медицинского диагноза именуется диагностикой и представляет собой комплекс медицинских вмешательств, направленных на распознавание состояния или установление факта наличия либо отсутствия заболеваний, осуществляемых посредством сбора и анализа жалоб пациента, данных его анамнеза и осмотра, проведения лабораторных, инструментальных, патолого-анатомических и иных исследований в целях определения диагноза, выбора мероприятий по лечению пациента и (или) контроля за осуществлением этих мероприятий (п. 7 ст. 2 Закона об охране здоровья граждан).
— Под медицинской услугой понимается медицинское вмешательство или комплекс медицинских вмешательств, направленных на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и имеющих самостоятельное законченное значение. Такая услуга может предоставляться на основании гражданско-правового договора, в этом случае данное основание будет фактически являться частным случаем обработки персональных данных для целей заключения и (или) исполнения договора. Платная медицинская услуга может предоставляться как в рамках добровольного медицинского страхования, так и в качестве разовой медицинской услуги. Вне зависимости от этого к таковым применяются положения Правил предоставления медицинскими организациями платных медицинских услуг . Если медицинская услуга предоставляется в рамках обязательного медицинского страхования, то в таком случае для обработки персональных данных о здоровье лица будет более корректно применять п. 8 ч. 2 ст. 10 Закона о персональных данных, в котором указано, что «обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования». Это связано с тем, что согласно Федеральному закону от 29 ноября 2010 г. N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» обязательное медицинское страхование — это вид обязательного социального страхования, представляющий собой систему создаваемых государством правовых, экономических и организационных мер, направленных на обеспечение при наступлении страхового случая гарантий бесплатного оказания застрахованному лицу медицинской помощи за счет средств обязательного медицинского страхования в пределах территориальной программы обязательного медицинского страхования и в установленных настоящим Федеральным законом случаях в пределах базовой программы обязательного медицинского страхования (ст. 3).
———————————
Постановление Правительства РФ от 4 октября 2012 г. N 1006 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг».

— Медицинское законодательство не содержит понятия «медико-социальная услуга». По всей видимости, под таковой следует понимать действия, связанные с проведением медико-социальной экспертизы — комплекса мер, осуществляемых федеральными учреждениями медико-социальной экспертизы на основе оценки ограничений жизнедеятельности, вызванных стойким расстройством функций организма и направленных на определение потребностей освидетельствуемого лица в мерах социальной защиты, включая реабилитацию (ст. 60 Закона об охране здоровья граждан).
В связи с вышеизложенным представляется, что предварительное подписание субъектом формы согласия на обработку его персональных данных не является необходимым условием для оказания медицинских услуг (платных или в рамках ОМС), поскольку соответствующие основания уже прописаны в законе. Обусловливание предоставления медицинских услуг предварительным подписанием такой формы, которая обычно предусматривает избыточную обработку персональных данных, не основано на законе и может влечь установленную в рамках законодательства о защите прав потребителей и законодательства о персональных данных ответственность.
———————————
См. п. 9 Постановления Пленума Верховного Суда РФ от 28 июня 2012 г. N 17 «О рассмотрении судами гражданских дел по спорам о защите прав потребителей», в котором установлено: «К отношениям по предоставлению гражданам медицинских услуг, оказываемых медицинскими организациями в рамках добровольного и обязательного медицинского страхования, применяется законодательство о защите прав потребителей».

Запрос страховыми организациями сведений о состоянии здоровья граждан в медицинских учреждениях и у иных лиц для целей проверки достоверности предоставленных при заключении договора личного страхования данных возможен только с предварительного письменного согласия субъекта персональных данных (Постановление Девятого арбитражного апелляционного суда от 24 июня 2016 г. N 09АП-20107/2016 по делу N А40-201601/15).
Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, а также иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну (ст. 13 Закона об охране здоровья граждан). В связи с этим врач или иное лицо, обязанное соблюдать врачебную тайну, помимо законодательства о персональных данных должны также соблюдать положения о врачебной тайне, в частности о допустимых случаях ее разглашения, которые перечислены в вышеуказанной статье Закона об охране здоровья граждан.
11. Обработка специальных категорий персональных данных допускается специальным субъектом — общественным объединением или религиозной организацией при соблюдении следующих условий:
— указанные лица действуют в соответствии с законодательством РФ. Применительно к общественным объединениям это означает соблюдение положений Федерального закона от 19 мая 1995 г. N 82-ФЗ «Об общественных объединениях»; применительно к религиозным организациям — Федерального закона от 26 сентября 1997 г. N 125-ФЗ «О свободе совести и о религиозных объединениях»;
— указанные лица осуществляют обработку персональных данных своих членов (участников);
— обработка осуществляется для достижения законных целей, предусмотренных учредительными документами;
— обработка может охватывать любые виды действий с персональными данными, кроме распространения, которое требует письменного согласия субъекта персональных данных.
В качестве примера ситуации, подпадающей под действие данного основания, можно привести обработку политической партией (разновидность общественного объединения) персональных данных своих членов, эти данные с учетом статуса членов партии включают в себя сведения об их членстве в такой партии, т.е. об их политических убеждениях, которые относятся к категории персональных данных специальной категории. Однако для размещения таких данных в сети Интернет потребуется письменное согласие субъекта, так как это охватывается понятием «распространение персональных данных», за исключением случаев, когда у оператора есть иные основания, легитимирующие такой способ обработки (например, при обработке персональных данных в соответствии с требованиями трудового законодательства).
Прекращение членства (участия) субъекта персональных данных в соответствующем общественном объединении или религиозной организации формально влечет прекращение права обрабатывать его персональные данные специальных категорий на основании комментируемого пункта.
всех ограничений по способам обработки персональных данных специальных категорий в указанном пункте лишь к невозможности распространения таких данных без согласия субъекта следует считать упущением законодателя, поскольку формально оно не охватывает передачу таких данных заранее определенному кругу лиц, в том числе тем, которые не являются членами соответствующей организации. Такой подход потенциально нарушает не только право на неприкосновенность частной жизни, но и (в случае с религиозной организацией) право на свободу совести и свободу вероисповедания. Представляется, что такая ситуация сложилась вследствие неудачного перевода положений ст. 8 (2) (d) Директивы 1995 г., которая, предусматривая аналогичное основание для обработки персональных данных, указывает в качестве условия недопустимость раскрытия таких данных третьим лицам без согласия субъекта (the data are not disclosed to a third party without the consent of the data subjects). По терминологии Закона о персональных данных, это означало бы не только недопустимость распространения, но и недопустимость предоставления таких данных без согласия субъекта.
12. Обработка специальных категорий персональных данных допустима для «установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия». Данное основание сформулировано крайне неудачно, поскольку если понятие «установление права» предполагает определенную формализованную юридическую процедуру, то понятие «осуществление права», тем более права третьего лица, является достаточно широким. Под осуществлением права можно понимать реализацию управомоченным лицом возможностей (правомочий), заключенных в содержании данного права, как юридическими, так и фактическими действиями . Получается, что под данное основание могут подпасть сбор и обработка данных о состоянии здоровья застрахованного лица специально привлеченным агентом, действующим в интересах третьего лица — страховщика, чтобы он мог осуществить свое право на расторжение договора страхования или отказ в страховой выплате по основаниям, предусмотренным в ГК РФ или договоре.
———————————
См.: Ем В.С. Российское гражданское право: В 2 т. / Отв. ред. Е.А. Суханов. М.: Статут, 2011. Т. I.

Очевидно, что понятие «осуществление права» должно пониматься в гораздо более узком смысле. Все более-менее встает на свои места при обращении к «первоисточнику» данного положения — ст. 8 (2) (e) Директивы 1995 г., согласно которой обработка специальных категорий персональных данных допустима в той мере, в какой она «необходима для установления, исполнения или защиты правовых требований» (the processing relates to data which. is necessary for the establishment, exercise or defence of legal claims). В комментариях к данному положению указывается, что оно касается ситуаций инициирования и поддержания исков и иных юридических требований, легитимируя тем самым обработку стороной спора и ее представителем персональных данных ответчика, иных возможных участников процесса и третьих лиц в той мере, в какой это оправдано вышеуказанной целью . Иными словами, вне определенной правовой процедуры установления и реализации правового требования данное основание для обработки персональных данных не применяется.
———————————
Carey P. Data Protection: A Practical Guide to UK and EU Law. Oxford University Press. 2016. P. 108 — 109.

13. Пункт 7 ч. 2 комментируемой статьи содержит целый «склад» оснований публично-правового характера, легитимирующих обработку персональных данных специальных категорий без согласия субъекта. Они сформулированы бланкетным образом, отсылая к положениям специального законодательства и тем самым отдавая их «наполнение» на усмотрение конкретным ведомствам, чем последние активно пользуются, учитывая обильный объем подзаконных актов в указанных сферах. Причем суды, сталкиваясь с применением данного основания, фактически никогда не подвергают его критическому анализу в конкретном случае. Напротив, оно рассматривается как чуть ли не выводящее соответствующие отношения за рамки законодательства о персональных данных, в том числе его принципов. Так, суд, сославшись на комментируемое основание, указал, что наличие фотографических материалов и материалов дактилоскопирования в электронной базе ИС ОРИ ЦОРИ ГУ МВД России по Московской области «не затрагивает его (субъекта. — А.С.) права, свободы и обязанности человека и гражданина» (Апелляционное определение Московского городского суда от 30 июня 2016 г. по делу N 33а-15958/2016). В другом деле суд пришел к выводу, что наличие в информационной базе учета административных правонарушений информации о том, что в отношении субъекта было возбуждено административное производство по факту отказа от прохождения медицинского освидетельствования несмотря на то, что событие данного правонарушения отсутствовало и протокол об административном правонарушении был составлен необоснованно, «не затрагивает его (субъекта. — А.С.) права, честь и достоинство, свободы и обязанности человека и гражданина» (см. соответственно Апелляционные определения Верховного суда Республики Башкортостан от 2 июля 2015 г. по делу N 33-10943/2015; Красноярского краевого суда от 12 ноября 2014 г. N 33-10781/2014).
Рассматриваемое основание в совокупности с практикой его применения создает значительные изъятия из сферы действия законодательства о персональных данных применительно к обработке персональных данных правоохранительными органами, ставя под сомнение универсальный характер норм данного законодательства и применимость его как к частному, так и к публичному сектору. В определенной степени это сыграло свою роль в непризнании Европейским союзом России как страны, обеспечивающей адекватный уровень защиты персональных данных (см. подробнее комментарий к ст. 12 Закона о персональных данных).
———————————
См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press, 2014. P. 102.

14. Обработка специальных категорий персональных данных может проводиться без согласия субъекта органами прокуратуры в связи с осуществлением ими прокурорского надзора. Данное основание появилось в связи с решением ЕСПЧ от 6 июня 2013 г. по делу «Авилкина и другие против Российской Федерации». В данном деле заявители оспаривали действия медицинского учреждения по передаче их медицинских данных (информации о переливании крови и методе лечения пациента) в прокуратуру. Заявители являлись последователями вероучения, практикуемого и защищаемого организацией «Свидетели Иеговы», которое предусматривает отказ от переливания крови. По мнению властей РФ, такая передача данных была необходима, чтобы избежать угрозы смерти или причинения серьезного вреда здоровью пациента, особенно в случаях с участием несовершеннолетних. Существовавшие на тот момент основания для передачи сведений, составляющих врачебную тайну, были сформулированы таким образом, что не охватывали возможность передачи таких сведений в процессе осуществления прокурорского надзора, а включали только передачу «по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством». Тем самым прокуратура, по мнению заявителей, требуя передачи медицинских документов в отношении пациентов, являвшихся членами организации «Свидетели Иеговы», чрезмерно и произвольно расширила значение применимых положений законодательства, действовавшего в период, относящийся к обстоятельствам дела. ЕСПЧ согласился с данным аргументом, указав, что «сбор прокуратурой информации, составляющей врачебную тайну, относительно заявительниц не сопровождался достаточными гарантиями, препятствующими раскрытию, несовместимому с

Категории персональных данных

Категории персональных данных

Все без исключения операции, связанные с обработкой персональных данных в ИСПДн, предполагают следование требованиям ФЗ-152 и другим нормативно-правовым актам, касающимся использования ПДн. В частности, любой организации придется принимать определенные меры технической и организационной безопасности, предварительно определив уровень защищенности ИСПДн (до 2013 года было разделение на классы), что предусматривает Постановление Правительства РФ № 1119. Чтобы понять, насколько эффективно система нейтрализует факторы, приводящие к несанкционированному доступу и применению личных сведений субъектов ПДн, нужно определить, какие категории персональных данных вы обрабатываете. Этот параметр наравне с типом УБ и другими показателями повлияет на причисление ИС к 1, 2, 3 или 4 уровню.

Установленные законом категории обрабатываемых персональных данных

Разделение ПДн необходимо для того, чтобы устанавливать отдельные правила обработки и защиты для информации разного характера, а также наказания организаций, которые их нарушают. Действующее российское законодательство предусматривает 4 категории обрабатываемых ПДн:

Несмотря на внесение различных изменений, четко прописаны только три первые группы, а вот в отношении последней нет конкретики. Перед операторами стоит задача понять, с какими сведениями они работают, и только потом устанавливать степень защищенности ИС.

Категория общедоступных ПДн

Отличительной особенностью таких персональных данных является возможность их получения неограниченным кругом лиц. Они присутствуют в открытых источниках, например, справочниках и иных документах, при этом гражданин должен предварительно дать свое согласие на размещение. В соответствии с классификацией ФЗ-152 в данную категорию персональных данных входят:

  • имя, фамилия и отчество субъекта;
  • место, где человек родился или проживает;
  • возраст;
  • профессия, образование;
  • месяц, год и число рождения;
  • электронная почта;
  • телефонный номер и т.д.

Нужно учитывать, что если гражданин не согласен с тем, что информация о нем общедоступна, то он имеет право потребовать её удалить из источника путем подачи заявления. Также это может быть сделано при выдаче соответствующего решения государственного органа либо суда.

Биометрические ПДн

Практически на любом предприятии есть система охраны и видеонаблюдения, а также ограничения доступа на территорию либо в отдельные помещения. В качестве идентификатора лиц, которые имеют право находиться в определенных зонах или выполнять определенные действия, выступают, как правило, фотографии, отпечатки пальцев или рисунок сетчатки глаза. Эти и другие физиологические особенности входят в категорию биометрических ПДн, а их использование в обязательном порядке требует получения письменного согласия владельцев. Документ не требуется только, если речь идет об использовании данных в целях обеспечения государственной безопасности, работы госструктур, а также осуществлении правоохранительной деятельности.

Работая с такими сведениями, оператору нужно брать в расчет ограничение по условиям обработки — их разрешено собирать, дополнять, хранить и т.д. только до тех пор, пока не достигнута цель обработки или не прошел срок, прописанный в подписанном субъектом разрешении.

Что является специальной категорией персональных данных?

В данную группу входят:

  • сведения, касающиеся состояния здоровья;
  • гендерная и расовая принадлежность;
  • сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни;
  • философские воззрения;
  • религиозные убеждения;
  • политические взгляды и т.д.

Для обработки специальных категорий персональных данных требуется выполнение одного из условий:

  • получение письменного согласия установленного законом образца;
  • использование сведений, опубликованных в общедоступных источниках самим гражданином;
  • вступление в силу международных договоренностей;
  • выполнение действий в рамках судебного производства или по решению суда;
  • возникновение риска для жизни и здоровья субъекта либо окружающих людей;
  • обработка информации в рамках деятельности общественной либо религиозной организации.

Категория иных персональных данных

Четкого определения, какие сведения могут быть отнесены в эту группу, в нормативно-правовой документации нет. Указано только, что речь идет о ПДн, не относящихся к предыдущим категориям. То есть оператору, чтобы идентифицировать информацию как «иную», придется убедиться в том, что она не является биометрической, общедоступной или специальной.

Категории субъектов персональных данных

В процессе установления уровня защищенности, что требуется каждому оператору ИСПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн. В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений. Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь правительственное Постановление № 1119 устанавливает две категории:

  • лица, которые не являются штатными или внештатными сотрудниками организации;
  • лица, связанные с компанией трудовыми взаимоотношениями.

В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов. После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.

Категории персональных данных

Проблема персональных данных и соответствия требованиям закона ФЗ-152 волнует большое количество компаний. У многих из них после прочтения документа возникает вопрос: какие вообще есть категории персональных данных и как правильно их защищать? Cloud4Y помогает разобраться в вопросе.

Категории персональных данных, соответствующих Федеральному закону №152 (О персональных данных)

Существует 4 категории персональных данных, которые могут нуждаться в защите от посягательств со стороны третьих лиц. Это:

  • Общедоступные —персональные данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».
  • Биометрические — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД.
  • Специальные — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
  • Иные — персональные данные, не относящиеся ни к одной из вышеназванных категорий (специальные, биометрические, общедоступные).

Таблица определения уровня защищенности

Особенности облака ФЗ-152

Передача персональных данных на обработку Облачному оператору выполняется в соответствии с законом 152-ФЗ «О персональных данных».

Разделение ответственности за обеспечение безопасности персональных данных.

Cloud4Y обеспечивает безопасность и выполнение требований регуляторов:

  • на физическом уровне: сертифицированные ЦОД, охранная и пожарная сигнализация, видеонаблюдение и контроль доступа, резервирование систем;
  • на уровне инфраструктуры: платформы виртуализации и хранения, сервисы облака, периметр сети, системы управления;
  • на уровне сегмента администрирования.

Клиент обеспечивает безопасность и выполнение требований регуляторов:

  • на уровне сегментов клиентских виртуальных машин;
  • на уровне операционной системы виртуальной машины.

В стоимость услуг облака включены сертифицированные средства защиты информации, в том числе:

  • межсетевые экраны уровня границы сети и границы виртуального облака клиента;
  • система обнаружения вторжений;
  • сканер уязвимостей;
  • антивирусное ПО и система защиты от НСД;
  • критошлюз с шифрованием по ГОСТ и сертифицированные клиенты для подключения к облаку.
  • сертифицированная система резервирования
  • сертифицированная система виртуализации

Полное руководство по защите персональных данных по ФЗ-152Скачать

Пример реализации ИТ-инфраструктуры

ИТ-инфраструктура может быть организована разными способами. Ниже предложен вариант размещения, используемый корпоративным облачным провайдером Cloud4Y.

Кроме того, наша компания оказывает комплексную поддержку клиентам. В частности, мы можем взять на себя вопросы:

  • Предварительного обследования ИСПДн заказчика на предмет соответствия ФЗ-152;
  • Разработку полного комплекта организационно-распорядительной документации;
  • Аттестационных испытаний, выдачи аттестата соответствия по требованиям безопасности информации на ИСПДн;
  • Установки и настройки технических средств защиты (Dr.Web, SecretNet, Scanner), сертифицированных ФСТЭК;
  • Миграции на облачную платформу (оказываем помощь в переезде или сами выполняем необходимые работы).

Пример реализации ИТ-инфраструктуры с vGate

Самостоятельная защита ПДн vs. услуга Облако ФЗ-152

В таблице представлено сравнение в преимуществах размещения информационных систем персональных данных в защищенном облаке ФЗ-152 по сравнению с самостоятельной организацией и аттестацией инфраструктуры.

Похожие публикации:
  1. Где хранят первичные средства пожаротушения
  2. Как оформить передачу денег между родственниками
  3. Какие суды упразднили в рф
  4. Санация банка что это такое

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *